Ασφάλεια Πληροφοριών

 

1.    Σκοπός & αποδέκτες εγγράφου

Το παρόν έγγραφο περιγράφει την πολιτική της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ όσον αφορά την οργάνωση για την ασφάλεια των πληροφοριών της που εμπίπτουν στο πεδίο εφαρμογής του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ).

Αποδέκτες του παρόντος εγγράφου είναι η διοίκηση, το ανθρώπινο δυναμικό, καθώς και οι συνεργάτες της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ που σχετίζονται με τους πληροφοριακούς πόρους της εταιρείας 

που εμπίπτουν στο πεδίο εφαρμογής του ΣΔΑΠ.

 

2.   Εύρος / Εξαιρέσεις

Η παρούσα πολιτική έχει εφαρμογή στους πληροφοριακούς πόρους της εταιρείας που εμπίπτουν στο πεδίο εφαρμογής του ΣΔΑΠ.

Καμία απόκλιση από την παρούσα πολιτική δεν είναι αποδεκτή για τους ως άνω πόρους.

 

3.           Εσωτερική οργάνωση της εταιρείας για την ασφάλεια

3.1    Οργάνωση της ασφάλειας πληροφοριών

Η επιχείρηση CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ έχει καθορίσει τις οργανωτικές δομές και ρόλους που είναι υπεύθυνοι ή σχετίζονται με τη διαχείριση της ασφάλειας των πληροφοριών της. Μέσω των συγκεκριμένων δομών και ρόλων, η επιχείρηση CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ στοχεύει στην προστασία των πληροφοριών της από μη εξουσιοδοτημένη πρόσβαση, αποκάλυψη, αλλοίωση ή καταστροφή. Η οργάνωση της εταιρείας για την ασφάλεια των πληροφοριών έχει επικοινωνηθεί από τη Διοίκηση της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ στο προσωπικό και στους συνεργάτες της εταιρείας και περιλαμβάνει τους παρακάτω ρόλους:

 

3.1.1  Διοίκηση

Στα τυπικά καθήκοντα της Διοίκησης της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ όσον αφορά την ασφάλεια των πληροφοριών εμπίπτουν:

  • ο έλεγχος και η έγκριση της πολιτικής ασφάλειας, τόσο της αρχικής έκδοσης όσο και κάθε αναθεώρησης αυτής
  • ο έλεγχος και η έγκριση των ρόλων και αρμοδιοτήτων σχετικά με τη διαχείριση του ΣΔΑΠ
  • η παρακολούθηση σημαντικών αλλαγών στην οργάνωση ή τις υποδομές της εταιρείας που δημιουργούν την ανάγκη αναθεώρησης του ΣΔΑΠ
  • η παρακολούθηση συμβάντων που σχετίζονται με την ασφάλεια
  • η ανάληψη πρωτοβουλιών για την ενίσχυση της ασφάλειας των πληροφοριακών πόρων της εταιρείας με την υιοθέτηση πρόσθετων μέτρων

Υπεύθυνος από την πλευρά της Διοίκησης της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ για το ΣΔΑΠ έχει οριστεί η κα. Ελένη Λαμπροπούλου.

 

3.1.2   Υπεύθυνος Ασφάλειας Πληροφοριών

Ο Υπεύθυνος Ασφάλειας Πληροφοριών (ΥΑΠ) είναι υπεύθυνος για την καθημερινή διαχείριση και έλεγχο εφαρμογής του ΣΔΑΠ.

