Индустрия 4.0, т.нар. четвърта индустриална революция, означава интелигентно свързване в мрежа на развойната дейност, производството, логистиката и клиентите. Тя представлява множество информация и данни, които често имат екзистенциална стойност за организациите. Защитата на тяхната наличност, цялостност и поверителност е основна задача. Информационната сигурност обхваща всички мерки, които помагат да се осъзнаят съществуващите рискове, да се идентифицират и да се предприемат подходящи и целесъобразни мерки за тяхната защита.

Информационна сигурност - въпроси и отговори за ISO 27001

Поради недостатъчна сигурност при обработката на информация само германската икономика търпи щети, възлизащи на милиарди евро всяка година. Причините за това са комплексни и варират от външни смущения, технически грешки, индустриален шпионаж до злоупотреба с информация от страна на бивши служители. Но само тези, които разбират предизвикателствата, могат да предприемат и подходящи мерки. Добре структурираната система за управление на информационната сигурност в съответствие с международно признатия стандарт ISO 27001 е оптимална основа за ефективно прилагане на цялостна стратегия за сигурност. Какво точно означава това и какво трябва да се има предвид? Вижте отговори на важни въпроси относно ISO 27001 точно тук.

СЪДЪРЖАНИЕ

  • Какво е информационна сигурност?
  • Какви са целите за защита на информационната сигурност?
  • Какво е система за управление на информационната сигурност?
  • За кои организации е полезен ISO 27001?
  • Какви са ползите от системата за управление на информационната сигурност?
  • Каква е ролята на хората?
  • ISO 27001 - Въпроси относно въвеждането
  • Защо сертификация по ISO 27001?
  • DQS - Какво можем да направим за Вас

Какво е информационна сигурност?

Отговорът на този въпрос е доста лесен по отношение на международното семейство стандарти за информационна сигурност ISO 2700x:

"Информацията е данни, които имат стойност за организацията."

ISO/IEC 27000:2020-06: Информационни технологии - Техники за сигурност - Системи за управление на информационната сигурност - Преглед и речник

Разбирате, че информацията е актив, който не трябва да попада в ръцете на неупълномощени лица и който изисква подходяща защита.

Следователно информационната сигурност е всичко, което е свързано със защитата на информационните активи на Вашата компания. Решаващият фактор тук е да сте наясно с рисковете, които съществуват в контекста на компанията, или да ги разкриете и да им противодействате с подходящи мерки, базирани на нуждите.

"Информационната сигурност не е ИТ сигурност"

ИТ сигурността се отнася само до сигурността на внедрената технология, а не до корпоративните активи, които трябва да бъдат защитени. Организационните проблеми, например разрешенията за достъп, отговорностите или процедурите за одобрение, както и психологическите аспекти, също играят съществена роля в информационната сигурност. Въпреки това, сигурните ИТ защитават и информацията в компанията.

Какви са целите на защитата на информационната сигурност?

Според международния стандарт ISO/IEC 27001 целите за защита на информационната сигурност се състоят от три основни аспекта:

  • Поверителност - защита на поверителната информация от неоторизиран достъп, независимо дали по причини, свързани със законите за защита на данните, или въз основа на търговски тайни, обхванати напр. от Закон за търговските тайни. Тук от значение е нивото на поверителност.
  • Интегритет - минимизиране на всички рискове, осигуряване на пълнота и надеждност на всички данни и информация.
  • Наличност - осигуряване на достъп и използваемост за оторизиран достъп до информация, сгради и системи. Това е от съществено значение за поддържането на процесите.

Сертифицирана информационна сигурност в съответствие с ISO 27001

Защитете информацията си със система за управление, която отговаря на международните стандарти ✓ DQS предлага над 35 години опит в сертифицирането ✓

Основни въпроси за информационната сигурност

  • Какви са ценностите на моята компания?
  • Кои ценности на компанията трябва да бъдат защитени?
  • На какви атаки са изложени активите на компанията?
  • Кой има интерес от защитата на тази информация?
  • Какви са подходящите мерки?

Какво е система за управление на информационната сигурност?

