ΑΠ18. PLANT Management Nr205

                     PLANT
                                 www.plant-management.gr
                                                    TEYXOΣ 205 - ΙΑΝΟΥΑΡΙΟΣ-ΜΑΡΤΙΟΣ 2009




                     management
                                                 Συστήµατα
                                                 διαχείρισης
                                                  ποιότητας
                                                            Η προοπτική
                                                            της ελληνικής
                                                             οικονοµίας
                                                             για το 2009


                                                           Παρουσίαση
                                                           της ΒΙ.ΠΕ.
                                                             Θράκης

                                           Πράσινες µετακινήσεις
                         1 5 6 1
INFOPUBLICA AE, ΚΑΡΤΑΛΗ 4, 115 28 AΘHNA
ENTYΠO KΛEIΣTO AP. AΔEIAΣ 335/1988 KΔA




                         Κ Ω Δ Ι Κ Ο Σ
                     4973




                                       Π. Παπασταύρου  Π. Αγερίδης        Α. Βραχνός
[ποιότητα]



        Διοίκηση Ασφάλειας Πληροφοριών                                              πρέπει να διασφαλίζει τις διαδικασίες διαχείρισης κινδύνων
                                                                    και ένα αποτελεσματικό σύστημα εσωτερικών ελέγχων.

           και Πρότυπα Συμμόρφωσης                                              Παράλληλα θα πρέπει να ικανοποιούνται οι υποχρεώσεις
                                                                    που απορρέουν από τη νομοθεσία και για το λόγο αυτό η
                                                                    εταιρική διακυβέρνηση θα πρέπει να φροντίζει για αυτές τις
                          του Σωτήρη Γκαγιαλή , Ερευνητή ΕΜΠ, Σχολή Μηχανολόγων Μηχανικών,          απαιτήσεις και να ικανοποιείται ο στόχος της διαφάνειας.
                               Τομέας Βιομηχανικής Διοίκησης & Επιχειρησιακής Έρευνας.
                                                                    Σχετικά με την ασφάλεια των πληροφοριών, θα πρέπει να
       Η διοίκηση της ασφάλειας των πληροφοριών (information security) έχει πλέον φτάσει σε ώριμο στάδιο             εξασφαλίζεται ότι οι κίνδυνοι είναι γνωστοί και διαχειρίσμοι,
       και έχει γίνει αντικείμενο πρακτικής εφαρμογής σε επιχειρήσεις και οργανισμούς. Εδώ και πολλά χρόνια            όσον αφορά τα πάγια της επιχείρησης και την προστασία
                                                                    τους. Αυτό σημαίνει αναγνώριση και αποτίμηση των κινδύνων
       τα θέματα ασφάλειας εστιάζονταν στην ασφάλεια των πληροφοριακών συστημάτων (IT security) και                ασφάλειας των πληροφοριών αλλά και της επιχειρησιακής
       οι υλοποιήσεις συστημάτων ασφαλείας είχαν ανατεθεί στα Τμήματα Πληροφορικής και στους ειδικούς               δραστηριότητας γενικότερα, καθώς και υλοποίηση ενός
       τεχνικούς ασφάλειας των πληροφοριακών συστημάτων. Από τη δεκαετία του 1990 τα πράγματα άρχισαν να             αποτελεσματικού συστήματος ελέγχων. Επίσης, σημαίνει την
       διαφοροποιούνται, οπότε και εμφανίστηκαν τα πρώτα πρότυπα διοίκησης της ασφάλειας της πληροφορίας             ανάγκη τακτικής παρακολούθησης και αναθεώρησης των
       (όπως το BS7799) εστιάζοντας σε θέματα ασφάλειας που σχετίζονται με ανθρώπους, διαδικασίες,                ελέγχων ώστε αυτοί να παραμένουν αποτελεσματικοί. Με
       πληροφορία, καθώς και τα πληροφοριακά συστήματα. Από τότε, το αντικείμενο έχει ερευνηθεί και εξελιχθεί           άλλα λόγια, θα πρέπει να υφίσταται μία διαδικασία διοίκησης
                                                                    της ασφάλειας της πληροφορίας για την προστασία της ως
       αρκετά, οδηγώντας μας στη σημερινή κατάσταση όπου έχουν αναπτυχθεί πλέον διεθνή πρότυπα από                πάγια περιουσία του οργανισμού.
