W dobie cyfryzacji to właśnie cenne informacje muszą być przede wszystkim zachowane lub chronione. Dla firm oznacza to, że obok ochrony danych, bezpieczeństwo informacji jest absolutną koniecznością. Dobra wiadomość: firmy, które posiadają certyfikowany system zarządzania jakością zgodny z normą ISO 9001, stworzyły już dobrą podstawę do stopniowego wprowadzania w pełni kompleksowego bezpieczeństwa informacji.
Loading...
CONTENT
- Krok po kroku do większego bezpieczeństwa informacji
- Bezpieczeństwo informacji a zarządzanie jakością
- Bezpieczeństwo informacji - zagrożenia i możliwości
- Identyfikacja i radzenie sobie z ryzykiem
- Załącznik A do normy ISO 27001 zawiera wytyczne
- ISMS i QMS - jakie jest najlepsze podejście
- Jakie są korzyści?
- DQS: Po prostu wykorzystaj jakość
Temat bezpieczeństwa informacji nie jest nowy. Niebezpieczeństwa zagrażające rozległemu krajobrazowi informacyjnemu w organizacjach są znane od dawna. Według badania BSI "Cyber Security Survey" z kwietnia 2019 r., 43% dużych firm zgłosiło, że w 2018 r. zostały dotknięte incydentami związanymi z cyberbezpieczeństwem.
W przypadku małych i średnich przedsiębiorstw odsetek ten wyniósł 26%. A według "Raportu o sytuacji w zakresie bezpieczeństwa IT w Niemczech 2021" niemieckiego Federalnego Urzędu ds. Bezpieczeństwa Informacji (BSI), przypadki cyberprzestępczości po raz kolejny znacznie wzrosły. W okresie sprawozdawczym od 1 czerwca 2020 r. do 31 maja 2021 r. odnotowano nie tylko wzrost liczby nowych wariantów złośliwego oprogramowania o ponad 22% (około 144 milionów), ale także znaczny wzrost jakości ataków. W tym procesie wielu sprawców wykorzystało niefrasobliwość Corony w wielu firmach i osobach.
Bezpieczeństwo poufnych informacji firmowych jest jednak nadal lekceważone. Często brakuje ostrożności i rozwagi przy przetwarzaniu i przechowywaniu informacji. Świadomość konsekwencji kradzieży danych i podobnych zjawisk również nie wszędzie jest wystarczająco rozwinięta. W niektórych miejscach firmy niechętnie inwestują czas i wysiłek potrzebny do skutecznej ochrony poufnych informacji.
Krok po kroku do większego bezpieczeństwa informacji
Wysiłek potrzebny do zapewnienia bezpieczeństwa danych nie musi być jednak aż tak duży. Dobra wiadomość jest taka, że wiele firm nie musi za jednym zamachem wdrażać kompleksowego systemu zarządzania bezpieczeństwem informacji. Z drugiej strony, w przypadku infrastruktury krytycznej (CRITIS) wymaga tego niemiecka ustawa o bezpieczeństwie informatycznym.
Możliwe jest także podejście stopniowe. Oznacza to, że pierwszym krokiem, przynajmniej w firmach posiadających system zarządzania jakością (QM) zgodny z normą ISO 9001, może być aktualizacja wymaganego podejścia opartego na ryzyku - ale już z myślą o odpowiednich wymaganiach ważnej normy bezpieczeństwa informacji ISO 27001.
Bezpieczeństwo informacji i zarządzanie jakością
ISO 27001 vs. ISO 9001: Gdzie są powiązania? Po pierwsze, należy zauważyć, że norma zarządzania jakością ISO 9001 wymaga podejścia opartego na ryzyku. Jednak wdrożenie tego wymagania dotyczącego systemu zarządzania zależy w dużej mierze od organizacji. Na przykład, zarządzanie jakością nie wymaga oddzielnego procesu oceny ryzyka, ale w odniesieniu do bezpieczeństwa informacji jest to bez wątpienia zbyt mało. Niemniej jednak:
Ocenę ryzyka dla zagadnień związanych z zarządzaniem jakością można łatwo rozszerzyć o bezpieczeństwo informacji.
