在数字化时代,首先必须保存或保护的是宝贵的信息。对于公司来说,这意味着除了数据保护之外,信息安全也是绝对必要的。好消息是:那些拥有符合ISO 9001认证的质量管理系统的公司已经为逐步引入全面的信息安全奠定了良好的基础。
信息安全的话题并不新鲜。威胁到组织中广泛的信息景观的危险早已为人所知。根据2019年4月BSI "网络安全调查",43%的大公司报告在2018年受到网络安全事件的影响。
对于中小型企业,这个数字是26%。而根据德国联邦信息安全局(BSI)的《2021年德国IT安全状况报告》,网络犯罪案件再次大幅增加。在2020年6月1日至2021年5月31日的报告期内,不仅新的恶意软件变种(约1.44亿)增加了22%,而且攻击的质量也继续大幅上升。在这个过程中,许多肇事者利用了许多公司和个人的Corona困境。
然而,公司机密信息的安全仍然被忽视。在处理和存储信息时,往往缺乏谨慎和深谋远虑。各地对数据盗窃和类似行为的后果的认识也远未充分发展。在一些地方,公司也不愿意投入必要的时间和精力来有效地保护其敏感信息。
一步步走向更多的信息安全
但数据安全所需的努力不一定要那么大。好消息是,许多公司不必一下子就实施一个全面的信息安全管理系统。而对于关键基础设施(CRITIS)来说,这是德国IT安全法的要求。
循序渐进的方式也是可以想象的。这意味着第一步,至少在拥有符合ISO 9001的质量管理(QM)系统的公司,可以更新所要求的基于风险的方法--但已经考虑到了重要的信息安全标准ISO 27001的相应要求。
信息安全和质量管理
ISO 27001与ISO 9001:联系在哪里?首先,必须指出的是,ISO 9001质量管理标准确实要求全面采用基于风险的方法。然而,这一管理系统要求的实施主要取决于你的组织。例如,质量管理并不要求单独的风险评估过程,但这对于信息安全来说无疑是太少了。尽管如此。
对质量管理问题的风险评估可以很容易地扩展到包括信息安全。
要做到这一点,看看ISO 27001对信息安全管理系统(ISMS)的识别和处理安全风险的要求是有帮助的。大多数方面都可以由质量管理体系的用户通过合理的努力来实施--请注意,这是实现整体信息安全的第一步。
信息安全--风险和机遇
这两个国际标准,即信息安全的ISO 27001和质量管理的ISO 9001,都在第6.1章 "处理风险和机会的措施 "中涉及到相关的主题。从本质上讲,其目的是为了确保管理系统中的三个基本方面。
- 实现贵组织的预期结果
- 防止或减少不良影响
- 通过遵守某些标准实现持续改进
在信息安全方面,这主要是指三个基本的保护目标。
- 保密性的丧失
- 信息的完整性
- 信息的可用性
ISMS标准ISO 27001规定了以下要求 (6.1.1节)。
- 确定风险和机会
- 规划处理所确定的风险和机会的措施
- 计划如何将这些措施整合到公司流程中并加以实施
识别和处理风险
ISO 27001的下一个分章(6.1.2)要求建立和应用一个信息安全风险评估流程。这个过程必须建立和维护信息安全风险标准。这尤其包括风险接受的标准和信息安全风险评估的执行。
此外,该流程必须确保 "重复的信息安全风险评估产生一致、有效和可比较的结果",正如ISMS标准所述。在考虑到第一步的情况下,以下的子项目可能是重要的。
- 识别信息安全风险
- 分析信息安全风险
- 评估信息安全风险
6.1.3中的要求要求建立和应用一个处理信息安全风险的过程,以实现以下目的。
- 根据风险评估的结果,选择适当的方案来处理安全风险
- 确定所有必要的行动,以实施选定的处理安全风险的选项
- 将确定的措施与ISO 27001附件A中规定的控制措施进行比较(目标行动)。
- 就(不)包括附件A中的控制措施的原因编写一份适用性声明。
- 制定一个处理安全风险的计划
- 获得风险所有者对该计划的批准和接受
Certification according to ISO 27001
你需要付出怎样的努力才能使你的信息安全管理系统获得ISO 27001认证?了解一下。
ISO 27001的附件A提供指导
众所周知的管理系统标准ISO/IEC 27001的附件A具有明确的规范性。它可以被理解为一种包含目标(控制)和措施的检查清单。你可以使用这个指南来确保处理安全风险的基本要点没有被忽略。 然而,它并不声称是详尽的。
信息安全和质量管理 - 什么是最好的方法?
因此,ISO 27001要求对信息安全风险进行评估和处理的两个独立过程。然而,对于第一步来说,这些可以合并成一个流程,专门将质量管理的风险评估沿着上述要求扩展到包括信息安全方面。因此,这两个标准为实施数据保护和IT安全的保护措施提供了一个良好的基础。
ISO 27001与ISO 9001的对比:上述过程最终能多深入地解决每个要求,直接取决于你的组织的信息格局和需要保护的数据的复杂性。无论哪种方式,最好都能在外部审计中验证其有效性。例如,在根据ISO 9001对你的质量管理系统进行认证审计的过程中,这是可取的,因为这无论如何都是有计划的。
信息安全与质量管理的结合 - 有什么好处?
- 一个从根本上审视信息安全风险的过程可以作为按照ISO/IEC 27001建立信息安全整体管理系统的第一个重要步骤。
- 通过实施这样一个过程,最高管理层加强了各级对信息和数据安全(数据保护)的认识。
- 随着对信息安全风险的有针对性的考虑,公司有机会发现行动的需要并采取适当的措施(以ISO 27001为导向,附录A)。
- 扩展到包括信息安全的风险评估,例如作为质量管理的一部分,加强了公司基于风险的整体方法。
- 实施和有效性测试所需的财政和人力资源都是可控的。
DQS。简单地利用质量
在动态和稳定之间的平衡中,经过认证的管理系统正变得越来越重要--DQS对这种发展有积极的感受。因为成功的公司和组织利用我们的审核结果来不断改善他们的结果。他们使用我们全球认可的证书作为其质量能力的客观证明。这创造了信任--无论是对企业内部还是外部的信任。
DQS在1986年颁发了德国第一个质量管理证书。1986年8月的第一次审核是基于该标准的草案进行的。1991年,DQS获得了当时的TGA Trägergemeinschaft für Akkreditierung GmbH(今天:DAkkS)的第一个ISO 9001/2/3认证。2000年,根据英国标准BS 7799-2进行了信息安全认证的认证。
超过三十年的专业知识
我们的文本和手册是由我们的标准专家或具有多年经验的审核员独家撰写的。如果您对作者的内容或我们的服务有任何疑问,请随时联系我们。
DQS新闻
Krüger Gert
DQS的信息安全、BSI-KritisV和数据保护的专家和项目经理。此外,他还是质量和环境管理方面的长期审计师。