       οργανισμούς όπως o ISO/IEC. Αυτά τα πρότυπα χρησιμοποιούνται από χιλιάδες οργανισμούς παγκοσμίως.
       Στο παρών άρθρο γίνεται μία προσπάθεια καταγραφής του τι μπορεί να προσφέρει η διοίκηση της                Η ασφάλεια της πληροφορίας αποτελεί ευθύνη από το Σχήμα 1: Η προσέγγιση διαχείρισης ενός συστήματος ασφάλειας των πληροφοριών
       ασφάλειας των πληροφοριών στους οργανισμούς που υιοθετούν παρόμοια πρότυπα. Ιδιαίτερη αναφορά               Διοικητικό Συμβούλιο και το Διευθύνοντα Σύμβουλο και
       γίνεται στις εσωτερικές απειλές και τους κινδύνους που προκύπτουν από αυτές, ως ένα ανερχόμενο               διαμέσου όλων των επιπέδων διοίκησης, μέχρι τον τελευταίο
       πρόβλημα ασφάλειας των πληροφοριών.                                            εργαζόμενο της επιχείρησης. Το Διοικητικό Συμβούλιο θα στην διαχείριση της ευαίσθητης πληροφορίας του και
                                                                    πρέπει να θέτει την πολιτική και τις γενικές κατευθύνσεις για των κινδύνων που την απειλούν, έτσι ώστε η πληροφορία
                                                                    την ασφάλεια των πληροφοριών σε ολόκληρη την επιχείρηση να παραμένει ασφαλής. Η ασφάλεια της πληροφορίας
       Εσωτερικές Απειλές και Κίνδυνοι                αυτό αυξάνεται χρόνο με το χρόνο. Τα συμβάντα αυτά      και να εξασφαλίζει τους πόρους για την υλοποίηση τους. Η βασίζεται στα εξής τρία στοιχεία:
       Ως εσωτερικές απειλές μπορούν να θεωρηθούν αυτές που     περιλαμβάνουν κυρίως κλοπή πληροφοριών, απάτες ή       ανώτερη Διοίκηση θα πρέπει να παρέχει την υποστήριξη και • ακεραιότητα: οι πληροφορίες είναι πλήρεις και χωρίς
       προέρχονται από τους εργαζόμενους και το προσωπικό      κάποιου είδους δολιοφθορά.                  την ενίσχυση των γενικών κατευθύνσεων και της πολιτικής     περιπτώσεις μη εξουσιοδοτημένης τροποποίησης
       του οργανισμού, συμπεριλαμβανομένων των Διευθυντών,                                    που έχει τεθεί. Επιπλέον κάθε τμήμα της επιχείρησης θα • διαθεσιμότητα: οι πληροφορίες είναι προσιτές σε εκείνους
       καθώς και από τους εξωτερικούς συνεργάτες που έχουν      Εκτός από τις εσωτερικές απειλές υπάρχουν οι εκθέσεις    πρέπει να ασχολείται με την ασφάλεια των πληροφοριών      που τις χρειάζονται
       πρόσβαση στις εγκαταστάσεις ή και τα συστήματα του      σε εσωτερικούς κινδύνους των εταιρικών πληροφοριών      ως μέρος της καθημερινής εργασίας του προσωπικού. Αυτή • εμπιστευτικότητα: οι πληροφορίες είναι ασφαλείς από την
       οργανισμού, οι οποίοι μπορούν να εκμεταλλευτούν        που απειλούν την ασφάλεια και την ακεραιότητα αυτών.     η εμπλοκή όλων των διοικητικών επιπέδων στην ασφάλεια      πρόσβαση μη εξουσιοδοτημένων προσώπων
       τις αδυναμίες των συστημάτων και των διαδικασιών       Τέτοιες περιπτώσεις περιλαμβάνουν τα ανθρώπινα λάθη     των πληροφοριών μπορεί να αποτρέψει περιστατικά που
