Please use this identifier to cite or link to this item: https://apothesis.eap.gr/handle/repo/34706
Title: Οδηγός ανάπτυξης ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών σύμφωνα με το πρότυπο ISO27001:2013 - μια γενική προσέγγιση βασισμένη σε υλοποιηθείσα ανάπτυξη
Authors: Χρυσοστόμου, Γεώργιος
Advisor: Νικολαΐδης, Ιωάννης
Keywords: ISO27001;Ασφάλεια Πληροφοριών;Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών;ΣΔΑΠ;Information Security;Information Security Management System;ISMS;ISO27000
Issue Date: 16-Sep-2017
Abstract: Στη διπλωματική εργασία αυτή, παρουσιάζεται η εμπειρία που αποκτήθηκε από την εφαρμογή ενός συστήματος διαχείρισης της ασφάλειας πληροφοριών (ΣΔΑΠ) σύμφωνα με το πρότυπο ISO/IEC 27001:2013 σε έναν οργανισμό, με αντικείμενο τον σχεδιασμό, εγκατάσταση, συντήρηση και επισκευή ηλεκτροπαραγωγών ζευγών (Η/Ζ), συστημάτων σταθμών και κέντρων κινητής τηλεφωνίας και τη διαχείριση και υλοποίηση έργων υποδομής (ηλεκτρομηχανολογικών και δομικών). Σκοπός της εργασίας είναι να αποτελέσει μια εισαγωγή και να δώσει κατευθυντήριες γραμμές για την εφαρμογή τέτοιων Συστημάτων Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ). Στο 1ο κεφάλαιο γίνεται μια θεωρητική παρουσίαση βασικών εννοιών, όρων και ορισμών της ασφάλειας πληροφοριών και δίνεται η γενική αρχή των συστημάτων διαχείρισης που βασίζονται στον κύκλο Plan-Do-Check/Study-Act (P-D-C/S-A) του Deming Στο 2ο κεφάλαιο παρουσιάζονται τα πρότυπα της οικογένειας ISO/IEC270xx, περιλαμβάνοντας ιστορικά στοιχεία από τα οποία φαίνονται οι ανάγκες που εξυπηρετούν και που οδήγησαν στην ανάπτυξη και καθιέρωση των συγκεκριμένων προτύπων. Ιδιαίτερη αναφορά γίνεται στη νέα δομή των προτύπων προς την κατεύθυνση της μεταξύ τους συμβατότητας. Το ISO/IEC 27001:2013 είναι το πρότυπο ως προς το οποίο μπορεί να πιστοποιηθεί ένας οργανισμός, ενώ τα άλλα πρότυπα της σειράς λειτουργούν επικουρικά για την εφαρμογή του. Στο 3ο κεφάλαιο γίνεται ιδιαίτερη αναφορά στο πρότυπο ISO/IEC 27001:2013, τη δομή του, τις απαιτήσεις συμμόρφωσης, το παράρτημα Α και τα μέτρα ελέγχου που παρουσιάζονται σε αυτό. Επίσης παρουσιάζεται ο τρόπος ικανοποίησης των απαιτήσεων του προτύπου μέσα από παραδείγματα για ενδεικτικές παραγράφους του προτύπου και του παραρτήματός του. Στο 4ο κεφάλαιο γίνεται αναφορά στη διαχείριση της διακινδύνευσης η οποία είναι απαίτηση του προτύπου και αποτελεί αντικείμενο του ISO/IEC 27005:2011 το οποίο κινείται στο ίδιο πνεύμα με το ISO/IEC 31000:2009 γεγονός που καταδεικνύει τη σύγκλιση των προτύπων σε κοινή δομή, λεξιλόγιο και αρχές. Στο 5ο κεφάλαιο παρουσιάζονται οι ενέργειες για την καθιέρωση και υλοποίηση ενός ΣΔΑΠ, ξεκινώντας από την καταγραφή, αξιολόγηση, χαρακτηρισμό των πληροφοριακών αγαθών και την εκτίμηση και διαχείριση της διακινδύνευσης. Ιδιαίτερη αναφορά γίνεται στην αποσαφήνιση του περιβάλλοντος εργασίας (context) του συστήματος, στην φυσική και περιβαλλοντική ασφάλεια και στην πρόσκτηση και ανάπτυξη πληροφοριακών συστημάτων. Δίνονται κατευθυντήριες γραμμές για την ανάπτυξη της τεκμηρίωσης και την οργάνωση της εκπαίδευσης. Επίσης δίνονται όλα εκείνα τα στοιχεία για την λειτουργία, συντήρηση και βελτίωση του συστήματος με επίκεντρο τις ανασκοπήσεις, προληπτικές-διορθωτικές ενέργειες, εσωτερικές επιθεωρήσεις και τη διαχείριση των περιστατικών ασφαλείας. Στο 6ο κεφάλαιο παρουσιάζονται συνοπτικά τα εξαχθέντα συμπεράσματα από την συνολική διαδικασία υλοποίησης του ΣΔΑΠ στον εν λόγω οργανισμό. Υπό μορφήν παραρτημάτων, τέλος, δίνεται η δομή των εγγράφων της τεκμηρίωσης, ένας οδηγός διαβάθμισης και χειρισμού πληροφοριών, μια ενδεικτική πολιτική ασφάλειας για τη χρήση Διαδικτύου και δικτυακών υπηρεσιών και μια ενδεικτική Δήλωση Εφαρμογής (SoA) κατ' απαίτηση του προτύπου.
Appears in Collections:ΔΙΠ Διπλωματικές Εργασίες

Files in This Item:
File Description SizeFormat 
dip-de-std126680.pdfΚυρίως σώμα διπλωματικής εργασίας4.88 MBAdobe PDFView/Open


Items in Apothesis are protected by copyright, with all rights reserved, unless otherwise indicated.