디지털화 시대에 무엇보다 보존하거나 보호해야 할 소중한 정보입니다. 이는 기업의 경우 데이터 보호와 함께 정보 보안이 절대적으로 필요하다는 것을 의미합니다. 좋은 소식은 ISO 9001에 따라 인증된 품질 관리 시스템을 보유한 회사가 이미 완전히 포괄적인 정보 보안을 단계별로 도입할 수 있는 좋은 기반을 마련했다는 것입니다.

Loading...

정보 보안이라는 주제는 새로운 것이 아닙니다. 조직의 광범위한 정보 환경을 위협하는 위험은 오랫동안 알려져 왔습니다. 2019년 4월 BSI "사이버 보안 조사"에 따르면 대기업의 43%가 2018년에 사이버 보안 사고의 영향을 받았다고 보고했습니다.

중소기업의 경우 그 수치는 26%였다. 그리고 독일 연방정보보안청(BSI)의 "2021년 독일 IT 보안 상황 보고서"에 따르면 사이버 범죄 사례가 다시 크게 증가했습니다. 2020년 6월 1일부터 2021년 5월 31일까지의 보고 기간 동안 새로운 맬웨어 변종(약 1억 4,400만)이 22% 증가했을 뿐만 아니라 공격 품질도 계속해서 상당히 높아졌습니다. 그 과정에서 많은 가해자들이 많은 기업과 사람들의 코로나 위기를 악용했습니다.

그러나 회사 기밀 정보의 보안은 여전히 ​​무시되고 있습니다. 정보를 처리하고 저장할 때 주의와 사전 고려가 부족한 경우가 많습니다. 데이터 도용 등의 결과에 대한 인식도 모든 곳에서 충분히 발달하지 않았습니다. 일부 기업에서는 민감한 정보를 효과적으로 보호하는 데 필요한 시간과 노력을 투자하기를 꺼립니다.

정보 보안 강화를 위한 스탭

그러나 데이터 보안에 필요한 노력이 그렇게 클 필요는 없습니다. 좋은 소식은 많은 기업이 한 번에 포괄적인 정보 보안 관리 시스템을 구현할 필요가 없다는 것입니다. 반면 CRITIS(핵심 인프라)의 경우 독일 IT 보안법에 의해 요구됩니다.

단계별 접근도 가능합니다. 이는 최소한 ISO 9001에 따른 품질 관리(QM) 시스템을 보유한 회사의 첫 번째 단계가 필요한 위험 기반 접근 방식의 업데이트일 수 있음을 의미합니다. 그러나 이미 중요한 정보 보안 표준 ISO 27001.

정보보안 및 품질관리

ISO 27001 vs ISO 9001: 상관 관계는 어디에 있습니까? 첫째, ISO 9001 품질 관리 표준은 전반적으로 리스크 기반 접근 방식을 요구한다는 점에 유의해야 합니다. 그러나 이 관리 시스템 요구 사항의 구현은 대부분 조직에 달려 있습니다. 예를 들어, 품질 관리는 리스크 평가를 위한 별도의 프로세스가 필요하지 않지만 정보 보안과 관련하여 의심할 여지 없이 너무 적습니다. 그럼에도 불구하고:

품질 관리 문제에 대한 리스크 평가는 정보 보안을 포함하도록 쉽게 확장될 수 있습니다.

이를 위해서는 ISMS(정보 보안 관리 시스템)에 대한 ISO 27001의 보안 위험을 식별하고 처리하기 위한 요구 사항을 살펴보는 것이 좋습니다. 대부분의 측면은 품질 관리 시스템 사용자가 합리적인 노력으로 구현할 수 있습니다. 전체론적 정보 보안을 위한 첫 번째 단계입니다.

정보 보안 - 리스크 및 기회

정보 보안을 위한 ISO 27001과 품질 관리를 위한 ISO 9001의 국제 표준은 모두 6.1장 "위험과 기회를 다루기 위한 조치"에서 관련 주제를 다룹니다. 본질적으로 목표는 관리 시스템에서 세 가지 필수 측면을 보장하는 것입니다.

  • 조직이 의도한 결과 달성
  • 바람직하지 않은 영향 방지 또는 감소
  • 특정 표준 준수를 통한 지속적인 개선 달성

정보 보안과 관련하여 다음은 주요 세 가지 필수 보호 목표입니다.

  • 기밀성 상실
  • 정보의 무결성
  • 정보의 가용성

ISMS 표준 ISO 27001은 다음 요구 사항을 지정합니다(섹션 6.1.1).

  • 리스크 및 기회 결정
  • 식별된 리스크 및 기회를 처리하기 위한 계획 계획
  • 조치를 회사 프로세스에 통합하고 구현하는 방법을 계획합니다.

리스크 식별 및 처리

ISO 27001의 다음 하위 장(6.1.2)은 정보 보안 리스크 평가 프로세스의 수립 및 적용을 요구합니다. 이 프로세스는 정보 보안 위험 기준을 설정하고 유지해야 합니다. 여기에는 특히 위험 수용 기준과 정보 보안 위험 평가 수행이 포함됩니다.

또한 프로세스는 ISMS 표준에 명시된 바와 같이 "반복된 정보 보안 리스크 평가가 일관되고 유효하며 비교 가능한 결과를 생성"하도록 해야 합니다. 다음 하위 항목은 첫 번째 단계를 염두에 두고 중요할 수 있습니다.