Системата за управление на информационната сигурност (СУИС) съгласно ISO/IEC 27001 определя насоки, правила и методи за осигуряване на сигурността на информацията, която си струва да бъде защитена в дадена организация. Тя предоставя модел за въвеждане, прилагане, наблюдение и подобряване на нивото на защита - в съответствие със систематичната процедура на цикъла PDCA (Plan-Do-Check-Act), познат от ISO 9001.

Целта е да се идентифицират и анализират потенциалните рискове и да бъдат контролирани чрез подходящи мерки.

Защо е важно управлението на информационната сигурност?

Успешните организации използват структурата и прозрачността на съвременните системи за управление, за да откриват заплахи и да насочват внедряването на съвременни системи за сигурност. В основата на системата за управление на информационната сигурност е сигурността на собствените Ви информационни активи, като интелектуална собственост, финансови данни и данни за персонала, както и на информацията, поверена Ви от клиенти или трети страни.

"Информационната сигурност винаги означава защита на значима информация или данни със стойност".

Рисковете, на които са изложени данните, които си струва да бъдат защитени, са много. Те могат да възникнат от материални, човешки и технически заплахи за сигурността. Но само холистичният, превантивен подход на системата за управление ISMS може да се справи с целия спектър от заплахи и да осигури непрекъснатост на дейността на компанията.

За кои организации е полезен ISO 27001?

Отговорът на този въпрос е много лесен: за всички. ISO 27001 може да се прилага във всички организации, независимо от техния вид, размер и отрасъл. И всички организации се възползват от предимствата на една структурирана система за управление. Въвеждането на ISMS се влияе от следните фактори:

  • Изискванията и бизнес целите
  • Нуждите от сигурност
  • Прилаганите бизнес процеси
  • Размерът и структурата на организацията

Какви са ползите от системата за управление на информационната сигурност?

Важен въпрос. ISO 27001 формулира изискванията за системно проектиране и внедряване на ориентирана към процесите система за управление на информационната сигурност. Чрез този цялостен подход могат да се постигнат решаващи предимства:

  • Сигурността на чувствителната информация става неразделна част от процесите в компанията
  • Превантивно гарантиране на целите за защита на поверителността, наличността и целостта на информацията
  • Поддържане непрекъсваемост на бизнеса чрез непрекъснато подобряване на нивото на сигурност
  • Сензитивност на служителите и значително повишена информираност за сигурността на всички нива в компанията
  • Създаване на ефективен процес за управление на риска
  • Изграждане на доверие у заинтересованите страни (напр. при търгове) чрез доказано сигурна обработка на чувствителна информация
  • Спазване на съответните изисквания за съответствие, по-голяма сигурност на действията и правна сигурност

Как могат да бъдат управлявани потенциалните рискове?

Рисковете за сигурността могат да възникнат от материални, човешки и технически заплахи. За да се постигне проследимо и подходящо ниво на сигурност в организацията, е необходим определен процес или метод за управление на риска за оценка на риска, третиране на риска и наблюдение на риска. ISO/IEC 27005 предоставя добри насоки за управление на риска за информационната сигурност.

Каква е ролята на хората?

Хората също са рисков фактор, тъй като боравенето с чувствителна информация засяга всички служители и партньори на компанията без изключение. Те представляват повишен риск за сигурността, било от незнание или човешка грешка. Но само малко на брой организации регулират кой до каква информация може да получи достъп и как трябва да се борави с нея.

"Новият източник на власт вече не са парите в ръцете на малцина, а информацията в ръцете на мнозина." Джон Найсбит, *1929 г., американец, футуролог

Следователно задължителните разпоредби и явното осъзнаване на всички проблеми на информационната сигурност са основна предпоставка. Адаптирането на корпоративната политика или разработването на подходяща политика за информационна сигурност се счита за съществено тук. Необходимата сензитивност на служителите на всички (управленски) нива е въпрос за ръководството и може да се осъществи например чрез курсове на обучение, семинари или лични дискусии.

ISO 27001 - Въпроси относно въвеждането

На въпроса дали дадена организация трябва вече да е въвела система за управление, например в съответствие с ISO 9001, може да се отговори еднозначно с "не". ISO 27001 е общ стандарт и - както всички стандарти за системи за управление - е самостоятелен. Това означава, че организацията може да създаде и внедри система за управление на информационната сигурност по всяко време и независимо от съществуващите структури.

