1. Εισαγωγή

Το παρόν έγγραφο καθορίζει την πολιτική ποιότητας πληροφοριών της Real Consulting.

Ως μοντέρνα και προοδευτική επιχείρηση, η Real Consulting αναγνωρίζει σε ανώτατο επίπεδο την ανάγκη να εξασφαλίζει την ομαλή λειτουργία της επιχείρησής της για το όφελος των πελατών, των μετόχων και άλλων εμπλεκομένων φορέων.

Προκειμένου να προσφέρει τέτοιο επίπεδο συνεχούς λειτουργίας, η Real Consulting έχει εφαρμόσει ένα Σύστημα Διαχείρισης Πληροφοριών (ISMS) σύμφωνα με το Διεθνές Πρότυπο για την Ασφάλεια Πληροφοριών, ISO/IEC 27001. Το πρότυπο αυτό καθορίζει τις απαιτήσεις για ένα ISMS βασισμένο σε διεθνώς αναγνωρισμένες βέλτιστες πρακτικές.

Η λειτουργία του ISMS έχει πολλά οφέλη για την επιχείρηση, συμπεριλαμβανομένων:

  • Προστασία των ροών εσόδων και της κερδοφορίας της εταιρείας

  • Εξασφάλιση της προμήθειας αγαθών και υπηρεσιών στους πελάτες

  • Διατήρηση και ενίσχυση της αξίας των μετόχων

  • Συμμόρφωση με νομικές και κανονιστικές απαιτήσεις

Η Real Consulting έχει αποφασίσει να διατηρεί πλήρη πιστοποίηση σύμφωνα με το ISO/IEC 27001, προκειμένου να επιβεβαιώνεται η αποτελεσματική υιοθέτηση των βέλτιστων πρακτικών ασφαλείας πληροφοριών από ανεξάρτητο τρίτο φορέα πιστοποίησης.

Η πολιτική αυτή ισχύει για όλα τα συστήματα, τα άτομα και τις διαδικασίες που αποτελούν τα πληροφοριακά συστήματα της οργάνωσης, συμπεριλαμβανομένων των μελών του διοικητικού συμβουλίου, των διευθυντών, των εργαζομένων, των προμηθευτών και άλλων τρίτων που έχουν πρόσβαση στα συστήματα της Real Consulting.

  1. Πολιτική Ασφάλειας Πληροφοριών

2.1 Απαιτήσεις Ασφάλειας Πληροφοριών

Μια σαφής καθορισμένη οριοθέτηση των απαιτήσεων για την ασφάλεια των πληροφοριών εντός της Real Consulting θα συμφωνηθεί και θα διατηρηθεί με την εσωτερική επιχειρηματική δομή, έτσι ώστε όλη η δραστηριότητα του ISMS να επικεντρώνεται στην εκπλήρωση αυτών των απαιτήσεων. Οι νομικές, κανονιστικές και συμβατικές απαιτήσεις θα καταγράφονται επίσης και θα λαμβάνονται υπόψη στη διαδικασία σχεδιασμού. Συγκεκριμένες απαιτήσεις για την ασφάλεια νέων ή τροποποιημένων συστημάτων ή υπηρεσιών θα καταγράφονται κατά το στάδιο του σχεδιασμού κάθε έργου.

Είναι θεμελιώδης αρχή του Συστήματος Διαχείρισης Πληροφοριών της Real Consulting οι ελέγχοι που εφαρμόζονται να οδηγούνται από τις επιχειρηματικές ανάγκες και αυτό θα επικοινωνείται τακτικά σε όλο το προσωπικό μέσω συναντήσεων ομάδας και εγγράφων ενημέρωσης.

2.2 Πλαίσιο για τον ορισμό στόχων

Θα χρησιμοποιηθεί ένας τακτικός κύκλος για τον ορισμό των στόχων για την ασφάλεια των πληροφοριών, έτσι ώστε να συμπίπτει με τον κύκλο σχεδιασμού του προϋπολογισμού. Αυτό θα εξασφαλίσει ότι θα λαμβάνονται επαρκή κονδύλια για τις εντοπισθείσες δραστηριότητες βελτίωσης. Οι στόχοι αυτοί θα βασίζονται σε ένα σαφές κατανόηση των επιχειρηματικών απαιτήσεων, ενημερωμένοι από τη διαδικασία αναθεώρησης της διοίκησης, κατά τη διάρκεια της οποίας θα μπορούν να ληφθούν υπόψη οι απόψεις των σχετικών ενδιαφερόμενων μερών.

Οι στόχοι ασφάλειας των πληροφοριών θα τεκμηριώνονται για συμφωνημένη χρονική περίοδο, μαζί με λεπτομέρειες για το πώς θα επιτευχθούν. Αυτοί θα αξιολογούνται και θα παρακολουθούνται ως μέρος των αναθεωρήσεων διοίκησης για να διασφαλιστεί η διατήρησή τους ως έγκυρων. Αν απαιτηθούν τροποποιήσεις, αυτές θα διαχειρίζονται μέσω της διαδικασίας διαχείρισης αλλαγών.

