qualitaet-header-blog-dqs-bunte bausteine

Η ασφάλεια πληροφοριών συναντά τη διαχείριση ποιότητας

Gert Krueger

Ειδικός της DQS για την Ασφάλεια Πληροφοριών και την Προστασία Δεδομένων
Οκτ 25 , 2022
# Ψηφιοποίηση στη Διαχείριση Ποιότητας

Στην εποχή της ψηφιοποίησης, οι πολύτιμες πληροφορίες είναι αυτές που πρέπει να διατηρούνται ή να προστατεύονται πάνω απ' όλα. Για τις εταιρείες, αυτό σημαίνει ότι παράλληλα με την προστασία των δεδομένων, η ασφάλεια των πληροφοριών είναι απολύτως απαραίτητη. Τα καλά νέα είναι: οι εταιρείες που διαθέτουν πιστοποιημένο σύστημα διαχείρισης ποιότητας σύμφωνα με το ISO 9001 έχουν ήδη δημιουργήσει μια καλή βάση για τη σταδιακή εισαγωγή μιας πλήρως ολοκληρωμένης ασφάλειας πληροφοριών.

ΠΕΡΙΕΧΟΜΕΝΟ

Το θέμα της ασφάλειας των πληροφοριών δεν είναι καινούργιο. Οι κίνδυνοι που απειλούν το εκτεταμένο τοπίο πληροφοριών στους οργανισμούς είναι γνωστοί εδώ και πολύ καιρό. Σύμφωνα με την έρευνα "Cyber Security Survey" της BSI του Απριλίου 2019, το 43% των μεγάλων εταιρειών ανέφεραν ότι επηρεάστηκαν από περιστατικά ασφάλειας στον κυβερνοχώρο το 2018.

Για τις μικρές και μεσαίες επιχειρήσεις, το ποσοστό ήταν 26%. Και σύμφωνα με την "Έκθεση για την κατάσταση της ασφάλειας πληροφορικής στη Γερμανία το 2021" από το Γερμανικό Ομοσπονδιακό Γραφείο για την Ασφάλεια Πληροφοριών (BSI), οι περιπτώσεις εγκλημάτων στον κυβερνοχώρο έχουν και πάλι αυξηθεί σημαντικά. Κατά την περίοδο αναφοράς από την 1η Ιουνίου 2020 έως τις 31 Μαΐου 2021, όχι μόνο σημειώθηκε αύξηση κατά 22% σε νέες παραλλαγές κακόβουλου λογισμικού (περίπου 144 εκατομμύρια), αλλά και η ποιότητα των επιθέσεων συνέχισε να αυξάνεται σημαντικά. Κατά τη διαδικασία, πολλοί δράστες εκμεταλλεύτηκαν τη στενοχώρια Corona πολλών εταιρειών και ανθρώπων.

Ωστόσο, η ασφάλεια των εμπιστευτικών εταιρικών πληροφοριών εξακολουθεί να παραμελείται. Συχνά υπάρχει έλλειψη προσοχής και προνοητικότητας κατά την επεξεργασία και την αποθήκευση των πληροφοριών. Η συνειδητοποίηση των συνεπειών της κλοπής δεδομένων και των συναφών δεν είναι επίσης παντού επαρκώς ανεπτυγμένη. Σε ορισμένα μέρη, οι εταιρείες είναι επίσης απρόθυμες να επενδύσουν το χρόνο και την προσπάθεια που απαιτούνται για την αποτελεσματική προστασία των ευαίσθητων πληροφοριών τους.

Βήμα προς βήμα για περισσότερη ασφάλεια πληροφοριών

Όμως η προσπάθεια που απαιτείται για την ασφάλεια των δεδομένων δεν χρειάζεται να είναι τόσο μεγάλη. Τα καλά νέα είναι ότι πολλές εταιρείες δεν χρειάζεται να εφαρμόσουν ένα ολοκληρωμένο σύστημα διαχείρισης της ασφάλειας των πληροφοριών με μια κίνηση. Για τις κρίσιμες υποδομές (CRITIS), από την άλλη πλευρά, αυτό απαιτείται από τον γερμανικό νόμο για την ασφάλεια της πληροφορικής.

Μια προσέγγιση βήμα προς βήμα είναι επίσης εφικτή. Αυτό σημαίνει ότι το πρώτο βήμα, τουλάχιστον στις επιχειρήσεις που διαθέτουν σύστημα διαχείρισης ποιότητας (QM) σύμφωνα με το ISO 9001, μπορεί να είναι η επικαιροποίηση της απαιτούμενης προσέγγισης βάσει κινδύνου - αλλά ήδη με γνώμονα τις αντίστοιχες απαιτήσεις του σημαντικού προτύπου ασφάλειας πληροφοριών ISO 27001.

