A digitalizáció korában mindenekelőtt az értékes információkat kell megőrizni vagy védeni. A vállalatok számára ez azt jelenti, hogy az adatvédelem mellett az információbiztonság is elengedhetetlen. A jó hír az, hogy az ISO 9001 szerinti tanúsított minőségirányítási rendszerrel rendelkező vállalatok már jó alapot teremtettek a teljesen átfogó információbiztonság lépésről lépésre történő bevezetéséhez.

Loading...

Az információbiztonság témája nem új keletű. A szervezetek kiterjedt információs tájképét fenyegető veszélyek már régóta ismertek. A német BSI 2019. áprilisi "Cyber Security Survey" (Kiberbiztonsági felmérés) szerint a nagyvállalatok 43%-a számolt be arról, hogy 2018-ban kiberbiztonsági incidensek érintették.

A kis- és középvállalkozások esetében ez az arány 26% volt. A német Szövetségi Információbiztonsági Hivatal (BSI) "Situation Report on IT Security in Germany 2021" című jelentése szerint pedig a kiberbűncselekmények esetei ismét jelentősen megnőttek. A 2020. június 1. és 2021. május 31. közötti jelentési időszakban nemcsak az új kártevő-változatok száma nőtt jó 22 százalékkal (mintegy 144 millió), hanem a támadások minősége is jelentősen tovább emelkedett. Ennek során számos elkövető kihasználta számos vállalat és ember Corona-zavarait.

A bizalmas vállalati információk biztonságát azonban továbbra is elhanyagolják. Az információk feldolgozása és tárolása során gyakran hiányzik az óvatosság és az előrelátás. Az adatlopás és a hozzá hasonlók következményeinek tudatosítása sem mindenhol eléggé fejlett. Egyes helyeken a vállalatok nem hajlandóak időt és energiát áldozni arra, hogy hatékonyan védjék bizalmas információikat.

Lépésről lépésre a nagyobb információbiztonság felé

Az adatbiztonsághoz szükséges erőfeszítésnek azonban nem kell olyan nagynak lennie. A jó hír az, hogy sok vállalatnak nem kell egy csapásra átfogó információbiztonsági irányítási rendszert bevezetnie. A kritikus infrastruktúrák (CRITIS) esetében viszont a német IT-biztonsági törvény ezt megköveteli.

Egy lépésről lépésre történő megközelítés is elképzelhető. Ez azt jelenti, hogy legalábbis az ISO 9001 szerinti minőségirányítási (QM) rendszerrel rendelkező vállalatoknál az első lépés lehet a szükséges kockázatalapú megközelítés aktualizálása - de már a fontos ISO 27001 információbiztonsági szabvány megfelelő követelményeinek figyelembevételével.

Loading...

ISO 9001 and ISO 27001 in the era of digitalization

Izgalmas téma? Most ingyenes fehér könyv formájában is elérhető!

A tartalomból:

Mennyi papír a minőségért?
A dokumentált információk hatékony védelme
ISO 27001: A biztonságos digitalizálás alapja

Ez a Fehér Könyv az ISO 27001:2013-as változatán alapul.

Információbiztonság és minőségirányítás

ISO 27001 vs. ISO 9001: Hol vannak az összefüggések? Először is meg kell jegyezni, hogy az ISO 9001 minőségirányítási szabvány valóban mindenütt kockázatalapú megközelítést ír elő. Ennek az irányítási rendszerre vonatkozó követelménynek a végrehajtása azonban nagyrészt az Ön szervezetén múlik. A minőségirányítás például nem ír elő külön folyamatot a kockázatértékelésre, de ez az információbiztonság tekintetében kétségtelenül kevés. Mindazonáltal:

Kockázatértékelés a qualitásmenedzsmenttel kapcsolatos kérdésekre könnyen kiterjeszthető az információbiztonságra is.

Ehhez hasznos áttekinteni az ISO 27001 szabványnak az információbiztonsági irányítási rendszerre (ISMS) vonatkozó, a biztonsági kockázatok azonosítására és kezelésére vonatkozó követelményeit. A legtöbb szempontot a minőségirányítási rendszer felhasználói ésszerű erőfeszítéssel megvalósíthatják - a holisztikus információbiztonság felé vezető út első lépéseként, ne feledje.

