در عصر دیجیتالی شدن، این اطلاعات ارزشمندی است که بیش از همه باید حفظ یا محافظت شود. برای شرکتها، این بدان معناست که در کنار حفاظت از دادهها، امنیت اطلاعات یک الزام مطلق است. خبر خوب این است: شرکت هایی که دارای یک سیستم مدیریت کیفیت گواهی شده مطابق با ISO 9001 هستند، قبلاً مبنای خوبی برای معرفی گام به گام امنیت اطلاعات کاملاً جامع ایجاد کرده اند.
Loading...
محتوا
- قدم به قدم تا امنیت اطلاعات بیشتر
- امنیت اطلاعات و مدیریت کیفیت
- امنیت اطلاعات - خطرات و فرصت ها
- شناسایی و مقابله با خطرات
- پیوست A ISO 27001 راهنمایی ارائه می دهد
- ISMS و QMS - بهترین رویکرد چیست
- چه فوایدی دارد
- DQS: به سادگی از کیفیت استفاده کنید
موضوع امنیت اطلاعات موضوع جدیدی نیست. خطراتی که چشم انداز اطلاعات گسترده در سازمان ها را تهدید می کند مدت هاست که شناخته شده است. بر اساس "بررسی امنیت سایبری BSI" آوریل 2019، 43٪ از شرکت های بزرگ گزارش کردند که در سال 2018 تحت تأثیر حوادث امنیت سایبری قرار گرفته اند.
برای شرکت های کوچک و متوسط، این رقم 26 درصد بود. و با توجه به "گزارش وضعیت امنیت فناوری اطلاعات در آلمان 2021" از اداره فدرال امنیت اطلاعات آلمان (BSI)، موارد جرایم سایبری بار دیگر به میزان قابل توجهی افزایش یافته است. در دوره گزارش از 1 ژوئن 2020 تا 31 مه 2021، نه تنها افزایش خوبی 22 درصدی در انواع بدافزارهای جدید (حدود 144 میلیون) مشاهده شد، بلکه کیفیت حملات نیز به طور قابل توجهی افزایش یافت. در این فرآیند، بسیاری از مجرمان از ناراحتی ناشی از کرونا بسیاری از شرکت ها و افراد سوء استفاده کردند.
با این حال، امنیت اطلاعات محرمانه شرکت هنوز نادیده گرفته می شود. اغلب در هنگام پردازش و ذخیره اطلاعات احتیاط و تدبیر وجود ندارد. آگاهی از عواقب سرقت داده و موارد مشابه آن نیز در همه جا به اندازه کافی توسعه نیافته است. در برخی مکانها، شرکتها نیز تمایلی به سرمایهگذاری زمان و تلاش لازم برای محافظت مؤثر از اطلاعات حساس خود ندارند.
قدم به قدم برای امنیت اطلاعات بیشتر
اما تلاش لازم برای امنیت داده ها نباید آنقدر بزرگ باشد. خبر خوب این است که بسیاری از شرکت ها مجبور نیستند یک سیستم جامع مدیریت امنیت اطلاعات را در یک لحظه پیاده سازی کنند. از سوی دیگر، برای زیرساختهای حیاتی (CRITIS)، این امر توسط قانون امنیت فناوری اطلاعات آلمان الزامی است.
یک رویکرد گام به گام نیز قابل تصور است. این بدان معناست که اولین گام، حداقل در شرکت هایی که دارای سیستم مدیریت کیفیت (QM) مطابق با ISO 9001 هستند، می تواند به روز رسانی رویکرد مبتنی بر ریسک مورد نیاز باشد - اما در حال حاضر با توجه به الزامات مربوطه از موارد مهم. استاندارد امنیت اطلاعات ISO 27001
امنیت اطلاعات و مدیریت کیفیت
ISO 27001 در مقابل ISO 9001: اتصالات کجا هستند؟ ابتدا، باید توجه داشت که استاندارد مدیریت کیفیت ISO 9001 نیازمند یک رویکرد مبتنی بر ریسک در سراسر هیئت است. با این حال، اجرای این نیاز سیستم مدیریت تا حد زیادی به سازمان شما بستگی دارد. به عنوان مثال، مدیریت کیفیت به فرآیند جداگانه ای برای ارزیابی ریسک نیاز ندارد، اما این بدون شک با توجه به امنیت اطلاعات بسیار کم است. با این اوصاف:
ارزیابی ریسک برای مسائل مدیریت کیفیت به راحتی می تواند شامل امنیت اطلاعات شود.
