qualitaet-header-blog-dqs-bunte bausteine

Informacijska sigurnost susreće upravljanje kvalitetom

André Saeckel

DQS stručnjak za standarde za informacijsku sigurnost
lis 25 , 2022
# Digitalizacija u upravljanju kvalitetom

U doba digitalizacije vrijedne su informacije koje prije svega treba čuvati ili štititi. Za tvrtke to znači da je, uz zaštitu podataka, sigurnost informacija apsolutna potreba. Dobra vijest je: tvrtke koje imaju certificirani sustav upravljanja kvalitetom u skladu s ISO 9001 već su stvorile dobru osnovu za postupno uvođenje potpuno sveobuhvatne informacijske sigurnosti.

SADRŽAJ

Tema informacijske sigurnosti nije nova. Opasnosti koje prijete opsežnom informacijskom krajoliku u organizacijama odavno su poznate. Prema BSI-jevom "Anketi o kibernetičkoj sigurnosti" iz travnja 2019., 43% velikih kompanija prijavilo je da su pogođene incidentima kibernetičke sigurnosti u 2018.

Za mala i srednja poduzeća ta je brojka bila 26%. A prema „Izvješću o stanju informatičke sigurnosti u Njemačkoj 2021.“ njemačkog Saveznog ureda za informacijsku sigurnost (BSI), slučajevi kibernetičkog kriminala ponovno su značajno porasli. U izvještajnom razdoblju od 1. lipnja 2020. do 31. svibnja 2021. ne samo da je došlo do povećanja od dobrih 22 posto u novim varijantama zlonamjernog softvera (oko 144 milijuna), nego je i kvaliteta napada također nastavila znatno rasti. Pritom su mnogi počinitelji iskoristili Corona nevolje mnogih tvrtki i ljudi.

Međutim, sigurnost povjerljivih podataka tvrtke i dalje je zanemarena. Pri obradi i pohranjivanju informacija često nedostaje opreza i promišljenosti. Svijest o posljedicama krađe podataka i slično također nije posvuda dovoljno razvijena. Na nekim mjestima tvrtke također oklijevaju uložiti vrijeme i trud koji su potrebni za učinkovitu zaštitu svojih osjetljivih podataka.

Korak po korak do više sigurnosti informacija

Ali trud potreban za sigurnost podataka ne mora biti tako velik. Dobra vijest je da mnoge tvrtke ne moraju implementirati sveobuhvatan sustav upravljanja sigurnošću informacija u jednom potezu. Za kritične infrastrukture (CRITIS), s druge strane, to zahtijeva njemački Zakon o IT sigurnosti.

Zamisliv je i pristup korak po korak. To znači da prvi korak, barem u tvrtkama koje imaju sustav upravljanja kvalitetom (QM) u skladu s ISO 9001, može biti ažuriranje potrebnog pristupa temeljenog na riziku - ali već s obzirom na odgovarajuće zahtjeve važnih standard informacijske sigurnosti ISO 27001.

ISO 9001 i ISO 27001 u eri digitalizacije

Uzbudljiva tema? Sada dostupno kao besplatna bijela knjiga!

Iz sadržaja:

Koliko papirologije je potrebno za osiguranje kvalitete?

Djelotvorna zaštita dokumentiranih informacija

ISO 27001: Osnova za sigurnu digitalizaciju

Ova bijela knjiga se temelji na izdanju ISO 27001:2013.

Preuzmize bijelu knjigu i saznajte više

Informacijska sigurnost i upravljanje kvalitetom

ISO 27001 nasuprot ISO 9001: Gdje su veze? Prvo, mora se primijetiti da standard upravljanja kvalitetom ISO 9001 zahtijeva pristup temeljen na riziku u cijelosti. Međutim, implementacija ovog zahtjeva sustava upravljanja uvelike ovisi o vašoj organizaciji. Na primjer, upravljanje kvalitetom ne zahtijeva poseban proces za procjenu rizika, ali to je nedvojbeno premalo s obzirom na informacijsku sigurnost. Štoviše:

Procjena rizika za pitanja upravljanja kvalitetom može se lako proširiti na informacijsku sigurnost.

Da biste to učinili, korisno je pogledati zahtjeve za identifikaciju i rješavanje sigurnosnih rizika ISO 27001 za sustav upravljanja sigurnošću informacija (ISMS). Većina aspekata mogu implementirati korisnici sustava upravljanja kvalitetom uz razuman trud - kao prvi korak na putu prema holističkoj informacijskoj sigurnosti, imajte na umu.

