Teamedical Logo
TEAMEDICAL

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΣΤΗ ΔΙΑΧΕΙΡΙΣΗ ΕΡΓΩΝ

1        Σκοπός

Το παρόν έγγραφο περιγράφει την πολιτική της εταιρείας όσον αφορά την οργάνωση της ασφάλειας των πληροφοριών στη Διαχείριση των Έργων και την παροχή υπηρεσιών υποστήριξης στους πελάτες που εκτελεί η επιχείρηση.

Αποδέκτες του παρόντος εγγράφου είναι η Διοίκηση, το Ανθρώπινο Δυναμικό, καθώς και οι Συνεργάτες της εταιρείας που σχετίζονται με τους πληροφοριακούς πόρους της εταιρείας που εμπίπτουν στο πεδίο εφαρμογής του ΣΔΑΠ.

2        Εύρος Εφαρμογής

Η πολιτική εφαρμόζεται σε όλα τα έργα πληροφορικής, επιχειρησιακών αλλαγών και οποιοδήποτε άλλο έργο που επηρεάζει τα πληροφοριακά συστήματα και τα δεδομένα του οργανισμού.

Ισχύει για όλους τους εργαζόμενους, τους συνεργάτες και τους προμηθευτές που συμμετέχουν στη διαχείριση έργων.

3        Πολιτική Υιοθέτησης Αρχών Ασφάλειας στη Διαχείριση Έργων

Όλα τα έργα είτε εσωτερικά είτε εξωτερικά χρειάζονται πόρους, δραστηριότητες για να επιτύχουν πρόοδο καθώς και εκτιμώμενο χρόνο για την ολοκλήρωση κάθε έργου σύμφωνα με τα καθορισμένα ορόσημα.

Η ασφάλεια πληροφοριών μπορεί να ενσωματωθεί και να εφαρμοστεί σε διάφορες δραστηριότητες Διαχείρισης Έργου, για αυτό και πρέπει:

  • Να συμπεριληφθεί και να ενσωματωθεί η ασφάλεια των πληροφοριών στους στόχους και τα παραδοτέα του έργου. Είναι σημαντικό να τεθούν μετρήσιμοι στόχοι ασφαλείας προκειμένου να υπάρχει ένα καλά σχεδιασμένο πλάνο ασφαλείας με ελάχιστες πιθανότητες για παραβίαση ή απειλή ασφάλειας. Τα συγκεκριμένα παραδοτέα θα υποδεικνύονται ως μετρήσιμα.
  • Η εταιρεία, σε έργα όπου εμπλέκονται υψηλής κρισιμότητας δεδομένα της εταιρείας, δύναται να εφαρμόσει εκτίμησης κινδύνου στα αρχικά στάδια του έργου και αναθεώρηση της εκτίμησης σε συγκεκριμένα διαστήματα. Η Εκτίμηση Κινδύνων θεωρείται ως το πιο δύσκολο αλλά και πολύ σημαντικό μέρος οποιουδήποτε Έργου. Ο κύριος στόχος της ασφάλειας πληροφοριών στη διαχείριση έργου είναι η ελαχιστοποίηση της εμφάνισης συμβάντων αξιολογώντας τους κινδύνους του έργου. Πρέπει επίσης να κατηγοριοποιηθούν αυτοί οι κίνδυνοι με βάση τη σοβαρότητα και τη σημασία τους, ώστε κάθε κίνδυνος να μπορεί να αντιμετωπιστεί ανάλογα με τη σημασία του για το έργο.
  • Προσδιορισμός και εφαρμογή κατάλληλων μέτρων για τους εντοπισμένους κινδύνους και επιβεβαίωση ότι εφαρμόζονται τα απαιτούμενα μέτρα ασφαλείας για κάθε εντοπισμένο κίνδυνο.
  • Η πολιτική ασφάλειας πληροφοριών είναι υποχρεωτικό μέρος όλων των φάσεων και σταδίων ενός έργου.

Σε πολλές περιπτώσεις χρησιμοποιούνται προμηθευτές στα έργα και είναι σύνηθες ο διαμοιρασμός μαζί τους πληροφορίες σχετικά με το έργο. Απαιτείται ιδιαίτερη προσοχή στην επιλογή των προμηθευτών καθώς και η αντιμετώπιση του κινδύνου που σχετίζεται με την πρόσβαση των προμηθευτών στις πληροφορίες της εταιρείας. Οι προμηθευτές πρέπει να δεσμεύονται με συμβάσεις για την προστασία της ασφάλειας.