       προκειμένου είτε να επιτύχουν προσωπικό κέρδος μέσω      στη διαχείριση των δεδομένων λόγω επιπολαιότητας       οφείλονται σε κενά ή τρωτά σημεία που υπάρχουν κάπου Ένα σύστημα διοίκησης της ασφάλειας των πληροφοριών
       απάτης ή κλοπής πληροφοριών, είτε για να προκαλέσουν     ή ελλιπούς εκπαίδευσης του προσωπικού, καθώς και η      εντός του πλαισίου διοίκησης και της αλυσίδας: πολιτική – είναι ένα σύστημα διοίκησης που επιδρά στο σύνολο του
       δολιοφθορά στην επιχείρηση.                  απουσία επίγνωσης των κινδύνων που οδηγεί κάποιον      κατευθύνσεις - υλοποίηση της ασφάλειας της πληροφορίας. οργανισμού και περιλαμβάνει το προσωπικό, τις διαδικασίες
                                      ανυποψίαστο εργαζόμενο στην αποκάλυψη εμπιστευτικών                                    και τα πληροφοριακά συστήματα. Επίσης, ένα τέτοιο
       Με την έννοια αυτή, ο καθένας μπορεί να αποτελεί δυνητική   πληροφοριών της επιχείρησης.                 Τα προβλήματα ασφάλειας της πληροφορίας έχουν σύστημα μπορεί να ενσωματωθεί σε οργανισμούς κάθε
       εσωτερική απειλή για έναν οργανισμό: από τα στελέχη της                                  εντοπιστεί και αντιμετωπιστεί ποικιλοτρόπως σε διάφορες είδους, μεγέθους, ή επιχειρησιακού κλάδου. Από αυτή την
       ανώτερης διοίκησης ή τους Διευθυντές όλων των επιπέδων,    Η Ασφάλεια της Πληροφορίας είναι Ευθύνη Όλων         περιπτώσεις παγκοσμίως εδώ και αρκετά χρόνια. Πολλοί άποψη, ένα σύστημα διοίκησης της ασφάλειας πληροφοριών
       μέχρι τους εξειδικευμένους τεχνικούς, τους διαχειριστές των  των Διοικητικών Επιπέδων                   οργανισμοί έχουν διαμορφώσει και εφαρμόσει ήδη εμφανίζει αρκετές ομοιότητες με ένα σύστημα διαχείρισης
       συστημάτων, ακόμα και κάποιους μη ειδικούς που διαθέτουν   Η πληροφορία που παράγει ή διαχειρίζεται ένας        τις βέλτιστες πρακτικές διοίκησης της ασφάλειας των ποιότητας, όπως είναι αυτό που διαμορφώνεται με βάση
       όμως τις ευκαιρίες πρόσβασης στην εταιρική πληροφορία.    οργανισμός είναι ένα αντικείμενο ζωτικής σημασίας. Σήμερα,  πληροφοριών εδώ και δεκαετίες. Σήμερα, πολλές από τις το πρότυπο ISO 9001:2000. Σε αρκετές περιπτώσεις ένας
       Υπάρχουν αρκετά παραδείγματα επιχειρήσεων που         οι πληροφορίες θεωρούνται ως προϊόντα με επιχειρησιακή    πρακτικές αυτές έχουν διατηρηθεί και ενσωματωθεί στα οργανισμός αναπτύσσει ταυτόχρονα και συνδυασμένα, το
       αντιμετώπισαν εσωτερικά προβλήματα ακόμα και σοβαρές     αξία. Η συγκεκριμένη διαπίστωση ισχύει για όλα τα είδη    διάφορα διεθνή πρότυπα που έχουν αναπτυχθεί, όπως είναι σύστημα διοίκησης της ασφάλειας των πληροφοριών μαζί
       επιπτώσεις στην εξωτερική τους εικόνα, λόγω δολιοφθοράς    και μεγέθη των επιχειρήσεων. Η πληροφορία αποτελεί      το ISO/IEC 27001 και το ISO/IEC 27002.            με το σύστημα διαχείρισης ποιότητας.