  • 정보 보안 리스크 식별
  • 정보 보안 리스크 분석
  • 정보 보안 리스크 평가

6.1.3의 요구 사항은 다음을 달성하기 위해 정보 보안 리스크를 해결하기 위한 프로세스를 수립하고 적용할 것을 요구합니다.

  • 리스크 평가 결과와 관련하여 보안 위험을 해결하기 위한 적절한 옵션을 선택합니다.
  • 보안 리스크를 해결하기 위해 선택한 옵션을 구현하는 데 필요한 모든 조치를 결정합니다.
  • 정의된 조치를 ISO 27001의 부록 A에 지정된 통제와 비교(목표 조치)
  • 부록 A의 통제를 포함하지 않는 이유와 관련하여 적용 가능성 진술을 준비합니다.
  • 보안 리스크 처리를 위한 계획 수립
  • 리스크 소유자로부터 이 계획의 승인 및 승인 받기
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft
Loading...

ISO 27001에 따른 인증

정보 보안 관리 시스템이 ISO 27001 인증을 받으려면 어떤 노력이 필요합니까? 찾아보세요.

ISO 27001의 부록 A는 지침을 제공합니다.

잘 알려진 경영 시스템 표준 ISO/IEC 27001의 부록 A에는 명시적인 규범적 성격이 있습니다. 대상(통제)과 조치가 포함된 일종의 체크리스트로 이해할 수 있습니다. 이 가이드를 사용하여 보안 리스크를 처리하기 위한 필수 사항이 간과되지 않았는지 확인할 수 있습니다. 그러나 완전하다고 주장하지는 않습니다.

정보 보안 및 품질 관리 - 최선의 접근 방식은 무엇입니까?

따라서 ISO 27001은 정보 보안 위험을 평가하고 처리하기 위해 두 가지 별도의 프로세스를 요구합니다. 그러나 첫 번째 단계에서는 정보 보안 측면을 포함하도록 앞서 언급한 요구 사항에 따라 품질 관리의 위험 평가를 구체적으로 확장하는 하나의 프로세스로 이러한 프로세스를 결합할 수 있습니다. 따라서 두 표준은 데이터 보호 및 IT 보안을 위한 보호 조치를 구현하기 위한 좋은 기반을 제공합니다.

ISO/IEC 27001:2013 - 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구 사항.

ISO 9001:2015 - 품질 관리 시스템 - 요구 사항.

두 표준 모두 ISO 웹 사이트에서 사용할 수 있습니다.

ISO 27001 vs. ISO 9001: 앞서 언급한 프로세스가 궁극적으로 각 요구 사항을 얼마나 심층적으로 해결하는지 여부는 조직의 정보 환경과 보호가 필요한 데이터의 복잡성에 직접적으로 의존합니다. 어느 쪽이든 외부 심사를 통해 유효성을 검증하는 것이 좋습니다. 예를 들어 ISO 9001에 따라 품질 경영 시스템에 대한 인증 심사 과정에서 계획되는 것이 좋습니다.

정보 보안과 품질 관리의 만남 - 이점은 무엇입니까?

  • 정보 보안 위험을 근본적으로 살펴보는 프로세스는 ISO/IEC 27001에 따른 정보 보안에 대한 전체론적 관리 시스템을 향한 중요한 첫 번째 단계가 될 수 있습니다.
  • 이러한 프로세스를 구현함으로써 최고 경영진은 모든 수준에서 정보 및 데이터 보안(데이터 보호)에 대한 인식을 강화합니다.
  • 정보 보안 위험을 대상으로 고려하여 기업은 조치의 필요성을 파악하고 적절한 조치를 취할 기회를 갖습니다(ISO 27001, 부록 A 지향).
  • 예를 들어 품질 관리의 일부로 정보 보안을 포함하도록 확장된 위험 평가는 회사의 전반적인 위험 기반 접근 방식을 강화합니다.
  • 구현 및 효율성 테스트에 필요한 재정 및 인적 자원을 모두 관리할 수 있습니다.

DQS: Simply leveraging Quality

역동성과 안정성 사이의 균형을 맞추는 과정에서 인증된 관리 시스템이 점점 더 중요해지고 있습니다. DQS가 긍정적으로 느끼는 발전입니다. 성공적인 기업과 조직은 심사 결과를 사용하여 지속적으로 결과를 개선하기 때문입니다. 그리고 그들은 품질 능력에 대한 객관적인 증거로 세계적으로 인정받는 우리의 인증서를 사용합니다. 이는 조직 내부 및 외부 모두에 대한 신뢰를 생성합니다.

DQS는 1986년에 독일 최초의 품질 관리 인증서를 발급했습니다. 1986년 8월의 첫 번째 심사는 표준 초안을 기반으로 했습니다. 1991년, DQS는 당시 TGA Trägergemeinschaft für Akkreditierung GmbH(현재: DAkkS)로부터 ISO 9001/2/3에 대한 첫 번째 인정/승인을 받았습니다. 2000년 영국 표준 BS 7799-2에 따른 정보 보안 인증에 대한 인정/승인입니다.

30년 이상의 노하우

당사의 텍스트와 브로셔는 다년간의 경험을 가진 당사의 표준 전문가 또는 감사자가 독점적으로 작성했습니다. 컨텐츠나 서비스에 대해 작성자에게 궁금한 사항이 있으면 언제든지 문의해 주세요.

저자
게르트 크루거

DQS에서 정보 보안, BSI-KritisV 및 데이터 보호를 위한 전문가 및 프로젝트 관리자. 또한 품질 및 환경 관리에 대한 오랜 심사원입니다.

Loading...