Információbiztonság - kockázatok és lehetőségek

Mindkét nemzetközi szabvány, az ISO 27001 az információbiztonságra és az ISO 9001 a minőségirányításra vonatkozóan, a 6.1. fejezetben "A kockázatok és lehetőségek kezelésére szolgáló intézkedések" című fejezetben foglalkozik a vonatkozó témákkal. Lényegében három lényeges szempontot kell biztosítani az irányítási rendszerben:

  • A szervezet tervezett eredményeinek elérése
  • A nemkívánatos hatások megelőzése vagy csökkentése
  • Folyamatos javuláselérése bizonyos szabványoknak való megfelelés révén.

Az információbiztonság tekintetében ezek elsősorban a következők három alapvető védelmi cél:

  • A titkosság elvesztése
  • Az információ sértetlensége
  • az információ rendelkezésre állása

Az ISO 27001 ISMS szabvány a következő követelményeket határozza meg (6.1.1. szakasz):

  • A kockázatok és lehetőségek meghatározása
  • Az azonosított kockázatok és lehetőségek kezelésére irányuló intézkedések tervezése
  • Az intézkedések vállalati folyamatokba való integrálásának és végrehajtásának megtervezése.

A kockázatok azonosítása és kezelése

Az ISO 27001 következő alfejezete (6.1.2) előírja az információbiztonsági kockázatértékelési folyamat létrehozását és alkalmazását. Ennek a folyamatnak ki kell alakítania és fenn kell tartania az információbiztonsági kockázati kritériumokat. Ez különösen a kockázatok elfogadásának és az információbiztonsági kockázatértékelések elvégzésének kritériumait foglalja magában.

Továbbá a folyamatnak biztosítania kell, hogy "az ismétlődő információbiztonsági kockázatértékelések következetes, érvényes és összehasonlítható eredményeket produkáljanak", ahogyan azt az ISMS-szabvány kimondja. A következő alpontok jelentősek lehetnek az első lépést szem előtt tartva:

  • Az információbiztonsági kockázatok azonosítása
  • Az információbiztonsági kockázatok elemzése
  • Az információbiztonsági kockázatok értékelése

A 6.1.3. pont követelményei az információbiztonsági kockázatok kezelésére szolgáló folyamat létrehozására és alkalmazására szólítanak fel a következők elérése érdekében:

  • A biztonsági kockázat kezelésére megfelelő lehetőségek kiválasztása a kockázatértékelés eredményeinek figyelembevételével.
  • A biztonsági kockázat kezelésére kiválasztott lehetőségek végrehajtásához szükséges valamennyi intézkedés meghatározása.
  • A meghatározott intézkedések összehasonlítása az ISO 27001 szabvány A. mellékletében meghatározott ellenőrzésekkel (célintézkedések).
  • Alkalmazhatósági nyilatkozat készítése az A. mellékletből származó ellenőrzések (nem) felvételének indokaira vonatkozóan.
  • A biztonsági kockázatok kezelésére vonatkozó terv kidolgozása.
  • A terv jóváhagyásának és elfogadásának megszerzése a kockázattulajdonosoktól.
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft
Loading...

Certification according to ISO 27001

Milyen erőfeszítésekkel kell számolnia ahhoz, hogy az információbiztonság-irányítási rendszere ISO 27001 szerint tanúsított legyen? Tudja meg!

Az ISO 27001 szabvány A. melléklete útmutatást nyújt

A jól ismert ISO/IEC 27001 irányítási rendszerszabvány A. melléklete kifejezetten normatív jellegű. Egyfajta ellenőrző listaként értelmezhető a 93 lehetséges információbiztonsági ellenőrzésről, a következő négy témakörre összpontosítva:


A.5 Szervezeti ellenőrzések (37 ellenőrzéssel)
A.6 Személyi ellenőrzések (8 ellenőrzéssel)
A.7 Fizikai ellenőrzések (14 ellenőrzéssel)
A.8 Műszaki ellenőrzések (34 ellenőrzéssel).

Egy szervezet az A. melléklet segítségével megbizonyosodhat arról, hogy nem hagyott figyelmen kívül egyetlen lényeges elemet sem a biztonsági kockázatok kezelése érdekében. A melléklet azonban nem állítja, hogy kimerítő lenne.

Forrás: ISO/IEC 27001:2022

Olvasási tipp:

Olvassa el az ISO 27001 A. melléklete: Az alkalmazottak felelőssége és szerepe című blogbejegyzést is, és szerezzen értékes szakértői ismereteket az ingyenes A. melléklet szerinti auditálási útmutatóval!