       στα πληροφοριακά συστήματα, καταστροφής εταιρικών       περιουσιακό στοιχείο κάθε επιχείρησης, το οποίο όπως και
       αρχείων και σημαντικών πληροφοριών ή διενέργειας       άλλα σημαντικά περιουσιακά στοιχεία, προσδίδουν αξία και   Πρότυπα Συστημάτων Διοίκησης της Ασφάλειας           Το πρότυπο ISO/IEC 27001 παρέχει τις προδιαγραφές για
       κλοπής. Έρευνες στις Ηνωμένες Πολιτείες της Αμερικής     επομένως πρέπει να διαφυλάσσεται.              των Πληροφοριών                         τη διαμόρφωση ενός συστήματος διοίκησης της ασφάλειας
       και τη Μεγάλη Βρετανία, καταδεικνύουν ότι το 35%                                      Ένα σύστημα διοίκησης της ασφάλειας των πληροφοριών       των πληροφοριών (information security management
       των συμβάντων σε θέματα ασφάλειας των οργανισμών       Το διοικητικό συμβούλιο κάθε οργανισμού που είναι εν τέλει  (information security management system – ISMS) αποτελεί    system – ISMS). Το πρότυπο αυτό υιοθετείται σε όλο τον
       προκαλούνται από εσωτερικές απειλές, ενώ το ποσοστό      υπεύθυνο για τη διαφύλαξη των παγίων της επιχείρησης, θα   μια συνολική και συστηματική προσέγγιση του οργανισμού     κόσμο, τόσο από εμπορικές επιχειρήσεις όσο και από


60                                                     PLANTmanagement       www.plant-management.gr                                                 61
[ποιότητα]


       δημόσιους οργανισμούς, ως η βάση για τη διαμόρφωση της   IEC 27005 (που συναντάται με τον εκτενέστερο τίτλο:       στους χώρους τήρησης της πληροφορίας.         Συμπεράσματα
       πολιτικής ασφάλειας των πληροφοριών και την υλοποίηση   ISO/IEC 27005:2008 ISMS Risk Management), το οποίο      5. Ελέγχους διαχωρισμού των καθηκόντων των συστημικών   Στις μέρες μας, οι πληροφορίες αυξάνονται στον όγκο,
       τέτοιων συστημάτων ασφάλειας. Οι επιχειρήσεις που     περιλαμβάνει οδηγίες για την εφαρμογή των εννοιών και      και των φυσικών ρόλων που αναλαμβάνει το προσωπικό   την πολυπλοκότητα, και την κρισιμότητά τους, και καθώς η
       έχουν χρησιμοποιήσει το πρότυπο είναι όλων των μεγεθών   των μεθόδων της διαχείρισης των κινδύνων.            καθώς και υλοποίηση των εγκεκριμένων ρόλων.      πρόσβαση στις πληροφορίες διευρύνεται, αυτές είναι όλο και
       (μικρές, μεσαίες, μεγάλες) και όλων των επιχειρησιακών                                 6. Ελέγχους στους διαχειριστές των συστημάτων ως     περισσότερο ευάλωτες σε απειλές εσωτερικές ή εξωτερικές.
