Η δημιουργία του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών είναι μια πολύ επίπονη διαδικασία. Παρόλα αυτά, ο καθορισμός προτύπων για τον τρόπο εξασφάλισης της ασφάλειας των πληροφοριών και τον καλύτερο τρόπο προστασίας της πληροφορίας είναι ένα κρίσιμο αποτέλεσμα για την εν λόγω οργάνωση.

Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ο τρόπος που θα ακολουθήσει κάθε οργανισμός είναι σχεδόν ο ίδιος.

Πεδίο εφαρμογής της μελέτης για την ασφάλεια των πληροφοριών

Το πρώτο πράγμα που πρέπει να κάνετε είναι να προσδιορίσετε το πεδίο και τα όρια της μελέτης. Μπορεί να δημιουργηθεί ένα σύστημα για ολόκληρο τον οργανισμό ή για ένα συγκεκριμένο τμήμα. Σε κάθε περίπτωση, τα όρια της μελέτης πρέπει να είναι πλήρη και σωστά καθορισμένα. Το πεδίο εφαρμογής θα πρέπει να καθορίζεται σύμφωνα με την απόφαση των ανώτατων διευθυντικών στελεχών και τους στόχους της οργάνωσης για την ασφάλεια των πληροφοριών.

Πολιτική ασφάλειας πληροφοριών

Η πολιτική αυτή καθορίζεται από τα ανώτερα στελέχη και καθορίζει τους στόχους της μελέτης και προσδιορίζει τους κινδύνους που πρέπει να αξιολογηθούν και τα κριτήρια για τη διαχείριση του κινδύνου. Η κορυφαία διοίκηση πρέπει πάντα να βρίσκεται πίσω από την πολιτική ασφάλειας πληροφοριών.

Μέθοδος αξιολόγησης κινδύνου

Πρέπει να προσδιοριστεί μέθοδος εκτίμησης κινδύνου σύμφωνα με την πολιτική ασφάλειας των πληροφοριών. Κατά συνέπεια, θα πρέπει να προσδιοριστούν αποδεκτά επίπεδα κινδύνου και να καθοριστούν κριτήρια. Οι πληροφορίες που πρέπει να προστατεύονται με τη δημιουργία ενός χάρτη κινδύνου θα πρέπει να καθορίζονται ανάλογα με τον βαθμό επίπτωσης και την πιθανότητα εμφάνισης κινδύνου.

Προσδιορισμός των κινδύνων

Οι κίνδυνοι που απειλούν την ύπαρξη πληροφοριών πρέπει να προσδιορίζονται χρησιμοποιώντας τη μέθοδο εκτίμησης του κινδύνου που πρέπει να προσδιοριστεί. Σε αυτή τη μελέτη, θα καταρτιστεί κατάλογος των στοιχείων ενεργητικού. Τα πληροφοριακά στοιχεία που θα συμπεριληφθούν στο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών θα αναγράφονται σύμφωνα με τον τύπο και τη σοβαρότητα τους. Η εμφάνιση των άκρως απόρρητων πληροφοριών μπορεί να προκαλέσει μεγάλη ζημιά στον οργανισμό, αλλά καθιστώντας τις ίδιες τις πληροφορίες άχρηστες μπορεί να είναι λιγότερο επιζήμια.

Αξιολόγηση των κινδύνων

Τα μέτρα που πρέπει να ληφθούν για τους κινδύνους που πρόκειται να καθοριστούν αποφασίζονται σε αυτό το στάδιο. Ο κίνδυνος μπορεί να εξαλειφθεί ή να μειωθεί σε αποδεκτά επίπεδα με τους κατάλληλους ελέγχους. Ή, οι παράγοντες κινδύνου εξαλείφονται και ο κίνδυνος αποφεύγεται.

Έγκριση των ανώτερων στελεχών

Μετά την ολοκλήρωση της μελέτης διαχείρισης κινδύνου, είναι απαραίτητο να εγκριθεί από την ανώτερη διοίκηση η εφαρμογή της.

Εάν ο κίνδυνος δεν μπορεί να εξαλειφθεί εντελώς, μπορεί να είναι αποδεκτός κίνδυνος κατά την κρίση της ανώτατης διοίκησης.

Σύστημα διαχείρισης ασφάλειας πληροφοριών ISO 27001οι οργανισμοί μπορούν να υποβάλουν αίτηση στους έμπειρους διευθυντές και υπαλλήλους του οργανισμού πιστοποίησης TURCERT για συμβουλευτικές υπηρεσίες.