Ο πάροχος οφείλει να λαμβάνει όλα τα κατάλληλα μέτρα για να διασφαλίσει την ακεραιότητα και διαθεσιμότητα της πληροφορίας στο δίκτυο του η οποία είναι απαραίτητη για την παροχή των υπηρεσιών και σύμφωνα με τα αποτελέσματα της αξιολόγησης επικινδυνότητας. Ο πάροχος εξασφαλίζει ότι τα σχετικά δεδομένα τα οποία έχουν αποσταλεί, έχουν παραληφθεί ή έχουν αποθηκευθεί είναι πλήρη και αμετάβλητα.
Ο πάροχος οφείλει να μεριμνά κατ΄ ελάχιστον για τα ακόλουθα:
- Προσδιορισμό της κρισιμότητας της πληροφορίας που σχετίζεται με την παροχή των υπηρεσιών.
- Ύπαρξη καταγεγραμμένων διαδικασιών για την ασφαλή διαχείριση της πληροφορίας και μεθόδων αντιμετώπισης πιθανών κινδύνων και των επιπτώσεων τους τόσο σε κανονικές όσο και σε έκτακτες συνθήκες. Καταγραφή των μέτρων που λαμβάνει ο πάροχος για την αποφυγή της πρόσβασης μη εξουσιοδοτημένων ατόμων σε πληροφορία καθώς και την αποφυγή απώλειας ή/και διαρροής πληροφορίας από λανθασμένη διαχείριση.
- Ύπαρξη καταγεγραμμένων διαδικασιών για την ασφαλή διαχείριση της πληροφορίας σε περιπτώσεις συνεργασίας με εξωτερικούς συνεργάτες.
- Ύπαρξη διαδικασιών διαχείρισης (διακοπής) προσβάσεων κατά την αποχώρηση προσωπικού και εξωτερικών συνεργατών.
- Προγραμματισμό και υλοποίηση εσωτερικών ελέγχων για τη διαπίστωση της ορθής εφαρμογής των ανωτέρω διαδικασιών.
- Ενημέρωση, εκπαίδευση και δέσμευση του προσωπικού του παρόχου για τα ανωτέρω.
Ο νομοθέτης φαίνεται πως είτε αγνοεί την ύπαρξη ή απλά δεν παραπέμπει σε διεθνή πρότυπα όπως το (πολύ σχετικό) ISO 27000 για τη «Διαχείριση της ασφάλειας πληροφοριών», -το οποίο πρότυπο είναι 5 τεύχη με πάνω από 200 σελίδες οδηγίες συνολικά- και να αρκείται σε 6 μόνο όρους σε μια σελίδα.
Το αποτέλεσμα είναι ότι η εδώ διαχείριση της πληροφορίας είναι ένα ευχολόγιο, που είναι τόσο απροσδιόριστο που ΔΕΝ μπορεί να αποδεικτεί οτι δεν τηρήται. Πχ εγώ πιστεύω ότι είναι επαρκές στα μάτια του νόμου να υπάρχουν μερικά ντοσιέ με διαδικασίες σε ένα ντουλάπι και μια δήλωση του νόμιμου εκπρόσωπου ότι όλα γίνονται κανονικά, και να μην υπάρχει κανένα **εκδικασμένο** παράπονο για υποκλοπές, και όλα είναι ΟΚ.
Το τελικό νόημα είναι ότι ενώ στο προτεινόμενο νομοσχέδιο υπάρχει διάταξη νόμου ειδικά για την ασφάλεια των διακινούμενων πληροφοριών -και κανείς δεν μπορεί να κατηγορήσει την κυβέρνηση ότι δεν το επέβαλε-, αυτή η διάταξη είναι σχεδόν αδύνατο να αποδεικτεί ότι ΔΕΝ τηρείται, και ουσιαστικά αυτός ο νόμος θα είναι ακόμη ένα Greek αστείο στην Ευρώπη, αυτή τη φορά για τη διαχείριση της ασφάλειας των πληροφοριών.
Ντροπή, κύριοι.