datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

企業資訊安全：以穆比亞集團為例

安德烈薩克爾

DQS資安標準專家

12月 06 , 2022

如今，可靠的資訊安全為企業帶來的優勢遠不止於保護技術基礎設施。整個業務流程都高度依賴資訊安全性——無論是安全處理敏感數據，還是依法合規地處理這些數據。因此，資訊安全一詞如今涵蓋了對整個資訊流的保護。汽車供應商 Mubea 透過其 DQS 認證，成功地在十個歐洲國家實現了資訊安全標準化。 ISO 27001從而使自身在競爭中佔優勢。潛在的IT風險和機密資訊處理方式都經過嚴格審查，並不斷改進和改進。

十個國家的資訊安全帶來競爭優勢

全球化為許多公司在資訊安全方面帶來了巨大挑戰。各國的基礎設施和法律法規有時差異巨大。儘管如此，在全球範圍內開展業務的公司仍有義務實施有效的安全措施。漏洞管理系統，並建立適當的保護措施。這是因為跨國業務流程的數位化要求所有參與者都具備同等程度的IT安全能力，並且必須在整個價值鏈中得到保障。

在汽車產業，資料和資訊的安全性也變得日益重要，尤其是在不同地區、子公司或服務提供者之間進行國際合作時。汽車供應商穆比亞（Mubea）面臨的主要挑戰是如何在十個國家、共計二十家子公司中，將資訊科技安全水準提升到同一水準。

企業資訊安全－客戶關注的優勢

多年前，這家車身、底盤和動力總成輕量化結構專家就開始密切關注資訊安全：「我們的客戶越來越重視資訊安全，並將其納入採購條件。為了在競爭中保持優勢，我們必須迅速採取行動。」公司資訊安全與合規負責人Christiane Habbel表示。但這並非唯一原因：“我們一直致力於不斷改進資訊安全管理體系，並提高員工對這一問題的認識。因此，在2017年，我們決定按照公認的標準進行認證。” ISO 27001 「這對我們來說是一項巨大的標準，對我們開展這項工作幫助極大，」哈貝爾說。

ISO 27001 認證帶來的優勢

ISO 27001是適用於私人、公共或非營利組織的國際資訊安全標準。該標準描述了建立、實施、運行和優化已記錄的資訊安全系統的要求。資訊安全管理系統（資訊安全管理系統）。認證始終根據各公司的具體情況進行調整，並考慮其特殊性。

除了資訊安全這個話題之外，標準它尤其關注相關風險的分析和處理。因此，對於企業而言，它提供了一種系統化的結構化方法來保護營運資料的完整性和機密性。同時，它確保了企業流程中涉及的IT系統的可用性。根據全球認可的標準頒發的證書通常有效期為三年。然而，鑑於…持續改進以及持續的有效性管理系統每年進行一次監督審計。

TISAX® - 汽車產業評估

確實如此。 TISAX^® （可信的）資訊安全評估交換），一項由汽車行業定義的資訊安全標準，自 2017 年以來一直存在，因此已成為許多汽車製造商和供應商現在要求業務合作夥伴提供的另一種認證選項。然而， TISAX^®這是歐洲行業標準，尚未在全球範圍內確立。

「這對我們來說還不夠，」哈貝爾回憶道。這就是為什麼這家位於阿滕多恩的公司最初選擇… ISO 27001認證使其在資訊安全方面具有競爭優勢。

TISAX®：良好的規劃是成功評估的關鍵

您是否面臨著滿足汽車產業資訊安全要求的挑戰？如果是，那麼您應該提前做出一些重要決策。 TISAX ® 評估。我們的免費白皮書提供指導。

這些資訊有助於做好規劃。立即閱讀白皮書。

DQS雙重認證

考慮到這一點，穆比亞開始尋找合適的合作夥伴，並毫不猶豫地選擇了 DQS。

我們在研究過程中很快就發現了 DQS，並在第一次見面時發現我們非常契合。

克里斯汀·哈貝爾 Mubea公司IT主管 - 資訊安全與合規

為此， DQS審核員首先檢查了現場資訊安全管理系統（ISMS）的運作。此外，對於ISMS認證穆比亞必須證明其成功地運用了資訊安全的基本價值：保密、完整性和可用性。這三點是關鍵。資訊安全的保護目標。