برای انجام این کار، بررسی الزامات شناسایی و مقابله با خطرات امنیتی ISO 27001 برای یک سیستم مدیریت امنیت اطلاعات (ISMS) مفید است. بیشتر جنبه ها را می توان توسط کاربران یک سیستم مدیریت کیفیت با تلاش معقول پیاده سازی کرد - به عنوان اولین گام در راه امنیت اطلاعات جامع، توجه داشته باشید.
امنیت اطلاعات - خطرات و فرصت ها
هر دو استاندارد بین المللی، ISO 27001 برای امنیت اطلاعات و ISO 9001 برای مدیریت کیفیت، به موضوعات مربوطه در فصل 6.1 "اقدامات مقابله با ریسک ها و فرصت ها" می پردازند. در اصل، هدف اطمینان از سه جنبه اساسی در سیستم مدیریت است:
- دستیابی به نتایج مورد نظر سازمان شما
- پیشگیری یا کاهش اثرات نامطلوب
- دستیابی به بهبود مستمر از طریق رعایت استانداردهای خاص
- با توجه به امنیت اطلاعات، اینها در درجه اول سه هدف حفاظتی اساسی هستند:
- از دست دادن محرمانگی
- یکپارچگی اطلاعات
- در دسترس بودن اطلاعات
- استاندارد ISMS ISO 27001 الزامات زیر را مشخص می کند (بخش 6.1.1):
تعیین ریسک ها و فرصت ها
برنامه ریزی اقدامات برای مقابله با ریسک ها و فرصت های شناسایی شده
برنامه ریزی کنید که چگونه اقدامات در فرآیندهای شرکت ادغام و اجرا می شود
شناسایی و مقابله با خطرات
زیرفصل بعدی (6.1.2) ISO 27001 مستلزم ایجاد و بکارگیری فرآیند ارزیابی ریسک امنیت اطلاعات است. این فرآیند باید معیارهای خطر امنیت اطلاعات را ایجاد و حفظ کند. این به ویژه شامل معیارهای پذیرش ریسک و عملکرد ارزیابی ریسک امنیت اطلاعات است.
علاوه بر این، فرآیند باید اطمینان حاصل کند که "ارزیابی های مکرر خطر امنیت اطلاعات نتایج منسجم، معتبر و قابل مقایسه ایجاد می کند"، همانطور که استاندارد ISMS بیان می کند. موارد فرعی زیر ممکن است با در نظر گرفتن اولین قدم مهم باشند:
- خطرات امنیت اطلاعات را شناسایی کنید
- خطرات امنیت اطلاعات را تجزیه و تحلیل کنید
- ارزیابی خطرات امنیت اطلاعات
- الزامات 6.1.3 مستلزم ایجاد و به کارگیری فرآیندی برای رسیدگی به خطر امنیت اطلاعات به منظور دستیابی به موارد زیر است:
با توجه به نتایج ارزیابی ریسک، گزینه های مناسب را برای پرداختن به ریسک امنیتی انتخاب کنید
تمام اقدامات لازم برای اجرای گزینه های انتخاب شده برای مقابله با خطر امنیتی را تعیین کنید
اقدامات تعریف شده را با کنترل های مشخص شده در پیوست A ISO 27001 مقایسه کنید (اقدامات هدف)
یک بیانیه کاربردی با توجه به دلایل (عدم) شامل کردن کنترلهای ضمیمه A تهیه کنید
برنامه ای برای مدیریت خطرات امنیتی تدوین کنید
اخذ تاییدیه و پذیرش این طرح از صاحبان ریسک
Loading...
صدور گواهینامه بر اساس ISO 27001
برای دریافت گواهینامه ISO 27001 به سیستم مدیریت امنیت اطلاعات خود چه تلاشی نیاز دارید؟ دریابید.
ضمیمه A ISO 27001 راهنمایی ارائه می دهد
پیوست A استاندارد شناخته شده سیستم مدیریت ISO/IEC 27001 دارای ویژگی هنجاری صریح است. میتوان آن را بهعنوان نوعی چک لیست حاوی اهداف (کنترلها) و معیارها درک کرد. میتوانید از این راهنما استفاده کنید تا مطمئن شوید که هیچ نکته اساسی برای مقابله با خطرات امنیتی نادیده گرفته نشده است. با این حال، ادعا نمی کند که جامع است.