W tym celu warto przyjrzeć się wymaganiom dotyczącym identyfikacji i postępowania z ryzykiem związanym z bezpieczeństwem, zawartym w normie ISO 27001 dla systemu zarządzania bezpieczeństwem informacji (ISMS). Większość aspektów może być wdrożona przez użytkowników systemu zarządzania jakością przy rozsądnym wysiłku - jako pierwszy krok na drodze do holistycznego bezpieczeństwa informacji.
Bezpieczeństwo informacji - zagrożenia i szanse
Obie normy międzynarodowe, ISO 27001 dotycząca bezpieczeństwa informacji oraz ISO 9001 dotycząca zarządzania jakością, poruszają istotne tematy w rozdziale 6.1 "Środki zaradcze w przypadku zagrożeń i szans". Zasadniczo, celem jest zapewnienie trzech podstawowych aspektów w systemie zarządzania:
- Osiąganie zamierzonych wyników organizacji
- Zapobieganie lub ograniczanie niepożądanych skutków
- Osiągnięcie ciągłego doskonalenia poprzez zgodność z określonymi normami.
W odniesieniu do bezpieczeństwa informacji są to przede wszystkim trzy zasadnicze cele ochrony:
- Utrata poufności
- Integralność informacji
- Dostępność informacji.
Norma ISMS ISO 27001 określa następujące wymagania (sekcja 6.1.1):
- Określenie ryzyk i szans
- Zaplanowanie środków zaradczych wobec zidentyfikowanych ryzyk i szans
- Planowanie, w jaki sposób środki te zostaną włączone do procesów firmy i wdrożone
Identyfikacja ryzyk i postępowanie z nimi
Kolejny podrozdział (6.1.2) normy ISO 27001 wymaga ustanowienia i stosowania procesu oceny ryzyka związanego z bezpieczeństwem informacji. W ramach tego procesu należy ustanowić i utrzymywać kryteria ryzyka związanego z bezpieczeństwem informacji. Obejmuje to w szczególności kryteria akceptacji ryzyka i przeprowadzania ocen ryzyka w zakresie bezpieczeństwa informacji.
Ponadto, proces ten musi zapewniać, że "powtarzane oceny ryzyka bezpieczeństwa informacji dają spójne, ważne i porównywalne wyniki", jak stanowi norma ISMS. Poniższe podpunkty mogą być istotne z punktu widzenia pierwszego kroku:
- Identyfikacja ryzyka związanego z bezpieczeństwem informacji
- Analizowanie ryzyka związanego z bezpieczeństwem informacji
- Ocenić ryzyko związane z bezpieczeństwem informacji.
Wymagania zawarte w punkcie 6.1.3 wymagają ustanowienia i stosowania procesu przeciwdziałania ryzyku związanemu z bezpieczeństwem informacji w celu osiągnięcia następujących celów:
- Wyboru odpowiednich opcji przeciwdziałania ryzyku w zakresie bezpieczeństwa, z uwzględnieniem wyników oceny ryzyka.
- Określenia wszystkich działań niezbędnych do wdrożenia wybranych opcji przeciwdziałania ryzyku w zakresie bezpieczeństwa
- Porównać zdefiniowane środki z kontrolami określonymi w załączniku A do normy ISO 27001 (działania docelowe)
- Przygotować oświadczenie o stosowalności w odniesieniu do powodów (nie) włączenia kontroli z załącznika A
- Sformułowanie planu postępowania z ryzykiem bezpieczeństwa
- Uzyskać zatwierdzenie i akceptację tego planu od właścicieli ryzyka
Loading...
Certyfikacja zgodna z ISO 27001
Jakiego wysiłku należy się spodziewać, aby system zarządzania bezpieczeństwem informacji uzyskał certyfikat ISO 27001? Dowiedz się.
Załącznik A do normy ISO 27001 zawiera wytyczne
Załącznik A do znanej normy ISO/IEC 27001 dotyczącej systemów zarządzania ma wyraźny charakter normatywny. Można go rozumieć jako rodzaj listy kontrolnej zawierającej cele (kontrole) i środki. Można z niej skorzystać, aby upewnić się, że nie pominięto żadnych istotnych punktów dotyczących postępowania z zagrożeniami bezpieczeństwa. Nie jest on jednak wyczerpujący.
