工业4.0,即所谓的第四次工业革命,代表了开发、生产、物流和客户的智能联网。它代表了大量的信息和数据,这些信息和数据往往对组织具有存在的价值。保护其可用性、完整性和保密性是一项核心任务。信息安全包括所有有助于意识到现有风险的措施,识别它们,并采取适当和合适的措施来保护它们。
由于信息处理的安全性不足,仅德国经济每年遭受的损失就达数十亿欧元。造成这种情况的原因很复杂,从外部干扰、技术错误、工业间谍到前雇员对信息的滥用。但只有那些认识到挑战的人也能启动适当的措施。一个符合国际公认的ISO 27001标准的结构良好的信息安全管理系统是有效实施整体安全战略的最佳基础。这到底是什么意思,需要考虑什么?请在这里获得关于ISO 27001的重要问题的答案。
内容
- 什么是信息安全?
- 信息安全的保护目标是什么?
- 什么是信息安全管理系统?
- ISO 27001对哪些组织有用?
- 信息安全管理系统有什么好处?
- 人员的作用是什么?
- ISO 27001 - 关于介绍的问题
- 为什么要进行ISO 27001认证?
- DQS - 我们能为您做什么
什么是信息安全?
从信息安全的国际系列标准ISO 2700x来看,这个问题的答案很简单。
"信息是对组织有价值的数据"。
ISO/IEC 27000:2020-06:信息技术-安全技术-信息安全管理系统-概述和词汇表
你看,信息是一种资产,不应该落入未经授权的人手中,这就需要适当的保护。
因此,信息安全是与保护你公司的信息资产有关的一切。这里的决定性因素是要意识到公司范围内存在的风险,或发现这些风险,并根据需要采取适当的措施来应对这些风险。
"信息安全不是IT安全"
IT安全仅指所部署技术的安全,而不是指要保护的企业资产。组织方面的问题,例如访问授权、责任或批准程序,以及心理方面的问题,在信息安全方面也起着至关重要的作用。然而,安全的信息技术也保护了公司的信息。
信息安全的保护目标是什么?
根据国际标准ISO/IEC 27001,信息安全的保护目标包括三个主要方面。
- 保密性- 保护机密信息不被未经授权的访问,无论是出于数据保护法的原因,还是基于商业秘密的原因,例如 商业秘密法。这里涉及的是保密性的程度。
- 完整性- 将任何风险降到最低,确保所有数据和信息的完整性和可靠性。
- 可用性- 确保对信息、建筑和系统的授权访问和可用性。这对维护流程是至关重要的。
根据ISO 27001认证的信息安全
用符合国际标准的管理系统保护您的信息 ✓ DQS提供超过35年的认证经验 ✓
关于信息安全的关键问题
- 我公司的价值观是什么?
- 哪些公司的价值观需要得到保护?
- 公司的资产会受到哪些攻击?
- 谁对保护这些信息有兴趣?
- 什么是适当的措施?
什么是信息安全管理系统?
根据ISO/IEC 27001,信息安全管理系统(ISMS)定义了准则、规则和方法,以确保组织中值得保护的信息的安全。它提供了一个引入、实施、监测和改进保护水平的模型--按照ISO 9001中熟悉的PDCA循环(计划-执行-检查-行动)的系统程序。
其目的是识别和分析潜在的风险,并通过适当的措施使其可控。
为什么信息安全管理很重要?
成功的组织利用现代管理系统的结构和透明度来检测威胁并有针对性地部署当代安全系统。信息安全管理系统的核心是你自己的信息资产的安全,如知识产权、财务和人事数据,以及客户或第三方委托给你的信息。
"信息安全总是意味着保护有价值的重要信息或数据"。
值得保护的数据所面临的风险有很多。它们可能来自物质、人力和技术的安全威胁。但是,只有ISMS的整体的、预防性的管理系统方法才能解决整个威胁,并确保公司的业务连续性。
ISO 27001对哪些组织有用?
这个问题的答案非常简单:对所有的人。ISO 27001基本上可以应用于所有组织,无论其类型、规模和行业如何。而且:所有的组织都能从结构化管理体系的优势中受益。ISMS的实施受到以下因素的影响。
- 要求和业务目标
- 安全需求
- 应用的业务流程
- 组织的规模和结构
信息安全管理系统的好处是什么?
这是一个重要的问题。ISO 27001制定了系统设计和实施面向流程的信息安全管理系统的要求。通过这种整体的方法可以实现决定性的优势。
- 敏感信息的安全成为公司流程的一个组成部分
- 对信息的保密性、可用性和完整性的保护目标进行预防性保障
- 通过不断提高安全水平来保持业务的连续性
- 对员工进行宣传,大幅提高公司各级的安全意识
- 建立一个有效的风险管理过程
- 通过对敏感信息进行明显的安全处理,与有关各方建立信任(如招标)。
- 遵守相关的合规要求,行动更安全,法律更确定
如何管理潜在的风险?
安全风险可能来自物质、人力和技术威胁。为了在组织中实现可追溯的和适当的安全水平,需要一个确定的风险管理过程或方法来进行风险评估、风险处理和风险监控。ISO/IEC 27005对信息安全风险管理提供了良好的指导。
人扮演什么角色?