Τα καθήκοντα του Υπεύθυνου Ασφάλειας Πληροφοριών περιλαμβάνουν:

  • τον προσδιορισμό των ρόλων και καθηκόντων σχετικά με την ασφάλεια των πληροφοριακών πόρων της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ τη συμμετοχή και υποστήριξη σημαντικών πρωτοβουλιών σχετικά με την ασφάλεια (π.χ. πρόγραμμα επιμόρφωσης στελεχών σε θέματα ασφάλειας, πρόγραμμα προώθησης του ΣΔΑΠ)
  • τη μέριμνα για τη συμπερίληψη των κατάλληλων μέτρων ασφάλειας στο σχεδιασμό επεκτάσεων/ αναβαθμίσεων των πληροφοριακών συστημάτων και υποδομών της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ τη μέριμνα για τη λήψη όλων των κατάλληλων μέτρων για τη διασφάλιση της φυσικής και περιβαλλοντικής ασφάλειας των κτιριακών υποδομών της εταιρείας
  • την αποτίμηση της καταλληλότητας και το συντονισμό της εφαρμογής μέτρων ασφάλειας κατά την υλοποίηση επεκτάσεων/ αναβαθμίσεων των πληροφοριακών συστημάτων και υποδομών της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ τη διατήρηση της δέσμευσης της Διοίκησης της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ στην εφαρμογή του ΣΔΑΠ
  • την υποβολή προτάσεων στη Διοίκηση για τη λήψη πρόσθετων μέτρων ασφάλειας
  • τον έλεγχο και έγκριση νέων πολιτικών και διαδικασιών ασφάλειας ή τροποποιήσεων σε ήδη υπάρχουσες
  • τον ακριβή προσδιορισμό των πληροφοριακών πόρων της εταιρείας
  • τον προσδιορισμό των διαδικασιών χορήγησης πρόσβασης στους πληροφοριακούς πόρους
  • την έγκριση/ άρνηση χορήγησης πρόσβασης στους πληροφοριακούς πόρους
  • την επισκόπηση και αναθεώρηση, εάν κριθεί απαραίτητο, των δικαιωμάτων πρόσβασης στους πληροφοριακούς πόρους
  • την παρακολούθηση και έλεγχο των σχετικών περιστατικών ασφάλειας

Επίσης, στα τυπικά καθήκοντα του ΥΑΠ εντάσσονται:

  • η μέριμνα για συνεχή συμμόρφωση προς τις πολιτικές ασφάλειας και η υποστήριξη της εφαρμογής τους
  • η ανάπτυξη και συνεχής επικαιροποίηση του προγράμματος αντιμετώπισης περιστατικών ασφάλειας και συνέχισης της επιχειρησιακής λειτουργίας
  • η συμβολή και ενεργός συμμετοχή σε όλα τα θέματα ή προβλήματα που αφορούν την ασφάλεια των πληροφοριακών πόρων της εταιρείας

Υπεύθυνος Ασφάλειας της εταιρείας έχει οριστεί η κα .Ελένη Λαμπροπούλου

 

3.1.3  Διαχειριστές Συστημάτων

Οι διαχειριστές των συστημάτων είναι τα άτομα εκείνα που είναι επιφορτισμένα με τις εργασίες καθημερινής διαχείρισης των πληροφοριακών συστημάτων και έχουν την ευθύνη καλής λειτουργίας τους. Στα καθήκοντά τους εμπίπτουν:

  • η χορήγηση πρόσβασης σε πληροφοριακούς πόρους (απόδοση επιπλέον δικαιωμάτων ή δημιουργία νέου λογαριασμού χρήστη), σύμφωνα με τις υποδείξεις του ΥΑΠ
  • η διατήρηση του φυσικού ελέγχου των δεδομένων
  • η εφαρμογή των προβλεπόμενων μέτρων ασφάλειας κατά την πρόσβαση, επεξεργασία, αποθήκευση και μετάδοση πληροφορίας
  • η διαχείριση των λογαριασμών χρηστών σύμφωνα με την πολιτική και τα πρότυπα ασφάλειας
  • η παροχή υποστήριξης στον ΥΑΠ για θέματα λειτουργίας και συντήρησης των συστημάτων
  • ο έλεγχος τήρησης των πολιτικών ασφάλειας από τους χρήστες (π.χ. χρήση των σταθμών εργασίας, χρήση του διαδικτύου κλπ.)
  • η τακτική ή έκτακτη αναφορά στον ΥΑΠ για την εκδήλωση περιστατικών ασφάλειας
  • η εισήγηση στον ΥΑΠ για τη λήψη πρόσθετων μέτρων ασφάλειας

