Διαχείριση ασφάλειας πληροφοριών κατά ISO/IEC 27001:2013 σε υπηρεσίες ηλεκτρονικής διακυβέρνησης
| Κύριος συγγραφέας: | |
|---|---|
| Μορφή: | Μεταπτυχιακή εργασία |
| Γλώσσα: | Greek |
| Έκδοση: |
Α.Ε.Ι. Πειραιά Τ.Τ.
2017
|
| Θέματα: | |
| Διαθέσιμο Online: | http://okeanis.lib2.uniwa.gr/xmlui/handle/123456789/3875 |
| _version_ | 1780278279525105664 |
|---|---|
| abstract | Στα πλαίσια του μεταπτυχιακού προγράμματος σπουδών “Διαχείριση και Ενεργειακή Βελτιστοποίηση Συστημάτων” μιλήσαμε εκτενώς για τα διεθνή πρότυπα συστημάτων διαχείρισης ISO και την σημασία που έχει η εφαρμογή τους σε μια επιχείρηση ή έναν οργανισμό. Σκοπός της παρούσας διπλωματικής είναι η μελέτη του προτύπου ISO/IEC 27001:2013 «Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών – Απαιτήσεις», ενός προτύπου σχετικά καινούργιου όπως φαίνεται από την χρονολογία του αλλά η ιστορία του ξεκινάει από πολύ παλιά, το οποίο όμως γίνεται πολύ επίκαιρο με την εφαρμογή του νέου Γενικού Κανονισμού Προστασίας Δεδομένων (General Data Protection Regulation – GDPR) της Ε.Ε. που θα τεθεί σε πλήρη εφαρμογή από τον Μάιο του 2018. Μέσω της βιβλιογραφικής έρευνας θα επιχειρήσουμε να συλλέξουμε και αναλύσουμε όλα τα δεδομένα για το πως το συγκεκριμένο πρότυπο θα μπορούσε να εφαρμοστεί σε μια υπηρεσία Ηλεκτρονικής Διακυβέρνησης αλλά και γενικότερα στον ευρύτερο Δημόσιο Τομέα. Η παρούσα διπλωματική απαρτίζεται από 6 κεφάλαια, τα οποία δομούνται ως εξής: Στο Κεφάλαιο 1 παρατίθενται οι επίσημοι ορισμοί που έχουν δοθεί για την Ηλεκτρονική Διακυβέρνηση. Στην συνέχεια καταγράφονται τα οφέλη από την εφαρμογή των ηλεκτρονικών υπηρεσιών αλλά και τα τεχνολογικά ζητήματα που προκύπτουν. Επίσης, γίνεται εισαγωγή στην έννοια της Διαλειτουργικότητας και τι ισχύει σε Ευρωπαϊκό επίπεδο ενώ στο τέλος εξετάζεται η εξέλιξη της Ηλεκτρονικής Διακυβέρνησης παγκοσμίως και στην Ελλάδα. Στο Κεφάλαιο 2 τίθενται τα θέματα ιδιωτικότητας που προκύπτουν στις υπηρεσίες Ηλεκτρονικής Διακυβέρνησης και η ανάγκη για την διασφάλιση της. Οι αρχές που ισχύουν για την προστασία της ιδιωτικότητας καθώς και το νομικό και κανονιστικό πλαίσιο σε Ευρωπαϊκό και Εθνικό επίπεδο. Στο Κεφάλαιο 3 γίνεται εισαγωγή στην έννοια της ασφάλειας των πληροφοριών, την σημασία που έχει η διασφάλιση της πληροφορίας καθώς και στον τρόπο διαχείρισης της. Επίσης γίνεται αναφορά στα Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) καθώς και στις μεθόδους που υπάρχουν για την ανάπτυξη τους. Στο Κεφάλαιο 4 θα προσπαθήσουμε να γνωρίσουμε την οικογένεια των προτύπων της σειράς ISO/IEC 27000 και πως δημιουργήθηκαν μέσω εκτενής βιβλιογραφικής ιστορικής αναδρομής. Στην συνέχεια εξετάζουμε την δομή, το πεδίο εφαρμογής και το περιεχόμενο των κυριότερων προτύπων της σειράς που μας ενδιαφέρουν και συγκεκριμένα των: ISO/IEC 27000:2016, ISO/IEC 27001:2013 και ISO/IEC 27002:2013. Στο Κεφάλαιο 5 δίνεται ένα πολύ επιγραμματικό παράδειγμα ανάπτυξης ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) σε έναν οργανισμό και πως κατ’ επέκταση θα μπορούσε να εφαρμοστεί σε μια υπηρεσία Ηλεκτρονικής Διακυβέρνησης, ακολουθώντας τα βήματα που μας παρέχει το πρότυπο ISO/IEC 27001:2013 και ISO/IEC 27002:2013. Στο Κεφάλαιο 6 διατυπώνονται τα συμπεράσματα της συγκεκριμένης διπλωματικής σχετικά με την ασφάλεια των πληροφοριών, την Ηλεκτρονική Διακυβέρνηση και την δυνατότητα εφαρμογής του προτύπου ISO/IEC 27001:2013 γενικά στην Δημόσια Διοίκηση. Τέλος, στο Παράρτημα Ι γίνεται μια προσπάθεια αντιπαραβολής των άρθρων που περιέχει ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων – General Data Protection Regulation της Ε.