Bezpieczeństwo informacji i zarządzanie jakością - jakie jest najlepsze podejście?
Norma ISO 27001 wymaga zatem dwóch oddzielnych procesów oceny i postępowania z ryzykiem związanym z bezpieczeństwem informacji. Na pierwszym etapie można je jednak połączyć w jeden proces, który w sposób szczególny rozszerza ocenę ryzyka w ramach zarządzania jakością zgodnie z wyżej wymienionymi wymaganiami o aspekt bezpieczeństwa informacji. Obie normy stanowią zatem dobrą podstawę do wdrażania środków ochronnych w zakresie ochrony danych i bezpieczeństwa informatycznego.
ISO/IEC 27001:2013 - Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania.
ISO 9001:2015 - Systemy zarządzania jakością- Wymagania.
Obie normy są dostępne na stronie internetowej ISO.
ISO 27001 vs. ISO 9001: To, w jakim stopniu wyżej wymieniony proces ostatecznie spełnia każde z wymagań, zależy bezpośrednio od złożoności środowiska informacyjnego organizacji i danych wymagających ochrony. Niezależnie od tego, zaleca się weryfikację skuteczności procesu podczas audytu zewnętrznego. Jest to wskazane na przykład w trakcie audytu certyfikacyjnego systemu zarządzania jakością zgodnie z normą ISO 9001, który i tak jest planowany.
Bezpieczeństwo informacji w połączeniu z zarządzaniem jakością - jakie są korzyści?
- Proces, który w sposób fundamentalny analizuje ryzyko związane z bezpieczeństwem informacji, może stanowić pierwszy, ważny krok w kierunku stworzenia całościowego systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001.
- Wdrażając taki proces, najwyższe kierownictwo zwiększa świadomość bezpieczeństwa informacji i danych (ochrony danych) na wszystkich poziomach.
- Dzięki ukierunkowanej analizie ryzyka związanego z bezpieczeństwem informacji, firma ma możliwość wykrycia potrzeby podjęcia działań i zastosowania odpowiednich środków (zgodnie z normą ISO 27001, Załącznik A).
- Ocena ryzyka rozszerzona o bezpieczeństwo informacji, na przykład jako część zarządzania jakością, wzmacnia ogólne podejście firmy oparte na ryzyku.
- Zarówno zasoby finansowe, jak i ludzkie wymagane do wdrożenia i testowania skuteczności są możliwe do opanowania.
DQS: Proste wykorzystanie jakości
W procesie równoważenia dynamiki i stabilności certyfikowane systemy zarządzania stają się coraz ważniejsze - co DQS odczuwa pozytywnie. Ponieważ odnoszące sukcesy firmy i organizacje wykorzystują wyniki naszych audytów do ciągłej poprawy swoich wyników. Używają naszych globalnie uznawanych certyfikatów jako obiektywnego dowodu ich zdolności jakościowych. Buduje to zaufanie - zarówno wewnętrzne, jak i zewnętrzne - do Państwa organizacji.
DQS wydał pierwszy certyfikat zarządzania jakością w Niemczech w 1986 roku. Pierwszy audyt w sierpniu 1986 roku był oparty na projekcie standardu. W 1991 roku DQS otrzymała pierwszą akredytację ISO 9001/2/3 od ówczesnego TGA Trägergemeinschaft für Akkreditierung GmbH (obecnie: DAkkS). Akredytacja w zakresie certyfikacji bezpieczeństwa informacji zgodnie z brytyjską normą BS 7799-2 nastąpiła w 2000 roku.
Ponad trzy dekady know-how
Nasze teksty i broszury są pisane wyłącznie przez naszych ekspertów ds. norm lub audytorów z wieloletnim doświadczeniem. Jeśli mają Państwo pytania do autora dotyczące treści lub naszych usług, prosimy o kontakt.
Newsletter DQS
Bądź na bieżąco i zapisz się do naszego newslettera!
Autor
Gert Krueger
Ekspert i kierownik projektów w zakresie bezpieczeństwa informacji, BSI-KritisV i ochrony danych w DQS. Ponadto wieloletni audytor w zakresie zarządzania jakością i środowiskiem.
Loading...