Ασφάλεια πληροφοριών και διαχείριση ποιότητας

ISO 27001 vs. ISO 9001: Πού είναι οι συνδέσεις; Κατ' αρχάς, πρέπει να σημειωθεί ότι το πρότυπο διαχείρισης ποιότητας ISO 9001 απαιτεί οριζόντια προσέγγιση βάσει κινδύνου. Ωστόσο, η εφαρμογή αυτής της απαίτησης του συστήματος διαχείρισης εξαρτάται σε μεγάλο βαθμό από τον οργανισμό σας. Για παράδειγμα, η διαχείριση ποιότητας δεν απαιτεί ξεχωριστή διαδικασία για την αξιολόγηση κινδύνων, αλλά αυτό είναι αναμφισβήτητα πολύ λίγο σε σχέση με την ασφάλεια των πληροφοριών. Παρ' όλα αυτά:

Η αξιολόγηση κινδύνου για θέματα διαχείρισης ποιότητας μπορεί εύκολα να επεκταθεί ώστε να συμπεριλάβει την ασφάλεια πληροφοριών.

Για να γίνει αυτό, είναι χρήσιμο να εξετάσουμε τις απαιτήσεις για τον εντοπισμό και την αντιμετώπιση των κινδύνων ασφαλείας του ISO 27001 για ένα σύστημα διαχείρισης της ασφάλειας των πληροφοριών (ISMS). Οι περισσότερες πτυχές μπορούν να εφαρμοστούν από τους χρήστες ενός συστήματος διαχείρισης ποιότητας με λογική προσπάθεια - ως ένα πρώτο βήμα στην πορεία προς την ολιστική ασφάλεια πληροφοριών, σημειωτέον.

Ασφάλεια πληροφοριών - κίνδυνοι και ευκαιρίες

Και τα δύο διεθνή πρότυπα, το ISO 27001 για την ασφάλεια των πληροφοριών και το ISO 9001 για τη διαχείριση της ποιότητας, ασχολούνται με τα σχετικά θέματα στο κεφάλαιο 6.1 "Μέτρα για την αντιμετώπιση κινδύνων και ευκαιριών". Στην ουσία, ο στόχος είναι να διασφαλιστούν τρεις βασικές πτυχές στο σύστημα διαχείρισης:

  • Την επίτευξη των επιδιωκόμενων αποτελεσμάτων του οργανισμού σας
  • Πρόληψη ή μείωση των ανεπιθύμητων αποτελεσμάτων
  • Επίτευξη συνεχούς βελτίωσης μέσω της συμμόρφωσης με ορισμένα πρότυπα

Όσον αφορά την ασφάλεια των πληροφοριών, αυτοί είναι κυρίως οι τρεις βασικοί στόχοι προστασίας:

  • Απώλεια της εμπιστευτικότητας
  • Ακεραιότητα των πληροφοριών
  • Διαθεσιμότητα των πληροφοριών

Το πρότυπο ISMS ISO 27001 καθορίζει τις ακόλουθες απαιτήσεις (ενότητα 6.1.1):

  • Καθορισμός κινδύνων και ευκαιριών
  • Σχεδιασμός μέτρων για την αντιμετώπιση των εντοπισμένων κινδύνων και ευκαιριών
  • Σχεδιασμός του τρόπου με τον οποίο τα μέτρα θα ενσωματωθούν στις διαδικασίες της εταιρείας και θα εφαρμοστούν

Προσδιορισμός και αντιμετώπιση των κινδύνων

Το επόμενο υποκεφάλαιο (6.1.2) του ISO 27001 απαιτεί την καθιέρωση και την εφαρμογή μιας διαδικασίας αξιολόγησης κινδύνων για την ασφάλεια των πληροφοριών. Η διαδικασία αυτή πρέπει να θεσπίζει και να διατηρεί κριτήρια κινδύνου για την ασφάλεια των πληροφοριών. Αυτό περιλαμβάνει, ειδικότερα, τα κριτήρια για την αποδοχή των κινδύνων και τη διενέργεια αξιολογήσεων κινδύνων ασφάλειας πληροφοριών.

