Εφαρμογή του προτύπου ISO/IEC 27001:2005 στη διαχείριση κρίσιμων πληροφοριών της υπηρεσίας πολιτικής αεροπορίας

Abstract

Η ασφάλεια των πληροφοριών αποτελεί αναμφισβήτητα σήμερα ένα από τα κεντρικά αντικείμενα ενδιαφέροντος των οργανισμών. Δίχως αυτήν ο εκάστοτε οργανισμός βρίσκεται αντιμέτωπος με πληθώρα κινδύνων που ενδέχεται να οδηγήσουν σε δυσλειτουργία, απώλεια φήμης ή ακόμα και σε νομικές κυρώσεις. Οι οργανισμοί στη προσπάθεια τους να εξαλείψουν τους κινδύνους που απειλούν την ασφάλεια των πληροφοριών τους δαπανούν ενίοτε σημαντικά ποσά προκειμένου να εγκαταστήσουν διάφορες τεχνολογικές λύσεις. Η διαχείριση όμως της ασφάλειας των πληροφοριών είναι πολλά περισσότερα από την απλή εγκατάσταση ορισμένων εξειδικευμένων τεχνικών λύσεων, περιλαμβάνει και άλλες συνιστώσες, όπως τα άτομα και τις διαδικασίες. Το πρότυπο ISO/IEC 2001:2005 «Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών – Απαιτήσεις» προέκυψε από την ανάγκη να ληφθούν υπόψη αυτές οι συνιστώσες. Το εν λόγω πρότυπο πραγματεύεται την ασφάλεια των πληροφοριών και προσεγγίζει τα άτομα, τις διαδικασίες και την τεχνολογία ενός οργανισμού συνολικά μέσα από ένα «Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών – ISMS (Information Security Management System). Ο σχεδιασμός, η υλοποίηση, ο έλεγχος και η συνεχής βελτίωση ενός ISMS με βάση τις οδηγίες και τις απαιτήσεις του προτύπου θα βοηθήσει τον οργανισμό να διασφαλίσει την ασφάλεια των πληροφοριών του. Το πρότυπο είναι σχετικά καινούριο και η παρούσα διπλωματική εργασία θέλοντας να συνεισφέρει σε επίπεδο εμπειρικής έρευνας παρουσιάζει μια εμπειρική μελέτη του προτύπου σε έναν υπαρκτό οργανισμό σε ένα εν λειτουργία «Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών», εκείνο της Υπηρεσίας Πολιτικής Αεροπορίας.