 

3.1.4 Χρήστες Συστημάτων

Ως χρήστες των συστημάτων της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ θεωρούνται όλα τα στελέχη της που χρησιμοποιούν τα συστήματα -που εμπίπτουν στο πεδίο εφαρμογής του ΣΔΑΠ- για την εκτέλεση των καθηκόντων εργασίας τους. Οι χρήστες των συστημάτων οφείλουν να συμμορφώνονται με όσα προβλέπονται στο ΣΔΑΠ.

 

3.2  Διαχωρισμός καθηκόντων και αρμοδιοτήτων

Η επιχείρηση CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ έχει μεριμνήσει ώστε να υπάρχει σαφής διαχωρισμός καθηκόντων και αρμοδιοτήτων ανάμεσα στους διάφορους ρόλους. Ειδικότερα, η πρόσβαση ενός ατόμου σε πληροφοριακούς πόρους της εταιρείας επιτρέπεται κατόπιν κατάλληλης εξουσιοδότησης από άλλο ρόλο, σύμφωνα με σαφώς τεκμηριωμένη διαδικασία.

 

3.3   Σημεία επικοινωνίας με τις Αρχές

Η επικοινωνία με τις Αρχές σε περίπτωση εκδήλωσης κάποιου περιστατικού παραβίασης της ασφάλειας γίνεται με προκαθορισμένο τρόπο. Υπεύθυνος από την πλευρά της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ για την αναφορά των περιστατικών ασφάλειας στην κατάλληλη Αρχή, καθώς και για τη γενικότερη επικοινωνία με τις Αρχές, είναι ο ΥΑΠ. Ανάλογα με το είδος των περιστατικών ασφάλειας, ο ΥΑΠ είναι πιθανό να χρειαστεί να επικοινωνήσει με τις παρακάτω Αρχές:

  • Ελληνική Αστυνομία
  • Πυροσβεστική Υπηρεσία
  • Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων
  • Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών
  • Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
  • Υπηρεσία δίωξης ηλεκτρονικού εγκλήματος

Ο ΥΑΠ διατηρεί κατάλογο με τα στοιχεία επικοινωνίας των ανωτέρω Αρχών (τηλέφωνο, e-mail, ονοματεπώνυμα σημείων επαφής).

 

3.4        Επικοινωνία με ειδικές ομάδες σχετικά με την ασφάλεια πληροφοριών

Η διατήρηση επαφών με ειδικούς εμπειρογνώμονες σε θέματα ασφάλειας, η συμμετοχή σε ειδικές ομάδες εργασίας και επαγγελματικές ενώσεις και η πρόσβαση σε εξειδικευμένες ηλεκτρονικές βιβλιοθήκες πληροφοριών διασφαλίζουν ότι η εταιρεία, και συγκεκριμένα τα στελέχη της που είναι υπεύθυνα για τη διαχείριση της ασφάλειας των πληροφοριών της, παρακολουθεί στενά τις εξελίξεις στον τομέα της ασφάλειας πληροφοριών και διαθέτει συνεχώς επίκαιρη γνώση σχετικά με τις σύγχρονες απειλές και μέτρα προστασίας.

Ο ΥΑΠ είναι υπεύθυνος για να αποφασίσει εάν κάποια από τις παραπάνω ενέργειες είναι αναγκαία. Στην περίπτωση αυτή, ο ΥΑΠ αποτελεί το σημείο επαφής της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ με τους ειδικούς εμπειρογνώμονες/ειδικές ομάδες/επαγγελματικές ενώσεις σχετικά με την ασφάλεια των πληροφοριών.