3.1  Υιοθέτηση της Ασφάλειας των Πληροφοριών στη Διαχείριση των Έργων

Η εταιρεία λαμβάνει όλα τα αναγκαία μέτρα για την ασφαλή διαχείριση των έργων πληροφορικής και όσον αφορά την προστασία των δεδομένων, προσωπικών και μη, των πελατών της καθώς και των πελάτων των πελατών της στοιχεία των οποίων βρίσκονται στις εφαρμογές λογισμικού που αναπτύσσει ή/και υποστηρίζει η Εταιρεία.

Η Εταιρεία διαχειρίζεται τα δεδομένα βάσει των κανόνων που επιβάλει το σύστημα ποιότητας, το σύστημα ασφάλειας πληροφοριών ISO 27001 και ο κανονισμός GDPR της ΕΕ ο οποίος ορίζει τις αρχές προστασίας των προσωπικών δεδομένων σύμφωνα με την Πολιτική Προστασίας Προσωπικών Δεδομένων.

Η Διοίκηση της εταιρείας είναι υπεύθυνη για την εφαρμογή των παραπάνω κανόνων στην καθημερινή λειτουργία του τμήματός τους καθώς και για τον έλεγχο της ορθής τήρησής τους.

Κάθε επί μέρους οργανωτικό Τμήμα κάθε Διεύθυνσης ορίζει αρμόδιο Υπεύθυνο Επεξεργασίας ο οποίος αναλαμβάνει την εφαρμογή των κανόνων προστασίας δεδομένων και τον έλεγχο της ορθής τήρησής τους κατά τη διαχείριση έργων πληροφορικής. 

Η ασφάλεια των πληροφοριών είναι μέρος της γενικότερης οργάνωσης και αφορούν όλα τα στάδια υλοποίησης του έργου.

3.2  Παραλαβή - Παράδοση – Διαχείριση δεδομένων στην Υλοποίηση Έργων

Για την διενέργεια έργου πληροφορικής είναι αναγκαία η σύνταξη σχετικού συμφωνητικού μεταξύ της Εταιρείας και του πελάτη στο οποίο αναγράφονται αναλυτικά οι όροι της συνεργασίας, οι προδιαγραφές και το χρονοδιάγραμμα του έργου καθώς και οι αρχές που διέπουν και εξασφαλίζουν την εχεμύθεια και  την εμπιστευτικότητα των πληροφοριών οι οποίες θα διακινηθούν μεταξύ του πελάτη και της εταιρείας κατά τη διάρκεια του έργου αλλά και μετά την παράδοσή του.

3.3  Διαχείριση Κινδύνων – Risk Management

Η διαδικασία διαχείρισης κινδύνου έργου ορίζει τις δραστηριότητες για τον εντοπισμό, την αξιολόγηση, την ιεράρχηση, τη διαχείριση και τον έλεγχο των κινδύνων που μπορεί να επηρεάσουν την εκτέλεση του έργου και την επίτευξη των αποτελεσμάτων του.