Въпреки това компаниите, които имат система за управление на качеството в съответствие с ISO 9001, вече са създали добра основа за поетапно въвеждане на цялостна информационна сигурност.

По своята структура и подход ISO 27001 се основава на задължителната основна структура за всички стандарти за системи за управление, ориентирани към процесите - структурата на високо ниво. Следователно това Ви предлага възможност за лесно интегриране на система за управление на информационната сигурност във вече съществуваща система за управление. Също така е възможно съвместно сертифициране по ISO 27001 с ISO 20000-1 (Управление на ИТ услуги) или ISO 22301 (Управление на непрекъсваемостта на бизнес процесите) от DQS.

Кои документи могат да подпомогнат въвеждането?

Предпочитаната основа за въвеждане на цялостна система за управление на информационната сигурност е семейството международни стандарти ISO/IEC 2700x. Тя е предназначена да подпомага организации от всякакъв вид и размер при въвеждането и функционирането на СУИС. Степента на внедряване в организацията може да се провери чрез вътрешен одит.

Полезни компоненти на серията стандарти са

  • ISO/IEC 27000:2018: Информационни технологии - Техники за сигурност - Системи за управление на информационната сигурност - Преглед и речник
  • ISO/IEC 27001:2013: Информационни технологии - Техники за сигурност - Системи за управление на сигурността на информацията - Изисквания
  • ISO/IEC 27002:2013: Информационни технологии - Техники за сигурност - Кодекс на практиката за контрол на информационната сигурност
  • ISO/IEC 27003:2017: Информационни технологии - Техники за сигурност - Системи за управление на информационната сигурност - Ръководство
  • ISO/IEC 27004-2016: Информационни технологии - Техники за сигурност - Управление на информационната сигурност - Мониторинг, измерване, анализ и оценка
  • ISO/IEC 27005:2018: Информационни технологии - Техники за сигурност - Управление на риска за информационната сигурност

Всички регламенти са достъпни от уебсайта на ISO.

ISO 27001 - Въпроси относно служителя по сигурността на информационните технологии?

Изисква ли ISO 27001 наличието на служител по сигурността на ИТ? Отговорът е "да".

Една от задачите в рамките на системата за управление на информационната сигурност е назначаването на служител по ИТ сигурността от висшето ръководство. Служителят по сигурността на ИТ е лицето за контакт по всички въпроси, свързани със сигурността на ИТ. Той трябва да бъде интегриран във всички процеси на СУИС и да е тясно свързан с ИТ мениджърите - например при избора на нови ИТ компоненти и ИТ приложения.

Защо сертификация по ISO 27001?

Сертифицирането въз основа на акредитирана процедура е доказателство, че са въведени система за управление и мерки за системна защита на информационните активи. Със сертификата показвате "черно на бяло", че успешно сте създали тази система и сте се ангажирали с нейното непрекъснато подобряване.

Сертификатът на DQS, който се цени в цял свят, е видимият израз на неутрална оценка и укрепва доверието във Вашата компания. Това е пазарно предимство и осигурява добра предпоставка при търгове и бизнес с клиенти, критични към сигурността, като например доставчици на финансови услуги.

ISO 27001 - Въпроси относно процеса на сертифициране

Всички системи за управление, които се оценяват въз основа на международните правила (ISO 17021) от акредитиран сертифициращ орган, какъвто е DQS, подлежат на един и същ процес на сертифициране.

Първоначалната сертификация се състои от анализ на системата (одит на етап 1) и одит на системата (одит на етап 2), по време на който одиторите проверяват на място дали цялостната система функционира правилно и дали са изпълнени всички изисквания. След това сертификатът е валиден за срок от 3 години.

За да може да се гарантира валидността и през целия период, системата за управление трябва да се проверява ежегодно. Поради това през първата и втората година след издаването на сертификата одиторите на DQS провеждат съкратени одити на СУИС (надзорни одити), при които разглеждат например ефективността на ключови компоненти на системата или на коригиращи и превантивни мерки. Повторното сертифициране се извършва след три години.

Дружества, които вече имат съществуваща система за управление, трябва да обединят програмите си за одит и да поискат съвместна сертификация на своята интегрирана система за управление (ИСУ).