Ε. με αυτά που εμπεριέχονται στην οικογένεια των προτύπων ISO27K προκειμένου να διαπιστώσουμε την σύγκλιση τους σε πολλά σημεία. Στο σημείο αυτό, πρέπει να τονισθεί ότι η έκταση του προτύπου είναι πολύ μεγάλη, στην παρούσα διπλωματική εργασία αποτυπώνεται ένα μέρος του και ως εκ τούτου, είναι αδύνατον να αποτυπωθούν όλες οι λεπτομέρειες του σε βάθος. Κύριος σκοπός του παρόντος έργου είναι η αποτύπωση των γενικών αρχών του, η γενικότερη μεθοδολογία που ισχύει για την εφαρμογή του και τα οφέλη εφαρμογής του σ’ έναν οργανισμό γενικά. |
| abstracttranslated | In the framework of the postgraduate program "Management and Energy Optimization Systems", we have talked extensively about the international standards of ISO management systems and the importance of their application to a company or organization. The purpose of this diploma thesis is to study the standard ISO / IEC 27001: 2013 "Information Security Systems - Requirements". A standard relatively new as seen from its date, but its history starts from the past but it is very timely with the implementation of the new General Data Protection Regulation (GDPR) of the EU, which be fully implemented from May 2018. We will attempt through bibliographic research to collect and analyze all data on how this standard could apply to an eGovernment service and more generally to the wider Public Sector.This diploma consists of six chapters, which structured as follows: Chapter 1 lists the official definitions for eGovernment. The benefits from the implementation of e-services and the technical issues that arise. In addition, we make a general introduction to Interoperability Framework and who is the current European Interoperability Framework. Finally, we examine the evolution of eGovernment worldwide and in Greece. Chapter 2 sets out the issues of privacy that arise in eGovernment services and the need to ensure it. Then we examine the principles of privacy protection as well as the legal and regulatory framework at European and national level. Chapter 3 introduces the concept of information security, the importance of information security and how is managed. In addition, we make an introduction to Information Security Management Systems (ΙSΜS) and the methods usually used to develop them. In Chapter 4, we will try to get to know the family of ISO / IEC 27000 series standards through an extensive bibliographic historical review. In addition, we refer to the structure, scope and content of the main standards of the series: ISO / IEC 27000: 2016, ISO / IEC 27001: 2013 and ISO / IEC 27002: 2013. In Chapter 5, we will try to give a very succinct example of developing an Information Security Management System (ISMS) to an organization and an extension of an eGovernment service, following the steps provided by ISO / IEC 27001: 2013 and ISO / IEC 27002: 2013. Chapter 6 sets out the conclusions of this diploma thesis on information security, eGovernment and the applicability of the ISO / IEC 27001: 2013 standard in general to the Public Administration. Finally, Annex I attempts a mapping between the articles contained in the new General Data Protection Regulation and those that included in the family of ISO27K standards in order to see their convergence. At this point, it should stress that the range of the standard is very large, in this diploma thesis only a part of it is imprinted and therefore it is impossible to imprint all the details in depth. The main purpose of this diploma thesis is to outline its general principles, the general methodology for its implementation and the benefits of its application to an organization in general. |
