資訊安全與品質管理

主題資訊安全這並非新鮮事。組織機構龐大的資訊環境所面臨的危險早已為人所知。根據德國聯邦安全局 (BSI) 2019 年 4 月發布的《網路安全調查》，43% 的大型企業報告在 2018 年遭受網路安全事件的影響。

對於中小企業而言，這一比例為26%。根據德國聯邦資訊安全辦公室 (BSI) 發布的《2021年德國資訊安全狀況報告》，網路犯罪案件再次大幅增加。在2020年6月1日至2021年5月31日的報告期間內，不僅新型惡意軟體變種數量增加了22%（約1.44億個），而且攻擊品質也持續大幅提升。在這個過程中，許多犯罪者利用了新冠疫情為眾多企業和個人帶來的困境。

然而，公司機密資訊的安全仍然被忽視。在處理和儲存資訊時，往往缺乏謹慎和周全的考慮。人們對資料竊取及其類似後果的認識也遠未達到足夠高的水平。在某些地方，公司也不願投入必要的時間和精力來有效保護其敏感資訊。

逐步提升資訊安全水平

但資料安全所需的投入不一定很大。好消息是，許多公司無需實施一套全面的資料安全方案。資訊安全管理系統一舉完成。而對於關鍵基礎設施（CRITIS）而言，這是德國《資訊科技安全法》的要求。

循序漸進的方法也是可行的。這意味著第一步，至少在那些擁有符合以下規定的品質管理（QM）體系的公司中，是： ISO 9001可以作為所需基於風險的方法的更新—但必須考慮到重要資訊安全標準的相應要求。 ISO 27001。

資訊安全與品質管理

ISO 27001 與 ISO 9001：它們之間有何關聯？首先，必須指出的是，ISO 9001 品質管理標準確實要求…基於風險的方法整體而言，管理體係要求必須落實。然而，這一管理體係要求的實施很大程度取決於貴組織。例如，品質管理不需要單獨的風險評估流程，但就資訊安全而言，這顯然遠遠不夠。儘管如此：

為此，不妨參考ISO 27001資訊安全管理系統（ISMS）中關於識別和應對安全風險的要求。大多數方面，品質管理系統的使用者只需付出合理的努力即可實施—請注意，這只是邁向全面資訊安全的第一步。

資訊安全－風險與機遇

兩項國際標準ISO 27001為了資訊安全和ISO 9001關於品質管理，請參考第6.1章「應對風險和機會的措施」中的相關主題。本質上，其目標是確保三個基本方面在管理系統中：

• 實現組織預期目標
• 預防或減少不良影響
• 實現持續改進透過遵守某些標準

就資訊安全而言，這些主要包括：三個基本保護目標：

• 保密性喪失
• 資訊的完整性
• 資訊的可獲得性

資訊安全管理系統標準 ISO 27001 規定了以下內容：要求（第 6.1.1 節）：

• 確定風險和機遇
• 制定應對已識別風險和機會的措施
• 制定計劃，將這些措施整合到公司流程中並加以實施。

識別和應對風險

ISO 27001 的下一小節（6.1.2）要求建立與應用資訊安全風險評估流程。該流程必須建立並維護資訊安全風險標準。這尤其包括風險接受標準和資訊安全風險評估的執行情況。

此外，正如資訊安全管理系統（ISMS）標準所述，該流程必須確保「重複的資訊安全風險評估能夠產生一致、有效且可比較的結果」。以下幾個子項對於初步實施可能至關重要：

• 識別資訊安全風險
• 分析資訊安全風險
• 評估資訊安全風險

6.1.3 條款的要求是建立並應用一個流程，以…解決資訊安全風險為了達到以下目的：

• 根據風險評估結果，選擇合適的方案來應對安全風險。
• 確定為實施所選方案以應對安全風險所需的所有行動。
• 將已定義的措施與 ISO 27001 附錄 A 中規定的控制措施（目標行動）進行比較。
• 就附件 A 中的控制措施是否納入適用性說明，闡述原因。
• 制定應對安全風險的計劃
• 獲得風險所有者的批准和接受。

ISO 27001 附錄 A 提供了相關指引。

著名的管理系統標準 ISO/IEC 27001 的附件 A 具有明確的規範性。它可以被理解為一份包含 93 項資訊安全控制措施的清單，重點在於以下四個面向：

A.5 組織控制（共 37 項控制措施）
A.6 個人控制（共 8 個控制項）
A.7 實體控制裝置（共 14 個控制裝置）
A.8 技術控制（共 34 項控制）。

組織可以利用附件A來確保其沒有遺漏任何應對安全風險的關鍵事項。但是，附件A並非詳盡無遺。

來源：ISO/IEC 27001:2022

資訊安全和品質管理—最佳方法是什麼？

ISO 27001因此，需要兩個獨立的流程來評估和應對資訊安全風險。然而，在第一步中，可以將這兩個流程合併為一個流程，該流程專門擴展品質管理風險評估的範圍，使其涵蓋資訊安全方面，並滿足上述要求。這兩個標準由此為實施資料保護和資訊技術安全保護措施奠定了良好的基礎。

ISO 27001 與 ISO 9001：上述流程最終能多深入地滿足各項要求，直接取決於貴組織資訊環境的複雜程度以及需要保護的資料。無論採用哪種標準，都建議透過外部審核來驗證其有效性。例如，在根據 ISO 9001 標準對您的品質管理系統進行認證審核的過程中，就建議這樣做。 ISO 9001反正這也是計畫之中的事。

資訊安全與品質管理結合－有哪些好處？

• 對資訊安全風險進行根本性檢視的過程，可作為依照 ISO/IEC 27001 標準建立資訊安全整體管理系統的重要第一步。
• 透過實施這樣的流程，高階管理人員加強各級人員對資訊和資料安全（資料保護）的認識。
• 透過有針對性地考慮資訊安全風險，公司有機會發現採取行動的必要性，並採取適當的措施（以 ISO 27001 附錄 A 為導向）。
• 風險評估擴展到包括資訊安全，例如作為品質管理的一部分，加強了公司的整體風險導向方法。
• 實施和效果測試所需的財務和人力資源都是可控的。

DQS：簡單利用品質

在動態性和穩定性之間尋求平衡的過程中，認證的管理系統變得越來越重要——DQS對此持正面態度。因為成功的公司和組織都會運用我們的研究成果。審計為了不斷提升業績，他們使用我們全球認可的證書作為其品質能力的客觀證明。這有助於建立信任——無論是在組織內部還是外部。

DQS於1986年頒發了德國首個品質管理系統認證證書。 1986年8月進行的首次審核是基於該標準的草案。 1991年，DQS獲得了當時的TGA Trägergemeinschaft für Akkreditierung GmbH（現為： DAkkS ). 2000 年獲得符合英國標準 BS 7799-2 的資訊安全認證認可。

信任和專業知識

我們的文本和宣傳冊均由經驗豐富的標準專家或審核員撰寫。如果您對內容或我們的服務有任何疑問，請隨時與我們聯絡。