人也是一个风险因素,因为敏感信息的处理毫无例外地影响到公司的所有员工和合作伙伴。他们构成了更大的安全风险,无论是无知还是人为错误。但只有极少数组织对谁可以获得哪些信息,以及如何处理这些信息进行监管。
"新的权力来源不再是少数人手中的金钱,而是多数人手中的信息"。约翰-奈斯比特,*1929,美国。未来学家
因此,具有约束力的法规和对所有信息安全问题的明显认识是一个基本的前提条件。调整公司政策或制定一个合适的信息安全政策在这里被认为是至关重要的。对所有(管理)级别的员工进行必要的宣传是老板的事情,例如可以通过培训课程、研讨会或个人讨论来进行。
ISO 27001 - 实施问题
关于一个公司是否必须已经引入了一个管理系统,例如根据ISO 9001,这个问题显然可以用 "不 "来回答。ISO 27001是一个通用的标准,和所有的管理系统标准一样,它是独立的。这意味着,一个组织可以在任何时候建立和实施一个信息安全管理系统,并且独立于任何现有的结构。
然而,那些拥有符合ISO 9001的质量管理体系的公司已经为逐步引入全面的信息安全奠定了良好的基础。
在其结构和方法上,ISO 27001是基于所有面向过程的管理系统标准的强制性基本结构,即高层结构。因此,这为您提供了将信息安全管理系统轻松整合到现有管理系统的可能性。同样,根据ISO 27001与ISO 20000-1(IT服务管理)或ISO 22301(业务连续性管理)由DQS进行联合认证是可能的。
哪些文件可以支持引入?
引入信息安全整体管理系统的首选基础是国际ISO/IEC 2700x系列标准。它的目的是支持所有类型和规模的组织实施和运行ISMS。组织内部的实施程度可以通过内部审计的方式来检查。
该系列标准的有用组成部分是
- iso/iec 27000:2018。信息技术 - 安全技术 - 信息安全管理系统 - 概述和词汇
- iso/iec 27001:2013:信息技术 - 安全技术 - 信息安全管理系统 - 要求
- ISO/IEC 27002:2013。信息技术--安全技术--信息安全控制的实践准则
- iso/iec 27003:2017:信息技术-安全技术-信息安全管理系统-指南
- iso/iec 27004-2016:信息技术-安全技术-信息安全管理-监测、测量、分析和评估
- iso/iec 27005:2018。信息技术 - 安全技术 - 信息安全风险管理
所有条例都可以从ISO网站上获得。
ISO 27001 - 关于IT安全官员的问题?
ISO 27001是否需要一个IT安全官员?答案是 "是"。
信息安全管理体系中的一项任务是由最高管理层任命一名IT安全官员。IT安全官员是所有IT安全问题的联系人。他或她应该被整合到所有的ISMS流程中,并与IT经理密切联系--例如,在选择新的IT组件和IT应用时。
为什么要进行ISO 27001认证?
基于认可程序的认证证明了一个管理系统和措施已经被实施,以系统地保护信息资产。通过该证书,您可以 "白纸黑字 "地表明,您已经成功地建立了这个系统,并致力于持续改进。
DQS证书在世界范围内受到重视,它是中立评估的明显表现,并加强了对贵公司的信心。这是一个市场优势,在投标和对安全至关重要的客户业务中提供了一个良好的先决条件,如金融服务提供商。
ISO 27001 - 关于认证过程的问题
所有根据国际规则(ISO 17021)由DQS等认可的认证机构评估的管理系统都要经过相同的认证过程。
初次认证包括系统分析(第1阶段审核)和系统审核(第2阶段审核),审核员在现场验证整个系统是否正常运行,以及所有要求是否得到落实。然后,该证书的有效期为3年。
为了能够保证整个期间的有效性,必须每年对管理系统进行核查。因此,在证书颁发后的第一年和第二年,DQS审核员会进行简短的ISMS审核(监督审核),例如,他们会考虑关键系统组件或纠正和预防措施的有效性。然后在三年后进行重新认证。
已经有一个现有管理系统的公司应该合并他们的审核项目,并寻求对其综合管理系统(IMS)的联合认证。
矩阵认证是否可行?
拥有多个基地的公司可以进行矩阵认证。原则上,ISO 27001的要求与其他ISO标准(如ISO 9001或ISO 14001)的要求相同。DQS可以确保将ISO 27001整合到现有的矩阵程序中,即与其他标准进行联合外部审核。
与TISAX相比,ISO 27001的优势是什么?
TISAX®(可信的信息安全评估交换)是专门为汽车行业制定的行业标准,并根据行业的具体需求进行定制。TISAX®评估的基础是VDA信息安全评估(VDA ISA)测试目录,除其他外,它基于ISO 27001或ISO 27002的要求,并将其扩展到包括原型保护或数据保护等主题。
您可以在我们的TISAX®产品页面找到更多有价值的知识。
TISAX®的目的是确保供应链中所有阶段的全面(信息)安全。此外,在数据库中的注册简化了相互承认的程序。然而,TISAX®只在汽车行业得到认可。其他行业的客户可能只认可ISO 27001作为ISMS的证明。
DQS - 我们能为您做什么
DQS是您的审计和认证专家--为管理系统和流程进行审计和认证。凭借超过35年的经验和全球2500名审核员的专业知识,我们是您合格的认证合作伙伴,为所有ISO 27001问题提供答案。
我们根据大约200个公认的标准和法规以及公司和协会的具体标准进行审核。我们是第一个在2000年12月获得BS 7799-2(ISO/IEC 27001的前身)认证的德国认证机构。这种专业知识仍然是我们在全球范围内成功故事的体现。
我们很乐意回答您的问题
你需要做多少工作才能使你的ISMS获得ISO 27001的认证?
我们期待着与您交谈。