| advisor | |
| author | Δούνιας, Σταύρος |
| author_facet | Δούνιας, Σταύρος |
| author_sort | Δούνιας, Σταύρος |
| collection | Okeanis Institutional Repository |
| format | Μεταπτυχιακή εργασία |
| id | okeanis-123456789-3875 |
| institution | University of West Attica Campus II |
| keyword | Ηλεκτρονική διακυβέρνηση Ασφάλεια πληροφοριών Συστήματα διαχείρισης ασφάλειας πληροφοριών ISO/IEC 27001:2013 Γενικός Κανονισμός Προστασίας Δεδομένων |
| language | Greek |
| physical | 167 |
| publishDate | 2017 |
| publisher | Α.Ε.Ι. Πειραιά Τ.Τ. |
| record_format | dspace |
| spelling | okeanis-123456789-38752018-12-14T10:04:45Z Διαχείριση ασφάλειας πληροφοριών κατά ISO/IEC 27001:2013 σε υπηρεσίες ηλεκτρονικής διακυβέρνησης Information security management according to ISO/IEC 27001:2013 in e-Governance services Δούνιας, Σταύρος Καραϊσάς, Πέτρος TPSH::Επιστήμη Υπολογιστών::Ασφάλεια Ηλεκτρονικών Υπολογιστών TPSH::Κοινωνικές Επιστήμες::Δημόσια Διοίκηση::Διαδίκτυο (Internet) στη Δημόσια Διοίκηση Ηλεκτρονική διακυβέρνηση Ασφάλεια πληροφοριών Συστήματα διαχείρισης ασφάλειας πληροφοριών ISO/IEC 27001:2013 Γενικός Κανονισμός Προστασίας Δεδομένων Στα πλαίσια του μεταπτυχιακού προγράμματος σπουδών “Διαχείριση και Ενεργειακή Βελτιστοποίηση Συστημάτων” μιλήσαμε εκτενώς για τα διεθνή πρότυπα συστημάτων διαχείρισης ISO και την σημασία που έχει η εφαρμογή τους σε μια επιχείρηση ή έναν οργανισμό. Σκοπός της παρούσας διπλωματικής είναι η μελέτη του προτύπου ISO/IEC 27001:2013 «Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών – Απαιτήσεις», ενός προτύπου σχετικά καινούργιου όπως φαίνεται από την χρονολογία του αλλά η ιστορία του ξεκινάει από πολύ παλιά, το οποίο όμως γίνεται πολύ επίκαιρο με την εφαρμογή του νέου Γενικού Κανονισμού Προστασίας Δεδομένων (General Data Protection Regulation – GDPR) της Ε.Ε. που θα τεθεί σε πλήρη εφαρμογή από τον Μάιο του 2018. Μέσω της βιβλιογραφικής έρευνας θα επιχειρήσουμε να συλλέξουμε και αναλύσουμε όλα τα δεδομένα για το πως το συγκεκριμένο πρότυπο θα μπορούσε να εφαρμοστεί σε μια υπηρεσία Ηλεκτρονικής Διακυβέρνησης αλλά και γενικότερα στον ευρύτερο Δημόσιο Τομέα. Η παρούσα διπλωματική απαρτίζεται από 6 κεφάλαια, τα οποία δομούνται ως εξής: Στο Κεφάλαιο 1 παρατίθενται οι επίσημοι ορισμοί που έχουν δοθεί για την Ηλεκτρονική Διακυβέρνηση. Στην συνέχεια καταγράφονται τα οφέλη από την εφαρμογή των ηλεκτρονικών υπηρεσιών αλλά και τα τεχνολογικά ζητήματα που προκύπτουν. Επίσης, γίνεται εισαγωγή στην έννοια της Διαλειτουργικότητας και τι ισχύει σε Ευρωπαϊκό επίπεδο ενώ στο τέλος εξετάζεται η εξέλιξη της Ηλεκτρονικής Διακυβέρνησης παγκοσμίως και στην Ελλάδα. Στο Κεφάλαιο 2 τίθενται τα θέματα ιδιωτικότητας που προκύπτουν στις υπηρεσίες Ηλεκτρονικής Διακυβέρνησης και η ανάγκη για την διασφάλιση της. Οι αρχές που ισχύουν για την προστασία της ιδιωτικότητας καθώς και το νομικό και κανονιστικό πλαίσιο σε Ευρωπαϊκό και Εθνικό