Σύμφωνα με το ISO/IEC 27001, θα υιοθετηθούν οι αναφερόμενοι ελέγχοι από την Παράρτημα Α του προτύπου εκεί που είναι κατάλληλο από την Real Consulting. Αυτοί θα ελέγχονται τακτικά με βάση τα αποτελέσματα από τις αξιολογήσεις κινδύνου και σύμφωνα με τα σχέδια αντιμετώπισης κινδύνων ασφάλειας πληροφοριών.

Επιπλέον, ενισχυμένοι και πρόσθετοι ελέγχοι από τις ακόλουθες πρακτικές κωδικοποίησης θα υιοθετηθούν και θα εφαρμοστούν εκεί που είναι κατάλληλο:

ISO/IEC 27002 – Πρακτικές κωδικοποίησης για ελέγχους ασφάλειας πληροφοριών

ISO/IEC 27017 – Πρακτικές κωδικοποίησης για ελέγχους ασφάλειας βασισμένες στο ISO/IEC 27002 για υπηρεσίες στο cloud

ISO/IEC 27018 – Πρακτικές κωδικοποίησης για την προστασία προσωπικών πληροφοριών (PII) σε δημόσια νέφη που λειτουργούν ως επεξεργαστές PII

Η υιοθέτηση αυτών των πρακτικών κωδικοποίησης θα παρέχει επιπλέον διασφάλιση στους πελάτες μας και θα βοηθήσει περαιτέρω στη συμμόρφωσή μας με τη διεθνή νομοθεσία προστασίας δεδομένων.



 

2.3 Συνεχής βελτίωση του ISMS

Η πολιτική της Real Consulting για τη συνεχή βελτίωση είναι η εξής:

  • Συνεχώς να βελτιώνει την αποτελεσματικότητα του ISMS

  • Να ενισχύει τις τρέχουσες διαδικασίες για να τις φέρει σύμφωνα με την καλή πρακτική όπως ορίζεται στο ISO/IEC 27001 και στα σχετικά πρότυπα

  • Να επιτύχει την πιστοποίηση ISO/IEC 27001 και να τη διατηρεί σε συνεχή βάση

  • Να αυξήσει το επίπεδο προ-ενεργητικότητας (και την αντίληψη των ενδιαφερομένων για την προ-ενεργητικότητα) όσον αφορά την πληροφοριακή ασφάλεια

  • Να καθιστά τις διαδικασίες και τους ελέγχους ασφαλείας της πληροφορίας πιο μετρήσιμους για να παρέχει ισχυρή βάση για ενημερωμένες αποφάσεις

  • Να αξιολογεί τις σχετικές μετρικές κάθε χρόνο για να αξιολογήσει εάν είναι κατάλληλο να τις αλλάξει, βασιζόμενη σε συλλεγμένα ιστορικά δεδομένα

  • Να αποκτά ιδέες για βελτίωση μέσω τακτικών συναντήσεων και άλλων μορφών επικοινωνίας με τους ενδιαφερόμενους

  • Να αξιολογεί ιδέες για βελτίωση σε τακτικές διοικητικές συναντήσεις προκειμένου να προτεραιοποιήσει και να αξιολογήσει τους χρονοδιαγράμματα και τα οφέλη

Οι ιδέες για βελτιώσεις μπορούν να προέρχονται από οποιαδήποτε πηγή, συμπεριλαμβανομένων υπαλλήλων, πελατών, προμηθευτών, προσωπικού IT, αξιολογήσεων κινδύνου και αναφορών υπηρεσιών. Μόλις αναγνωριστούν, θα καταγράφονται και αξιολογούνται ως μέρος των διοικητικών αναθεωρήσεων.



 

2.4 Περιοχές πολιτικής ασφάλειας πληροφοριών

Η Real Consulting ορίζει πολιτική σε μια ευρεία γκάμα σχετικών με την ασφάλεια πληροφοριών περιοχών οι οποίες περιγράφονται με λεπτομέρεια σε ένα συνολικό σύνολο τεκμηρίωσης πολιτικής που συνοδεύει αυτήν τη γενική πολιτική ασφάλειας πληροφοριών. Αυτά τα έγγραφα έχουν σκοπό να διατηρήσουν τις τρεις πτυχές της ασφάλειας πληροφοριών, δηλαδή την εχεμύθεια, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών.

Κάθε μία από αυτές τις πολιτικές ορίζεται και συμφωνείται από έναν ή περισσότερα άτομα με ειδίκευση στο σχετικό πεδίο και μόλις επικυρωθεί επίσημα, επικοινωνείται σε κατάλληλο κοινό, τόσο εντός όσο και εκτός του οργανισμού.



 

2.5 Εφαρμογή της πολιτικής ασφάλειας πληροφοριών

Οι δηλώσεις πολιτικής που περιλαμβάνονται σε αυτό το έγγραφο έχουν ελεγχθεί και εγκριθεί από την ανώτατη διοίκηση της Real Consulting και πρέπει να τηρούνται. Η αποτυχία του υπαλλήλου να συμμορφωθεί με αυτές τις πολιτικές μπορεί να οδηγήσει σε πειθαρχική δράση σύμφωνα με τη Διαδικασία Πειθαρχικής Ενέργειας του οργανισμού. Ερωτήσεις σχετικά με οποιαδήποτε πολιτική της Real Consulting πρέπει να απευθύνονται αρχικά στον άμεσο διευθυντή του εργαζομένου.