       κλάδων (μεταποιητικές και παροχής υπηρεσιών), καθώς    Όσον αφορά τον τρόπο διαχείρισης των συμβάντων         δυνητικές εσωτερικές απειλές για την ασφάλεια των   Περισσότεροι άνθρωποι μπορούν να έχουν πρόσβαση σε
       το πρότυπο αυτό είναι αρκετά ευέλικτο για να μπορεί να   ασφάλειας που προκύπτουν, ως πρόσθετο του προτύπου       πληροφοριών.                      περισσότερα στοιχεία όσο ποτέ άλλοτε. Συνεπώς η ασφάλεια
       εφαρμοστεί από διαφορετικές κατηγορίες οργανισμών.     ISO/IEC 27001 και των οδηγιών του ISO/IEC 27002       7. Διαδικασίες δημιουργίας αντιγράφων ασφαλείας και    των ευαίσθητων πληροφοριών καθίσταται μια απόλυτη
                                    έχει διαμορφωθεί το πρότυπο ISO/IEC 18044 το οποίο       ανάκτησης της πληροφορίας μετά από κάποιο συμβάν.   ανάγκη για τους οργανισμούς. Οι διάφοροι τύποι απειλών,
       Το πρότυπο ISO/IEC 27001 αποτελεί πλέον την κοινή     αναθεωρείται και μετονομάζεται σε πρότυπο ISO/IEC      8. Ελέγχους στη χρήση φορητών συσκευών (USB stick,    αδυναμιών και ρίσκου που αντιμετωπίζουν οι επιχειρήσεις
       γλώσσα όλων στο θέμα της διαχείρισης της ασφάλειας των   27035. Το πρότυπο αυτό παρέχει πιο λεπτομερείς οδηγίες     Laptops, κινητά τηλέφωνα) και στην πρόσβαση των    σε καθημερινή βάση προκαλούν τεράστιες ανησυχίες, και
       πληροφοριών και υιοθετεί τη γνωστή προσέγγιση PDCA     και κατευθύνσεις για τη διαδικασία διαχείρισης των       χρηστών στην πληροφορία μέσω αυτών.          έχει γίνει προφανές ότι ένα σύστημα που να διαχειρίζεται
       (Plan, Do, Check, Act) για τη διαχείριση ενός συστήματος  συμβάντων ασφάλειας.                                                  την ασφάλεια πληροφοριών θεωρείται απολύτως αναγκαίο.
       ασφάλειας των πληροφοριών (Σχήμα 1). Η προσέγγιση                                    Στις επιχειρήσεις υπάρχει πλέον αρκετή γνώση τόσο     Χωρίς ασφάλεια πληροφοριών, κάθε οργανισμός βρίσκεται
       αυτή στοχεύει στη συνεχή βελτίωση του συστήματος.     Μετά την ανάπτυξη και εφαρμογή στον οργανισμό του      των απειλών της ασφάλειας των πληροφοριών όσο και     αντιμέτωπος με τις διάφορες αρνητικές επιδράσεις
                                    συστήματος διοίκησης της ασφάλειας των πληροφοριών      των τεχνολογικών εργαλείων και ασφαλιστικών δικλείδων   συμπεριλαμβανομένων των οικονομικών συνεπειών, της
       Ένα από τα πρότυπα που υποστηρίζουν την υλοποίηση     ακολουθεί η φάση της πιστοποίησης του συστήματος       αντιμετώπισης των κινδύνων και προστασίας από σχετικές  αδυναμίας στην προστασία της πνευματικής ιδιοκτησίας του
       του προτύπου ISO/IEC 27001 είναι ο κώδικας πρακτικής    κατά το πρότυπο ISO/IEC 27001. Η πιστοποίηση του       επιθέσεις. Βέβαια, η τεχνολογία και τα εργαλεία που    οργανισμού, της απώλειας μεριδίου αγοράς, της μειωμένης
       εφαρμογής ISO/IEC 27002 που παρέχει οδηγίες        συστήματος διοίκησης ασφάλειας πληροφοριών ενός       προσφέρει αποτελούν μόνο το ένα μέρος για την επίτευξη  απόδοσης, των ανεπαρκών διαδικασιών, της ανικανότητας
       υλοποίησης των ελέγχων ασφάλειας των πληροφοριών      οργανισμού είναι ένας τρόπος διαβεβαίωσης ότι ο       του στόχου της διασφάλισης της πληροφορίας. Τα      να συμμορφωθεί με τους νόμους, καθώς και της απώλειας
       που προσδιορίζονται στο πρότυπο ISO/IEC 27001. Οι     πιστοποιημένος οργανισμός έχει εφαρμόσει ένα κατάλληλο    υπεύθυνα στελέχη της Διοίκησης για την ασφάλεια των    φήμης.