Επιπλέον, η διαδικασία πρέπει να διασφαλίζει ότι "οι επαναλαμβανόμενες αξιολογήσεις κινδύνου ασφάλειας πληροφοριών παράγουν συνεπή, έγκυρα και συγκρίσιμα αποτελέσματα", όπως αναφέρει το πρότυπο ISMS. Τα ακόλουθα επιμέρους στοιχεία θα μπορούσαν να είναι σημαντικά με γνώμονα ένα πρώτο βήμα:

  • Προσδιορισμός των κινδύνων για την ασφάλεια των πληροφοριών
  • Ανάλυση των κινδύνων ασφάλειας πληροφοριών
  • Αξιολόγηση των κινδύνων για την ασφάλεια των πληροφοριών

Οι απαιτήσεις του σημείου 6.1.3 απαιτούν τη θέσπιση και εφαρμογή μιας διαδικασίας για την αντιμετώπιση των κινδύνων ασφάλειας πληροφοριών, προκειμένου να επιτευχθούν τα εξής

  • Επιλογή των κατάλληλων επιλογών για την αντιμετώπιση του κινδύνου ασφάλειας, σε σχέση με τα αποτελέσματα της αξιολόγησης κινδύνου
  • Καθορισμός όλων των απαραίτητων ενεργειών για την εφαρμογή των επιλεγμένων επιλογών αντιμετώπισης του κινδύνου ασφάλειας.
  • Σύγκριση των καθορισμένων μέτρων με τους ελέγχους που καθορίζονται στο παράρτημα Α του ISO 27001 (στοχευμένες ενέργειες)
  • Προετοιμάζει δήλωση εφαρμογής όσον αφορά τους λόγους για τη (μη) συμπερίληψη των ελέγχων από το παράρτημα Α
  • Διαμόρφωση σχεδίου για την αντιμετώπιση των κινδύνων ασφάλειας
  • Λήψη έγκρισης και αποδοχής του εν λόγω σχεδίου από τους ιδιοκτήτες των κινδύνων
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft

Certification according to ISO 27001

Ποια προσπάθεια πρέπει να αναμένετε για την πιστοποίηση του συστήματος διαχείρισης της ασφάλειας των πληροφοριών σας κατά ISO 27001; Μάθετε το.

We are looking forward to connecting with you!

Το παράρτημα Α του ISO 27001 προσφέρει καθοδήγηση

Το παράρτημα Α του γνωστού προτύπου συστήματος διαχείρισης ISO/IEC 27001 έχει ρητό κανονιστικό χαρακτήρα. Μπορεί να εκληφθεί ως ένα είδος καταλόγου ελέγχου που περιέχει στόχους (ελέγχους) και μέτρα. Μπορείτε να χρησιμοποιήσετε αυτόν τον οδηγό για να διασφαλίσετε ότι δεν έχουν παραβλεφθεί βασικά σημεία για την αντιμετώπιση των κινδύνων ασφαλείας. Ωστόσο, δεν ισχυρίζεται ότι είναι εξαντλητικός.

Ασφάλεια πληροφοριών και διαχείριση ποιότητας - ποια είναι η καλύτερη προσέγγιση;

ΤοISO 27001 απαιτεί, λοιπόν, δύο ξεχωριστές διαδικασίες για την αξιολόγηση και την αντιμετώπιση των κινδύνων ασφάλειας πληροφοριών. Για το πρώτο βήμα, ωστόσο, αυτές θα μπορούσαν να συνδυαστούν σε μία διαδικασία που επεκτείνει συγκεκριμένα την αξιολόγηση κινδύνων της διαχείρισης ποιότητας κατά μήκος των προαναφερθεισών απαιτήσεων, ώστε να συμπεριλάβει την πτυχή της ασφάλειας πληροφοριών. Τα δύο πρότυπα παρέχουν έτσι μια καλή βάση για την εφαρμογή προστατευτικών μέτρων για την προστασία των δεδομένων και την ασφάλεια των ΤΠ.

ISO/IEC 27001:2013 - Τεχνολογία πληροφοριών - Τεχνικές ασφάλειας - Συστήματα διαχείρισης της ασφάλειας πληροφοριών - Απαιτήσεις.

ISO 9001:2015 - Συστήματα διαχείρισης της ποιότητας - Απαιτήσεις.

Και τα δύο πρότυπα είναι διαθέσιμα από τον δικτυακό τόπο του ISO.

ISO 27001 vs. ISO 9001: Το πόσο σε βάθος η προαναφερθείσα διαδικασία καλύπτει τελικά κάθε απαίτηση εξαρτάται άμεσα από την πολυπλοκότητα του πληροφοριακού τοπίου του οργανισμού σας και τα δεδομένα που απαιτούν προστασία. Σε κάθε περίπτωση, καλό είναι να επαληθεύεται η αποτελεσματικότητά της στο πλαίσιο ενός εξωτερικού ελέγχου. Αυτό ενδείκνυται, για παράδειγμα, κατά τη διάρκεια ενός ελέγχου πιστοποίησης του συστήματος διαχείρισης της ποιότητάς σας σύμφωνα με το ISO 9001, ο οποίος ούτως ή άλλως προγραμματίζεται.