Ενδεικτικές πηγές πληροφόρησης που παρακολουθεί ο ΥΑΠ είναι οι εξής:

  • European Union Agency for Network and Information Security (ENISA), http://www.enisa.europa.eu
  • National Institute of Standards and Technology (NIST), U.S. Department of Commerce, http://www.nist.gov
  • Information Systems Audit and Control Association (ISACA), http://www.isaca.org
  • Information Systems Security Certification Consortium (ISC2), https://www.isc2.org/

 

3.5   Ασφάλεια πληροφοριών κατά τη διαχείριση έργων

Κατά τη διαχείριση έργων που εμπίπτουν στο πεδίο εφαρμογής του ΣΔΑΠ, σε όλο τον κύκλο ζωής τους, η επιχείρηση CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ μεριμνά για τη συμμόρφωσή τους με τις απαιτήσεις ασφάλειας της εταιρείας. Ειδικότερα, κατά την ανάλυση απαιτήσεων και τον καθορισμό προδιαγραφών των έργων, η επιχείρηση  CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ καθορίζει τις απαιτήσεις και προδιαγραφές ασφάλειας που πρέπει να πληρούνται, οι οποίες, στη συνέχεια, ελέγχονται κατά το στάδιο της υλοποίησης και παραλαβής των αποτελεσμάτων των έργων μέσω κατάλληλων σεναρίων ελέγχου (Βλέπε Πολιτική για την προμήθεια, ανάπτυξη και συντήρηση συστημάτων).

 

3.6  Φορητές συσκευές

Τα στελέχη της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ μπορούν να αποκτήσουν πρόσβαση στους πληροφοριακούς πόρους του ΣΔΑΠ μέσω φορητών συσκευών, τόσο εταιρικών όσο και προσωπικών, σύμφωνα με την εξής πολιτική:

  • Εφόσον υπάρξουν εταιρικές φορητές συσκευές (laptops, tablets, κινητά τηλέφωνα), όλες καταγράφονται στο μητρώο παγίων της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ.
  • Η χρήση φορητών συσκευών για πρόσβαση σε πόρους του ΣΔΑΠ γίνεται μόνο από εξουσιοδοτημένα άτομα, βάσει του ρόλου και των αρμοδιοτήτων τους.
  • Τα στελέχη της επιχείρησης CARIERRA ΠΑΤΡΑΣ ΚΕΝΤΡΟ ΔΙΑ ΒΙΟΥ ΜΑΘΗΣΗΣ ΕΠΕ.
  • πρέπει να αποφεύγουν τη χρήση προσωπικών φορητών συσκευών για πρόσβαση σε πόρους του ΣΔΑΠ.
  • Η εγκατάσταση λογισμικού (και ενημερώσεων αυτού, όπου έχει εφαρμογή) στις εταιρικές φορητές συσκευές γίνεται μόνο από εξουσιοδοτημένο προσωπικό της εταιρείας. Κανένα άλλο στέλεχος της εταιρείας δεν έχει δυνατότητα εγκατάστασης λογισμικού στις εταιρικές φορητές συσκευές.
  • Οι εταιρικές φορητές συσκευές απαγορεύεται να συνδέονται σε δίκτυα πελατών/ συνεργατών της εταιρείας.
  • Όσον αφορά τη διαβάθμιση των πληροφοριών (βλέπε Πολιτική Διαχείρισης Πληροφοριακών Πόρων) που μπορούν να τηρούνται σε φορητές συσκευές ακολουθούνται οι εξής αρχές:
    • Επιτρέπεται η τήρηση δημόσιας χρήσης και ενδοεταιρικής χρήσης πληροφοριών/ δεδομένων σε φορητές συσκευές.
    • Η τήρηση εμπιστευτικών και ευαίσθητων δεδομένων σε φορητές συσκευές απαγορεύεται.

 

4.  Αναφορές

  • Πολιτική ασφάλειας πληροφοριών
  • Πολιτική Διαχείρισης Πληροφοριακών Πόρων
  • Πολιτική για την προμήθεια, ανάπτυξη και συντήρηση συστημάτων

 

5. Αρχεία

  • Σημεία επικοινωνίας με τις Αρχές
  • ΑρχείοπόρωνΣΔΑΠ