       περιοχές ελέγχου που παρέχουν αυτά τα δύο πρότυπα     σύστημα ασφάλειας σύμφωνα με τις απαιτήσεις του εν      πληροφοριών καλούνται επιβάλουν την εσωτερική πολιτική
       περιλαμβάνουν:                       λόγω πρότυπου. Σήμερα, σχεδόν 5000 οργανισμοί έχουν     που θα διασφαλίσει την κατάλληλη χρήση και προστασία   Καθώς οι εσωτερικές απειλές της ασφάλειας των
       1. Information security policy - Πολιτική ασφάλειας των  πιστοποιηθεί ότι συμμορφώνονται με το πρότυπο ISO/      των πληροφοριακών συστημάτων της επιχείρησης.       πληροφοριών αποτελούν ολοένα και αυξάνουν, οι
         πληροφοριών                      IEC 27001. Περισσότερες πληροφορίες δίνονται στην                                   οργανισμοί θα πρέπει να λάβουν σοβαρά υπόψη αυτήν την
       2. Organizing information security - Οργάνωση της     ηλεκτρονική Διεύθυνση: www.iso27001certificates.com.     Θα πρέπει η αξία των επενδύσεων σε συστήματα ασφάλειας  κατάσταση και να υλοποιήσουν πλαίσια διοίκησης που να
         ασφάλειας των πληροφοριών                                              να αξιολογείται μέσω της παρακολούθησης της συμμόρφωση  διασφαλίζουν την προστασία της πληροφορίας ως πάγιο
       3. Asset management - Διαχείριση ασφάλειας παγίων     Εφαρμογή ενός Συστήματος Ασφάλειας              των χρηστών και μέσω της εκτίμησης του αντίκτυπου στην  περιουσιακό στοιχείο, μετρώντας συνεχώς τους κινδύνους
       4. Human resource security - Ασφάλεια ανθρώπινων      των Πληροφοριών                       εφαρμογή, την παρακολούθηση και την υλοποίησή τους.    που αντιμετωπίζουν. Ενώ ένας οργανισμός θα μπορούσε
         πόρων                         Ένα σύστημα ασφάλειας των πληροφοριών θα πρέπει να      Διεθνείς έρευνες έχουν δείξει ότι οι επιχειρήσεις και   ενδεχομένως να υπολογίσει την πιθανότητα να εκδηλωθεί
       5. Physical and environmental security - Φυσική ασφάλεια  αποτελείται τόσο από τις τεχνικές λύσεις για τη διασφάλιση  οι οργανισμοί παγκοσμίως επενδύουν στις υποδομές,     μία εσωτερική απειλή, το πότε θα εκδηλωθεί η απειλή αυτή
         χώρων                         της ακεραιότητας, της διαθεσιμότητας και του απόρρητου    αλλά υστερούν στην εφαρμογή, την παρακολούθηση της    είναι εξαιρετικά αβέβαιο.