Informacijska sigurnost - rizici i prilike

Obje međunarodne norme, ISO 27001 za informacijsku sigurnost i ISO 9001 za upravljanje kvalitetom, bave se relevantnim temama u poglavlju 6.1 "Mjere za suočavanje s rizicima i prilikama". U biti, cilj je osigurati tri bitna aspekta u sustavu upravljanja:

  • Postizanje željenih rezultata vaše organizacije
  • Sprječavanje ili smanjenje neželjenih učinaka
  • Postizanje kontinuiranog poboljšanja kroz usklađenost s određenim standardima

Što se tiče informacijske sigurnosti, to su prvenstveno  tri osnovna cilja zaštite:

  • Gubitak povjerljivosti
  • Integritet informacija
  • Dostupnost informacija

ISMS standard ISO 27001 navodi sljedeće zahtjeve (odjeljak 6.1.1):

  • Određivanje rizika i prilika
  • Planiranje mjera za rješavanje identificiranih rizika i prilika
  • Planirajte kako će se mjere integrirati u procese tvrtke i implementirati

Identificiranje i suočavanje s rizicima

Sljedeće potpoglavlje (6.1.2) norme ISO 27001 zahtijeva uspostavu i primjenu procesa procjene rizika informacijske sigurnosti. Ovaj proces mora uspostaviti i održavati kriterije rizika za informacijsku sigurnost. To posebno uključuje kriterije za prihvaćanje rizika i provedbu procjene rizika informacijske sigurnosti.

Nadalje, proces mora osigurati da "ponovljene procjene rizika informacijske sigurnosti daju dosljedne, valjane i usporedive rezultate", kao što navodi standard ISMS. Sljedeće podstavke mogu biti značajne imajući na umu prvi korak:

  • Identificirajte rizike informacijske sigurnosti
  • Analizirati rizike informacijske sigurnosti
  • Procijenite rizike informacijske sigurnosti

Zahtjevi u 6.1.3 pozivaju na uspostavljanje i primjenu procesa za rješavanje rizika informacijske sigurnosti kako bi se postiglo sljedeće:

  • Odaberite odgovarajuće opcije za rješavanje sigurnosnog rizika, s obzirom na rezultate procjene rizika
  • Odredite sve radnje potrebne za implementaciju odabranih opcija za rješavanje sigurnosnog rizika
  • Usporedite definirane mjere s kontrolama navedenim u Dodatku A ISO 27001 (ciljane radnje)
  • Pripremite izjavu o primjenjivosti s obzirom na razloge za (ne)uključivanje kontrola iz Dodatka A
  • Formulirajte plan za rukovanje sigurnosnim rizicima
  • Dobiti odobrenje i prihvaćanje ovog plana od vlasnika rizika
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft

Certifikacija prema ISO 27001

Koliko truda trebate očekivati da biste svoj sustav upravljanja sigurnošću informacija certificirali prema ISO 27001? Saznati.

Radujemo se što ćemo se povezati s vama!

Dodatak A ISO 27001 nudi smjernice

Dodatak A poznate norme sustava upravljanja ISO/IEC 27001 ima izričiti normativni karakter. Može se shvatiti kao neka vrsta provjernog popisa koji se sastoji od 93 moguće kontrole informacijske sigurnosti, s fokusom na sljedeće četiri teme:

A.5 Organizacijske kontrole (s 37 kontrola)

A.6 Kontrole za osoblje (s 8 kontrola)

A.7 Fizičke kontrole (s 14 kontrola)

A.8 Tehničke kontrole (s 34 kontrole)

Organizacija Dodatak A može koristiti kako bi bila sigurna da nije zanemarena nijedna bitna točka za rješavanje sigurnosnih rizika. Međutim, ne tvrdi se da je iscrpan.

Izvor: ISO/IEC 27001:2022

Savjet za čitanje:

Pročitajte i članak na blogu ISO 27001 Dodatak A: Odgovornosti i uloge zaposlenika i steknite vrijedno stručno znanje s našim besplatnim Dodatkom A Vodičem za audite!

Sve informacije se temelje na ISO 27001:2013.

Informacijska sigurnost i upravljanje kvalitetom - koji je najbolji pristup?