Η ασφάλεια των πληροφοριών συναντά τη διαχείριση ποιότητας - ποια είναι τα οφέλη;

  • Μια διαδικασία που εξετάζει εκ βάθρων τους κινδύνους για την ασφάλεια των πληροφοριών μπορεί να χρησιμεύσει ως ένα πρώτο, σημαντικό βήμα προς ένα ολιστικό σύστημα διαχείρισης για την ασφάλεια των πληροφοριών σύμφωνα με το ISO/IEC 27001.
  • Με την εφαρμογή μιας τέτοιας διαδικασίας, η ανώτατη διοίκηση ενισχύει την ευαισθητοποίηση για την ασφάλεια των πληροφοριών και των δεδομένων (προστασία δεδομένων) σε όλα τα επίπεδα.
  • Με τη στοχευμένη εξέταση των κινδύνων για την ασφάλεια των πληροφοριών, μια εταιρεία έχει τη δυνατότητα να αποκαλύψει την ανάγκη για δράση και να λάβει τα κατάλληλα μέτρα (προσανατολισμός στο ISO 27001, Παράρτημα Α).
  • Η αξιολόγηση κινδύνων που επεκτείνεται ώστε να συμπεριλάβει την ασφάλεια πληροφοριών, για παράδειγμα ως μέρος της διαχείρισης ποιότητας, ενισχύει τη συνολική προσέγγιση μιας εταιρείας με βάση τον κίνδυνο.
  • Τόσο οι οικονομικοί όσο και οι ανθρώπινοι πόροι που απαιτούνται για την εφαρμογή και τον έλεγχο της αποτελεσματικότητας είναι διαχειρίσιμοι.

DQS: Απλά αξιοποιώντας την ποιότητα

Στην εξισορρόπηση μεταξύ δυναμικής και σταθερότητας, τα πιστοποιημένα συστήματα διαχείρισης αποκτούν όλο και μεγαλύτερη σημασία - μια εξέλιξη που η DQS αισθάνεται θετικά. Επειδή οι επιτυχημένες εταιρείες και οργανισμοί χρησιμοποιούν τα ευρήματα των ελέγχων μας για να βελτιώνουν συνεχώς τα αποτελέσματά τους. Και χρησιμοποιούν τα παγκοσμίως αναγνωρισμένα πιστοποιητικά μας ως αντικειμενική απόδειξη της ποιοτικής τους ικανότητας. Αυτό δημιουργεί εμπιστοσύνη - τόσο στο εσωτερικό όσο και στο εξωτερικό του οργανισμού σας.

Η DQS εξέδωσε το πρώτο πιστοποιητικό της Γερμανίας για τη διαχείριση της ποιότητας το 1986. Ο πρώτος έλεγχος τον Αύγουστο του 1986 βασίστηκε σε ένα προσχέδιο του προτύπου. Το 1991, η DQS έλαβε την πρώτη της διαπίστευση για το ISO 9001/2/3 από την τότε TGA Trägergemeinschaft für Akkreditierung GmbH (σήμερα: DAkkS). Το 2000 ακολούθησε η διαπίστευση για την πιστοποίηση της ασφάλειας των πληροφοριών σύμφωνα με το βρετανικό πρότυπο BS 7799-2.

Τρεις και πλέον δεκαετίες τεχνογνωσίας

Τα κείμενα και τα φυλλάδιά μας γράφονται αποκλειστικά από τους ειδικούς μας σε θέματα προτύπων ή ελεγκτές με πολυετή εμπειρία. Εάν έχετε οποιεσδήποτε ερωτήσεις προς τον συγγραφέα σχετικά με το περιεχόμενο ή τις υπηρεσίες μας, μη διστάσετε να επικοινωνήσετε μαζί μας.

Συγγραφέας
Gert Krueger

Εμπειρογνώμονας και υπεύθυνος έργων για την ασφάλεια πληροφοριών, το BSI-KritisV και την προστασία δεδομένων στην DQS. Επιπλέον, μακροχρόνιος ελεγκτής ποιότητας και περιβαλλοντικής διαχείρισης.

Ερωτήσεις;

Είμαστε εδώ για εσάς.
Επικοινωνία