在此背景下，我們列出了可能危及資訊安全的潛在IT風險或流程，並對其進行了最佳化。「與DQS的合作非常務實，以客戶為中心。我們從審計人員深厚的行業知識中獲益匪淺，他們在各個方面都為我們提供了支持，」Habbel說。 “這一點對雙方都適用。” ISO 27001和TISAX® 認證“

歐洲範圍內的企業資訊安全

然而，在DQS的幫助下，Mubea不僅成功優化了總部敏感資料和資訊的安全，還將其位於歐洲十個地點的20家子公司的安全級別提升到了新的水平，並建立了一套通用的安全標準。

憑藉這兩份證書，Mubea現在可以可靠地向客戶和合作夥伴證明其自身的資訊安全狀況。 Habbel表示，這為這家汽車供應商在市場上帶來了競爭優勢：「憑藉這兩份證書，Mubea能夠更好地向客戶和合作夥伴展示其資訊安全狀況。 ISO 27001我們不僅在整個歐洲範圍內推行了高標準的安保措施，還採取措施抵禦外部網路攻擊，並提高了員工對公司機密資產安全的認識。因為資訊安全遠不止於此。資訊安全然而，我們並未止步不前。為了不斷改進，我們每年都會對管理體系的關鍵組成部分進行審核。因此，我們原本就非常出色的資訊安全水準正在持續提升。

資訊安全管理系統符合國際標準

國際公認ISO 27001資訊安全管理系統 (ISMS) 標準在全球範圍內適用。它為各種規模和行業的組織提供了一個規劃、實施和監控資訊安全的框架。它不僅僅涵蓋 IT 安全方面的內容。尤其具有實際價值的是控制措施的實施。附件A符合標準。

這些標準要求具有普遍適用性，適用於私人和公共公司以及非營利組織。關於資料保護和個人資料的安全完整性處理， ISO 27701這是對標準的有益補充。

如何從資訊安全管理系統中獲益？資訊安全管理系統 (ISMS) 能為您帶來哪些好處？

透過以下方式有系統地建立和實施流程導向的資訊安全管理系統（ISMS）： ISO 27001例如，企業可以獲得決定性優勢：

保護機密資訊免於濫用、遺失和外洩是公司流程不可或缺的一部分。
提高員工的防範意識：有效發現並降低公司內部的威脅
遵守相關合規要求，採取更多行動，增強法律確定性
在客戶、商業夥伴和公眾之間建立信任
競爭力增強
優化流程和IT成本

該標準可從以下途徑取得： ISO網站e:
ISO/IEC 27001:2013 -資訊科技 - 安全科技 - 資訊安全管理系統-要求

這修訂版ISO/IEC 27001:2022該公告發佈於2022年10月25日。我們將持續更新有關變更的資訊。

ISO 27001該標準剛剛進行了修訂。修訂後的 ISO 標準於 2022 年 10 月 25 日發布了英文版。請閱讀我們的文章“”，以了解此次修訂的相關變更和截止日期”。新版 ISO/IEC 27001:2022 “。”

DQS：簡單有效地利用品質。

DQS專門從事審核和認證為了管理系統以及流程。公司總部位於德國法蘭克福，擁有超過35年的經驗和2500名審計師的專業知識，是您值得信賴的管理夥伴。我們根據約200項公認的標準和法規，或根據貴公司的具體要求進行審計－服務範圍涵蓋區域、國家和國際層面。

在進行審核和認證工作時，公正性和客觀性對我們至關重要。這不僅適用於規範領域，也適用於所有審核活動的進行。

如果您希望對貴公司或組織的資訊安全管理系統（ISMS）進行認證，我們將很樂意為您提供協助。

iso 27001-annex-a-dqs-mitarbeiterin schaut auf laptop in it umgebung

作者

安德烈薩克爾

André Säckel 是 DQS 資訊安全管理的產品經理。作為資訊安全和 IT 安全目錄（關鍵基礎設施）領域的標準專家，他負責以下標準和行業特定標準，其中包括：ISO 27001、ISIS12、ISO 20000-1、KRITIS 和 TISAX（汽車行業資訊安全）。他同時也是 ISO/IEC JTC 1/SC 27/WG 1 工作小組成員，代表德國標準化協會 (DIN) 擔任國家代表。