ISO 27001 stoga zahtijeva dva odvojena procesa za procjenu i rješavanje rizika informacijske sigurnosti. Za prvi korak, međutim, oni bi se mogli kombinirati u jedan proces koji posebno proširuje procjenu rizika upravljanja kvalitetom uz prethodno navedene zahtjeve kako bi uključio aspekt informacijske sigurnosti. Ova dva standarda stoga pružaju dobru osnovu za provedbu zaštitnih mjera za zaštitu podataka i IT sigurnost.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Pogledajte sada: Što se mijenja s novom normom ISO/IEC 27001:2022

Novo izdanje ISO/IEC 27001, prilagođeno suvremenim informacijskim rizicima, objavljeno je 25. listopada 2022. Što to znači za korisnike norme? U našoj besplatnoj snimci webinara saznat ćete više o:

  • Novim značajkama ISO/IEC 27001:2022 - Okvir i Dodatak A
  • ISO/IEC 27002:2022-02 - struktura, sadržaj, atributi i hashtagovi
  • Vremenski okvir za prijelaz i novi koraci
Pogledajte snimku sada

ISO 27001 u odnosu na ISO 9001: Koliko dubinski gore spomenuti proces u konačnici rješava svaki zahtjev izravno ovisi o složenosti informacijskog okruženja vaše organizacije i podataka koji zahtijevaju zaštitu. U svakom slučaju, preporučljivo je njegovu učinkovitost provjeriti eksternim auditom. To je poželjno, na primjer, tijekom certifikacijskog audita vašeg sustava upravljanja kvalitetom prema ISO 9001, koji je ionako planiran.

Informacijska sigurnost i upravljanje kvalitetom - koje su prednosti? 

  • Proces koji temeljno gleda na rizike informacijske sigurnosti može poslužiti kao prvi, važan korak prema holističkom sustavu upravljanja informacijskom sigurnošću u skladu s ISO/IEC 27001.
  • Implementacijom ovakvog procesa uprava jača svijest o sigurnosti informacija i podataka (zaštiti podataka) na svim razinama.
  • Uz ciljano razmatranje rizika informacijske sigurnosti, tvrtka ima priliku otkriti potrebu za djelovanjem i poduzeti odgovarajuće mjere (orijentirane na ISO 27001, Dodatak A).
  • Procjena rizika proširena tako da uključuje informacijsku sigurnost, na primjer kao dio upravljanja kvalitetom, jača ukupni pristup poduzeća temeljen na riziku.
  • I financijskim i ljudskim resursima potrebnim za provedbu i testiranje učinkovitosti može se upravljati.

DQS: Simply leveraging Quality

U balansiranju između dinamike i stabilnosti, certificirani sustavi upravljanja postaju sve važniji - razvoj koji DQS osjeća na pozitivan način. Zato što uspješne tvrtke i organizacije koriste nalaze naših audita za kontinuirano poboljšanje svojih rezultata. I oni koriste naše globalno priznate certifikate kao objektivan dokaz svoje sposobnosti kvalitete. To stvara povjerenje - unutarnje i vanjsko u vašu organizaciju.

DQS je 1986. godine izdao prvi njemački certifikat za upravljanje kvalitetom. Prva provjera u kolovozu 1986. temeljila se na nacrtu standarda. Godine 1991. DQS je dobio svoju prvu akreditaciju za ISO 9001/2/3 od tadašnjeg TGA Trägergemeinschaft für Akkreditierung GmbH (danas: DAkkS). Akreditacija za certifikaciju informacijske sigurnosti prema britanskom standardu BS 7799-2 uslijedila je 2000. godine.

audit-gerber-hermsdorf-werner-korall-dqs.jpg
Pošaljite upit

Povjerenje i stručnost

Naše tekstove i brošure pišu isključivo naši stručnjaci za norme ili auditori s dugogodišnjim iskustvom. Ako imate pitanja za autora o sadržaju ili našim uslugama, slobodno nas kontaktirajte.

Autor
André Saeckel

Voditelj proizvoda u DQS-u za upravljanje informacijskom sigurnošću. Kao stručnjak za standarde za područje informacijske sigurnosti i kataloga IT sigurnosti (kritične infrastrukture), André Säckel je odgovoran za sljedeće opće standarde i standarde specifične za industriju, između ostalog: ISO 27001, ISIS12, ISO 20000-1, KRITIS i TISAX (informacijska sigurnost u automobilskoj industriji). Također je član radne skupine ISO/IEC JTC 1/SC 27/WG 1 kao nacionalni delegat Njemačkog instituta za normiranje (DIN).

Imate li pitanja?

Tu smo za vas.
Obratite nam se