επίπεδο. Στο Κεφάλαιο 3 γίνεται εισαγωγή στην έννοια της ασφάλειας των πληροφοριών, την σημασία που έχει η διασφάλιση της πληροφορίας καθώς και στον τρόπο διαχείρισης της. Επίσης γίνεται αναφορά στα Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) καθώς και στις μεθόδους που υπάρχουν για την ανάπτυξη τους. Στο Κεφάλαιο 4 θα προσπαθήσουμε να γνωρίσουμε την οικογένεια των προτύπων της σειράς ISO/IEC 27000 και πως δημιουργήθηκαν μέσω εκτενής βιβλιογραφικής ιστορικής αναδρομής. Στην συνέχεια εξετάζουμε την δομή, το πεδίο εφαρμογής και το περιεχόμενο των κυριότερων προτύπων της σειράς που μας ενδιαφέρουν και συγκεκριμένα των: ISO/IEC 27000:2016, ISO/IEC 27001:2013 και ISO/IEC 27002:2013. Στο Κεφάλαιο 5 δίνεται ένα πολύ επιγραμματικό παράδειγμα ανάπτυξης ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) σε έναν οργανισμό και πως κατ’ επέκταση θα μπορούσε να εφαρμοστεί σε μια υπηρεσία Ηλεκτρονικής Διακυβέρνησης, ακολουθώντας τα βήματα που μας παρέχει το πρότυπο ISO/IEC 27001:2013 και ISO/IEC 27002:2013. Στο Κεφάλαιο 6 διατυπώνονται τα συμπεράσματα της συγκεκριμένης διπλωματικής σχετικά με την ασφάλεια των πληροφοριών, την Ηλεκτρονική Διακυβέρνηση και την δυνατότητα εφαρμογής του προτύπου ISO/IEC 27001:2013 γενικά στην Δημόσια Διοίκηση. Τέλος, στο Παράρτημα Ι γίνεται μια προσπάθεια αντιπαραβολής των άρθρων που περιέχει ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων – General Data Protection Regulation της Ε.Ε. με αυτά που εμπεριέχονται στην οικογένεια των προτύπων ISO27K προκειμένου να διαπιστώσουμε την σύγκλιση τους σε πολλά σημεία. Στο σημείο αυτό, πρέπει να τονισθεί ότι η έκταση του προτύπου είναι πολύ μεγάλη, στην παρούσα διπλωματική εργασία αποτυπώνεται ένα μέρος του και ως εκ τούτου, είναι αδύνατον να αποτυπωθούν όλες οι λεπτομέρειες του σε βάθος. Κύριος σκοπός του παρόντος έργου είναι η αποτύπωση των γενικών αρχών του, η γενικότερη μεθοδολογία που ισχύει για την εφαρμογή του και τα οφέλη εφαρμογής του σ’ έναν οργανισμό γενικά. In the framework of the postgraduate program "Management and Energy Optimization Systems", we have talked extensively about the international standards of ISO management systems and the importance of their application to a company or organization. The purpose of this diploma thesis is to study the standard ISO / IEC 27001: 2013 "Information Security Systems - Requirements". A standard relatively new as seen from its date, but its history starts from the past but it is very timely with the implementation of the new General Data Protection Regulation (GDPR) of the EU, which be fully implemented from May 2018. We will attempt through bibliographic research to collect and analyze all data on how this standard could apply to an eGovernment service and more generally to the wider Public Sector.This diploma consists of six chapters, which structured as follows: Chapter 1 lists the official definitions for eGovernment. The benefits from the implementation of e-services and the technical issues that arise. In addition, we make a general introduction to Interoperability Framework and who is the current European Interoperability Framework. Finally, we examine the evolution of eGovernment worldwide and in Greece. Chapter 2 sets out the issues of privacy that arise in eGovernment services and the need to ensure it. Then we examine the principles of privacy protection as