امنیت اطلاعات و مدیریت کیفیت - بهترین رویکرد چیست؟
بنابراین ISO 27001 به دو فرآیند جداگانه برای ارزیابی و مقابله با خطرات امنیت اطلاعات نیاز دارد. با این حال، برای اولین گام، اینها می توانند در یک فرآیند ترکیب شوند که به طور خاص ارزیابی ریسک مدیریت کیفیت را در امتداد الزامات فوق الذکر گسترش می دهد تا جنبه امنیت اطلاعات را نیز شامل شود. بنابراین این دو استاندارد مبنای خوبی برای اجرای اقدامات حفاظتی برای حفاظت از داده ها و امنیت فناوری اطلاعات فراهم می کنند.
ISO/IEC 27001:2013 - فناوری اطلاعات - تکنیکهای امنیتی - سیستمهای مدیریت امنیت اطلاعات - الزامات.
ISO 9001:2015 - سیستم های مدیریت کیفیت - الزامات.
هر دو استاندارد از وب سایت ISO در دسترس هستند.
ISO 27001 در مقابل ISO 9001: اینکه چگونه فرآیند فوق الذکر در نهایت به هر نیازی می پردازد، مستقیماً به پیچیدگی چشم انداز اطلاعات سازمان شما و داده هایی که نیاز به حفاظت دارند بستگی دارد. در هر صورت، توصیه می شود که اثربخشی آن در ممیزی خارجی تأیید شود. این توصیه می شود، به عنوان مثال، در دوره ممیزی گواهینامه سیستم مدیریت کیفیت شما مطابق با ISO 9001، که به هر حال برنامه ریزی شده است.
امنیت اطلاعات با مدیریت کیفیت روبرو می شود - چه مزایایی دارد؟
فرآیندی که نگاهی اساسی به خطرات امنیت اطلاعات داشته باشد، می تواند به عنوان اولین گام مهم به سمت یک سیستم مدیریت جامع برای امنیت اطلاعات مطابق با ISO/IEC 27001 باشد.
با اجرای چنین فرآیندی، مدیریت عالی آگاهی از اطلاعات و امنیت داده ها (محافظت از داده ها) را در تمام سطوح تقویت می کند.
با در نظر گرفتن هدفمند خطرات امنیت اطلاعات، یک شرکت این فرصت را دارد که نیاز به اقدام را کشف کند و اقدامات مناسب را انجام دهد (مطابق با ISO 27001، ضمیمه A).
ارزیابی ریسک که شامل امنیت اطلاعات می شود، برای مثال به عنوان بخشی از مدیریت کیفیت، رویکرد کلی مبتنی بر ریسک شرکت را تقویت می کند.
هم منابع مالی و هم منابع انسانی مورد نیاز برای اجرا و تست اثربخشی قابل مدیریت هستند.
DQS: به سادگی از کیفیت استفاده کنید
در عمل متعادل بین پویایی و پایداری، سیستم های مدیریت گواهی شده اهمیت بیشتری پیدا می کنند - پیشرفتی که DQS آن را به روشی مثبت احساس می کند. زیرا شرکت ها و سازمان های موفق از یافته های ممیزی ما برای بهبود مستمر نتایج خود استفاده می کنند. و آنها از گواهینامه های شناخته شده جهانی ما به عنوان اثبات عینی قابلیت کیفی خود استفاده می کنند. این باعث ایجاد اعتماد - هم در داخل و هم در خارج به سازمان شما می شود.
DQS اولین گواهینامه آلمان را برای مدیریت کیفیت در سال 1986 صادر کرد. اولین ممیزی در آگوست 1986 بر اساس پیش نویس استاندارد بود. در سال 1991، DQS اولین اعتبار خود را برای ISO 9001/2/3 توسط TGA Trägergemeinschaft für Akkreditierung GmbH (امروزه: DAkkS) دریافت کرد. تایید صلاحیت برای صدور گواهینامه امنیت اطلاعات بر اساس استاندارد بریتانیا BS 7799-2 در سال 2000 دنبال شد.
بیش از سه دهه دانش
متون و بروشورهای ما منحصراً توسط کارشناسان استاندارد یا ممیزان با سالها تجربه نوشته شده است. اگر در مورد محتوا یا خدمات ما سؤالی از نویسنده دارید، لطفاً با ما تماس بگیرید.
DQS خبرنامه
مطلع باشید و در خبرنامه ما مشترک شوید!
نویسنده
Gert Krueger
Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.
Loading...