Minden információ az ISO 27001:2013 szabványon alapul.

Információbiztonság és minőségirányítás - mi a legjobb megközelítés?

Az ISO 27001 tehát két külön folyamatot ír elő az információbiztonsági kockázatok értékelésére és kezelésére. Első lépésben azonban ezeket össze lehetne vonni egyetlen folyamattá, amely kifejezetten a minőségirányítás kockázatértékelését bővíti ki a fent említett követelmények mentén az információbiztonság szempontjával. A két szabvány így jó alapot nyújt az adatvédelmi és informatikai biztonsági védelmi intézkedések végrehajtásához.

ISO 27001 vs. ISO 9001: Az, hogy a fent említett folyamat végül milyen mélységben foglalkozik az egyes követelményekkel, közvetlenül a szervezet információs tájképének és a védelmet igénylő adatok összetettségétől függ. Akárhogy is, célszerű a hatékonyságát külső audit során ellenőrizni. Ez célszerű például az ISO 9001 szerinti minőségirányítási rendszerének amúgy is tervezett tanúsítási auditja során.

Az információbiztonság és a minőségirányítás találkozása - milyen előnyökkel jár?

  • Az információbiztonsági kockázatokat alapvetően áttekintő folyamat az ISO/IEC 27001 szabványnak megfelelő holisztikus információbiztonsági irányítási rendszer felé tett első, fontos lépés lehet.
  • Egy ilyen folyamat bevezetésével a felső vezetés minden szinten erősíti az információ- és adatbiztonsággal (adatvédelemmel) kapcsolatos tudatosságot.
  • Az információbiztonsági kockázatok célzott mérlegelésével a vállalatnak lehetősége nyílik a cselekvési szükséglet feltárására és a megfelelő intézkedések megtételére (az ISO 27001-hez igazodva, A. függelék).
  • Az információbiztonságra kiterjesztett kockázatértékelés, például a minőségirányítás részeként, erősíti a vállalat általános kockázatalapú megközelítését.
  • Mind a végrehajtáshoz, mind az eredményesség teszteléséhez szükséges pénzügyi és emberi erőforrások kezelhetőek.

DQS: A minőség egyszerű kihasználása

A dinamika és a stabilitás közötti egyensúlyozásban a tanúsított irányítási rendszerek egyre fontosabbá válnak - ezt a fejleményt a DQS pozitívan érzékeli. Mert a sikeres vállalatok és szervezetek az auditok megállapításait arra használják fel, hogy folyamatosan javítsák eredményeiket. Világszerte elismert tanúsítványainkat pedig minőségügyi képességük objektív bizonyítékaként használják. Ez bizalmat teremt - mind a szervezeten belül, mind kívül.

A DQS 1986-ban adta ki Németország első minőségirányítási tanúsítványát. Az első audit 1986 augusztusában a szabvány tervezetén alapult. 1991-ben a DQS megkapta az első akkreditációt az ISO 9001/2/3 szabványra az akkori TGA Trägergemeinschaft für Akkreditierung GmbH (ma: DAkkS) által. A BS 7799-2 brit szabvány szerinti információbiztonsági tanúsítás akkreditációja 2000-ben következett.

audit-gerber-hermsdorf-werner-korall-dqs.jpg
Loading...

Do you have any questions?

Vegye fel velünk a kapcsolatot!

Díjmentesen és kötelezettségek nélkül

Bizalom és szakértelem

Szövegeinket és brosúráinkat kizárólag sokéves tapasztalattal rendelkező szabványügyi szakértőink vagy auditoraink írják. Ha bármilyen kérdése van a szerzőhöz a tartalommal vagy szolgáltatásainkkal kapcsolatban, kérjük, forduljon hozzánk bizalommal.

Szerző
André Saeckel

Termékmenedzser a DQS-nél az információbiztonsági menedzsment területén. André Säckel az információbiztonság és az IT-biztonsági katalógus (kritikus infrastruktúrák) területének szabványügyi szakértőjeként többek között a következő szabványokért és iparág-specifikus szabványokért felelős: ISO 27001, ISIS12, ISO 20000-1, KRITIS és TISAX (információbiztonság az autóiparban). A DIN német szabványügyi intézet nemzeti delegáltjaként tagja az ISO/IEC JTC 1/SC 27/WG 1 munkacsoportnak is.

Loading...