  1. Αξιολόγηση Απαίτησης για Διενέργεια Εκτίμησης Κινδύνου: Χρησιμοποιείται το έντυπο «Ε-007-1 Έντυπο Απαίτησης για Αξιολόγηση Ασφάλειας σε Διαχείριση Έργων» για να αξιολογηθεί εάν υπάρχει απαίτηση για την Διενέργεια Εκτίμησης Κινδύνου. Το αποτέλεσμα της αξιολόγησης μεταφράζεται σύμφωνα με τον παρακάτω πίνακα:
Χαμηλός Κίνδυνος (0-5 ΝΑΙ)Χαμηλή ανάγκη για Risk AssessmentΔεν απαιτείται η διενέργεια Risk Assessment
Μέσος Κίνδυνος (6-10 ΝΑΙ)Μέτρια ανάγκη για Risk AssessmentΔεν απαιτείται η διενέργεια Risk Assessment, αλλά χρειάζεται ετήσια επαναξιολόγηση
Υψηλός Κίνδυνος (11+ ΝΑΙ)Υψηλή ανάγκη για Risk AssessmentΑπαιτείται η διενέργεια Risk Assessment
  • Διενέργεια Εκτίμησης Αντικτύπου: Εάν απαιτείται η διενέργεια εκτίμησης κινδύνου, τότε ακολουθείται η παρακάτω σειρά ενεργειών:
    • Αναγνώριση κινδύνου: οι κίνδυνοι εντοπίζονται συνεχώς καθ' όλη τη διάρκεια του κύκλου ζωής του έργου από οποιοδήποτε ενδιαφερόμενο μέρος του έργου και τεκμηριώνονται στο Αρχείο καταγραφής κινδύνου (από οποιοδήποτε μέλος της ομάδας έργου).
    • Εκτίμηση Κινδύνου: οι κίνδυνοι αξιολογούνται με βάση την πιθανότητα εμφάνισής τους και τον αντίκτυπο στο πεδίο εφαρμογής και τους περιορισμούς του έργου στο έντυπο «Ε-007-2 Έντυπο Αξιολόγησης Ασφάλειας σε Διαχείριση Έργων». Το γινόμενο της πιθανότητας και του αντίκτυπού τους (σε κλίμακες 5 βαθμών) ορίζει το Επίπεδο Κινδύνου το οποίο στη συνέχεια χρησιμοποιείται ως αναφορά για την ιεράρχησή τους και την ανάπτυξη απόκρισης κινδύνου.
    • Ανάπτυξη ανταπόκρισης κινδύνου: υπάρχουν τέσσερις στρατηγικές που πρέπει να θεωρούνται ως απαντήσεις σε απειλές κινδύνου: Αποφυγή, Μεταβίβαση, Μείωση ή Αποδοχή κινδύνου. Αφού επιλεγεί η στρατηγική για κάθε κίνδυνο, θα καθοριστούν, θα περιγραφούν, θα προγραμματιστούν και θα ανατεθούν συγκεκριμένες ενέργειες για την εφαρμογή της στρατηγικής, ενώ ο Κάτοχος Κινδύνου αναλαμβάνει την ευθύνη για την εφαρμογή της. Οι ενέργειες αυτές θα ενσωματωθούν στο Σχέδιο Εργασίας του Έργου.
    • Έλεγχος κινδύνων: οι συναντήσεις για την πρόοδο του έργου χρησιμοποιούνται για την αναθεώρηση της κατάστασης των κινδύνων, των πιθανοτήτων και των επιπτώσεων και των σχετικών ενεργειών και για τον εντοπισμό νέων κινδύνων. Οι κίνδυνοι θα αναθεωρούνται εβδομαδιαία, αλλά και μετά την εμφάνιση οποιουδήποτε σημαντικού γεγονότος. Εάν προκύψει οποιοσδήποτε από τους κινδύνους που έχουν εντοπιστεί, τότε ο Διαχειριστής Έργου (PM) θα εφαρμόσει τα σχέδια έκτακτης ανάγκης και θα κοινοποιήσει το ζήτημα στη επιτροπή παρακολούθησης του έργου.

Η αξιολόγηση κινδύνου διενεργείται συμπληρώνοντας το έντυπο «Ε-007 Έντυπο Αξιολόγησης Ασφάλειας σε Διαχείριση Έργων».

4        Δέσμευση για την προστασία των δεδομένων

Όλοι οι εργαζόμενοι αποδέχονται κατά την ένταξή τους στην Εταιρεία  και υπογράφουν, στο πλαίσιο της σύμβασης εργασίας, υπεύθυνη δήλωση για την τήρηση της εμπιστευτικότητας των πληροφοριών που διαχειρίζεται η Εταιρεία.

Επίσης όλοι οι προμηθευτές και εξωτερικοί συνεργάτες δεσμεύονται για την προστασία της ασφάλειας και την εμπιστευτικότητα των πληροφοριών που διαχειρίζεται η Εταιρεία.

5        Μέσα μεταφοράς δεδομένων

Η μεταφορά των δεδομένων μπορεί να γίνεται σε ηλεκτρονικά μέσα (σκληροί δίσκοι, USB ) ή με upload σε συγκεκριμένη χώρο φιλοξενίας στο Cloud που διέπεται από αυστηρές προδιαγραφές ασφάλειας.

Scroll to Top