well as the legal and regulatory framework at European and national level. Chapter 3 introduces the concept of information security, the importance of information security and how is managed. In addition, we make an introduction to Information Security Management Systems (ΙSΜS) and the methods usually used to develop them. In Chapter 4, we will try to get to know the family of ISO / IEC 27000 series standards through an extensive bibliographic historical review. In addition, we refer to the structure, scope and content of the main standards of the series: ISO / IEC 27000: 2016, ISO / IEC 27001: 2013 and ISO / IEC 27002: 2013. In Chapter 5, we will try to give a very succinct example of developing an Information Security Management System (ISMS) to an organization and an extension of an eGovernment service, following the steps provided by ISO / IEC 27001: 2013 and ISO / IEC 27002: 2013. Chapter 6 sets out the conclusions of this diploma thesis on information security, eGovernment and the applicability of the ISO / IEC 27001: 2013 standard in general to the Public Administration. Finally, Annex I attempts a mapping between the articles contained in the new General Data Protection Regulation and those that included in the family of ISO27K standards in order to see their convergence. At this point, it should stress that the range of the standard is very large, in this diploma thesis only a part of it is imprinted and therefore it is impossible to imprint all the details in depth. The main purpose of this diploma thesis is to outline its general principles, the general methodology for its implementation and the benefits of its application to an organization in general. 2017-11-02 Μεταπτυχιακή εργασία http://okeanis.lib2.uniwa.gr/xmlui/handle/123456789/3875 el http://creativecommons.org/licenses/by-nc-sa/3.0/gr/ Αναφορά Δημιουργού - Μη Εμπορική Χρήση - Παρόμοια Διανομή 3.0 Ελλάδα Α.Ε.Ι. Πειραιά Τ.Τ. 167 http://okeanis.lib2.uniwa.gr/xmlui/bitstream/123456789/3875/7/Diplomatiki_Ergasia_Stavros_Dounias.pdf.jpg |
| spellingShingle | TPSH::Επιστήμη Υπολογιστών::Ασφάλεια Ηλεκτρονικών Υπολογιστών TPSH::Κοινωνικές Επιστήμες::Δημόσια Διοίκηση::Διαδίκτυο (Internet) στη Δημόσια Διοίκηση Δούνιας, Σταύρος Διαχείριση ασφάλειας πληροφοριών κατά ISO/IEC 27001:2013 σε υπηρεσίες ηλεκτρονικής διακυβέρνησης |
| title | Διαχείριση ασφάλειας πληροφοριών κατά ISO/IEC 27001:2013 σε υπηρεσίες ηλεκτρονικής διακυβέρνησης |
| title_full | Διαχείριση ασφάλειας πληροφοριών κατά ISO/IEC 27001:2013 σε υπηρεσίες ηλεκτρονικής διακυβέρνησης |
| title_fullStr | Διαχείριση ασφάλειας πληροφοριών κατά ISO/IEC 27001:2013 σε υπηρεσίες ηλεκτρονικής διακυβέρνησης |
| title_full_unstemmed | Διαχείριση ασφάλειας πληροφοριών κατά ISO/IEC 27001:2013 σε υπηρεσίες ηλεκτρονικής διακυβέρνησης |
| title_short | Διαχείριση ασφάλειας πληροφοριών κατά ISO/IEC 27001:2013 σε υπηρεσίες ηλεκτρονικής διακυβέρνησης |
| title_sort | διαχείριση ασφάλειας πληροφοριών κατά iso/iec 27001:2013 σε υπηρεσίες ηλεκτρονικής διακυβέρνησης |
| title_translated | Information security management according to ISO/IEC 27001:2013 in e-Governance services |
| topic | TPSH::Επιστήμη Υπολογιστών::Ασφάλεια Ηλεκτρονικών Υπολογιστών TPSH::Κοινωνικές Επιστήμες::Δημόσια Διοίκηση::Διαδίκτυο (Internet) στη Δημόσια Διοίκηση |
| url | http://okeanis.lib2.uniwa.gr/xmlui/handle/123456789/3875 |