       6. Communications and operations management -       της πληροφορίας, όσο και από τις διαδικασίες ελέγχου για   υλοποίησης μέσω μετρήσιμων δεικτών, την επισκόπηση και
         Διαχείριση επικοινωνιών και λειτουργίας        την επίτευξη του επιθυμητού επιπέδου ασφάλειας.       την αναθεώρηση των πολιτικών ασφάλειας.          Για το σκοπό αυτό απαιτείται η ανάπτυξη και ενσωμάτωση
       7. Access control - Έλεγχος της πρόσβασης στις                                                                  στην λειτουργία του οργανισμού, ενός συστήματος διοίκησης
         πληροφορίες                      Οι έλεγχοι της ασφάλειας των πληροφοριών αποτελούνται    Η πλειοψηφία των έργων για την ασφάλεια πληροφοριών    της ασφάλειας πληροφοριών. Ένα τέτοιο σύστημα αποτελεί
       8. Information systems acquisition, development and    από σημαντικά ζητήματα που καλύπτονται από το πρότυπο    εντάσσεται στους προϋπολογισμούς των τμημάτων       μια συνολική και συστηματική προσέγγιση του οργανισμού
         maintenance - Απόκτηση, ανάπτυξη και συντήρηση     ISO/IEC 27001, ανάλογα με τη φύση του οργανισμού και τις   πληροφορικής, ενώ παράλληλα τα τμήματα αυτά αποκτούν   στην διαχείριση της ευαίσθητης πληροφορίας του και
         πληροφοριακών συστημάτων                λειτουργίες του. Τέτοια ζητήματα περιλαμβάνουν:       και τον έλεγχο του συνολικού προϋπολογισμού ασφαλείας.  των κινδύνων που την απειλούν, έτσι ώστε η πληροφορία
       9. Information security incident management - Διαχείριση  1. Έλεγχους του προσωπικού κατά την πρόσληψή         Βέβαια τέτοια έργα δεν θα πρέπει να αντιμετωπίζονται   να παραμένει ασφαλής. Ένα σύστημα ασφάλειας των
         συμβάντων ασφάλειας πληροφοριών              του (ικανότητες, ιστορικό), κατά τη διάρκεια της     μόνο ως έργα που αφορούν την τεχνολογία και τα      πληροφοριών είναι ένα δύσκολο και απαιτητικό έργο το
       10. Business continuity management - Διαχείριση της      απασχόλησής του (καθήκοντα, δικαιώματα στα        πληροφοριακά συστήματα, αλλά επίσης και τις διαδικασίες  οποίο οδηγεί σε αλλαγές σε υποδομές, εγκαταστάσεις
         συνέχειας της επιχειρησιακής λειτουργίας          πληροφοριακά συστήματα και στους χώρους) και       του οργανισμού, εμπλέκοντας όλες τις διοικητικές δομές  και βέβαια σε ζητήματα οργάνωσης και λειτουργίας του
       11. Compliance - Συμμόρφωση με νομικές ή άλλες         κατά την αποχώρησή του (ακύρωση λογαριασμών,       και τα τμήματά του.                    οργανισμού.
         απαιτήσεις                         επιστροφή εξοπλισμού).
                                    2. Εφαρμογή προγραμμάτων αφύπνισης και εκπαίδευσης
       Αυτές οι περιοχές ελέγχων παρέχουν πλήρη κάλυψη        σε θέματα ασφάλειας.
       των απαιτήσεων ενός οργανισμού για τη διαχείριση των    3. Ελέγχους προστασίας των πληροφοριών που αποτελούν
       κινδύνων που σχετίζονται με τη ασφάλεια των πληροφοριών
       αναφορικά με τους ανθρώπους, τις διαδικασίες και τα
                                      πάγια περιουσία της επιχείρησης.
                                    4. Ελέγχους στην πρόσβαση του προσωπικού στην
                                                                   ›
       πληροφοριακά συστήματα.                                                       Ο κ. Γκαγιαλής είναι Μηχανολόγος Μηχανικός, στέλεχος του Τομέα Βιομηχανικής Διοίκησης
                                      πληροφορία μέσω πληροφοριακών συστημάτων,
                                                                        & Επιχειρησιακής Έρευνας του ΕΜΠ. Ειδικεύεται σε θέματα ανασχεδιασμού των επιχειρησι-
                                      καθιέρωση διαδικασιών απόκτησης δικαιωμάτων
       Για την υποστήριξη του προτύπου ISO/IEC 27001, έχει                                        ακών διαδικασιών, εφοδιαστικής αλυσίδας και πληροφορικών συστημάτων. Διαθέτει εμπειρία
                                      πρόσβασης στα πληροφοριακά συστήματα, καθώς
       επίσης δημιουργηθεί και δημοσιευτεί το πρότυπο ISO/                                        σε πλήθος εφαρμοσμένων μελετών σε ιδιωτικές επιχειρήσεις και δημόσιους οργανισμούς,
                                      και ελέγχους στη φυσική πρόσβαση του προσωπικού
                                                                        καθώς επίσης διδακτικό και ερευνητικό έργο στο ΕΜΠ.


62                                                   PLANTmanagement       www.plant-management.gr                                                63