Възможно ли е матрично сертифициране?

Матричната сертификация е възможна за компании с множество обекти. По принцип за ISO 27001 се прилагат същите изисквания, както и за други стандарти на ISO, като например ISO 9001 или ISO 14001. DQS може да осигури интегрирането на ISO 27001 в съществуващите матрични процедури, т.е. съвместно външно одитиране с другите стандарти.

Какви са предимствата на ISO 27001 пред TISAX?

TISAX® (Trusted Information Security Assessment Exchange) е разработен като индустриален стандарт специално за автомобилната индустрия и е адаптиран към специфичните нужди на индустрията. Основа за оценката на TISAX® е каталогът за тестове VDA Information Security Assessment (VDA ISA), който се основава, наред с други неща, на изискванията на ISO 27001 или ISO 27002 и ги разширява, за да включи теми като защита на прототипи или защита на данни.

Можете да намерите още ценни знания на нашата продуктова страница за TISAX®.

Целта на TISAX® е да осигури цялостна (информационна) сигурност за всички етапи от веригата на доставки. Освен това регистрацията в базата данни опростява процедурата за взаимно признаване. Въпреки това TISAX® се признава само в автомобилната индустрия. Клиентите от други бизнес сектори могат да признаят само ISO 27001 като доказателство за СУИС.

DQS - Какво можем да направим за Вас

DQS е Вашият специалист по одити и сертифициране на системи за управление и процеси. С повече от 35 години опит и ноу-хау на 2500 одитори по целия свят ние сме Вашият компетентен партньор за сертифициране, който дава отговори на всички въпроси, свързани с ISO 27001.

Одитираме в съответствие с около 200 признати стандарта и разпоредби, както и специфични стандарти на компании и асоциации. През декември 2000 г. бяхме първият германски сертифициращ орган, който получи акредитация за BS 7799-2, предшественик на ISO/IEC 27001. Тази експертиза все още е израз на нашата история на успеха в световен мащаб.

Ще се радваме да отговорим на Вашите въпроси

Какво трябва да направите, за да сертифицирате Вашата СУИС в съответствие с ISO 27001? Получете информация безплатно и без обвързване.

Очакваме с нетърпение да поговорим с Вас.

Вижте повече
Вижте по-малко

Информационна сигурност и защита на данните

Информационна сигурност и защита на данните

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Защита на данните и информационна сигурност - с ISO 27001 и ISO 27701

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Приложения за електронно здравеопазване - специален случай за защита на данните

Информационна сигурност срещу сигурност на ИТ

Информационна сигурност срещу ИТ сигурност

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 Приложение А: Отговорности и роли на служителите

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

ИТ сигурност срещу информационна сигурност - каква е разликата?

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Цели за защита на информационната сигурност и тяхното значение

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Стандарти за информационна сигурност - преглед

Информационна сигурност и управление на риска

Информационна сигурност и управление на риска

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Управление на уязвимостта в контекста на ISO 27001

Информационна сигурност в организацията

Глобализацията на производството, търговията и услугите се дължи на напредъка на дигитализацията. Все по-мощните информационни технологии изправят компаниите пред сериозни предизвикателства, когато става въпрос за информационна сигурност. В този контекст е важно не само ефективно да се защити собственото ноу-хау, но все по-често да се отговори на изискванията на клиентите и да се засили конкурентоспособността чрез ефективно внедрена система за управление на информацията.

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Инциденти, свързани с информационната сигурност: Служителите като фактор за успех

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Корпоративна информационна сигурност: Казус Mubea group

Стандарти за информационна сигурност

Фамилията стандарти ISO/IEC 2700x е международно призната серия от стандарти за въвеждане на цялостна система за управление на информационната сигурност. Основата е стандарт ISO/IEC 27001, който съдържа сертифицируеми изисквания за идентифициране, оценяване и управление на рисковете за дейностите по обработка на информация.

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Стандарти за информационна сигурност - преглед

TISAX (информационна сигурност в автомобилната индустрия)

TISAX (Информационна сигурност в автомобилната индустрия)

Блог
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - Отговори на важни въпроси

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Киберсигурност в автомобилната индустрия: Нови задължителни регулации

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

VDA ISA Catalog 5.0: Текуща основа за оценките TISAX®