Индустрия 4.0, так называемая четвертая промышленная революция, означает интеллектуальное объединение в сеть разработки, производства, логистики и клиентов. Она представляет собой множество информации и данных, которые зачастую имеют экзистенциальную ценность для организаций. Защита их доступности, целостности и конфиденциальности является центральной задачей. Информационная безопасность включает в себя все меры, которые помогают осознать существующие риски, идентифицировать их и принять соответствующие и подходящие меры для их защиты.
Из-за недостаточной безопасности при обработке информации только немецкой экономике ежегодно наносится ущерб в миллиарды евро. Причины этого сложны и варьируются от внешних помех, технических ошибок, промышленного шпионажа до неправомерного использования информации бывшими сотрудниками. Но только тот, кто осознает эти проблемы, может принять соответствующие меры. Хорошо структурированная система управления информационной безопасностью в соответствии с международно признанным стандартом ISO 27001 является оптимальной основой для эффективной реализации целостной стратегии безопасности. Что именно это означает и что необходимо учитывать? Получите ответы на важные вопросы об ISO 27001 прямо здесь.
СОДЕРЖАНИЕ
- Что такое информационная безопасность?
- Каковы цели защиты информационной безопасности?
- Что такое система управления информационной безопасностью?
- Для каких организаций полезен стандарт ISO 27001?
- Каковы преимущества системы управления информационной безопасностью?
- Какова роль людей?
- ISO 27001 - вопросы по введению
- Зачем нужна сертификация ISO 27001?
- DQS - Что мы можем сделать для вас
Что такое информационная безопасность?
Ответ на этот вопрос довольно прост с точки зрения международного семейства стандартов по информационной безопасности ISO 2700x:
"Информация - это данные, представляющие ценность для организации".
ISO/IEC 27000:2020-06: Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Обзор и словарь.
Как видите, информация - это актив, который не должен попасть в руки неуполномоченных лиц, и который требует соответствующей защиты.
Поэтомуинформационная безопасность - это все, что связано с защитой информационных активов вашей компании. Решающим фактором здесь является осознание рисков, существующих в контексте компании, или их выявление и противодействие им с помощью соответствующих мер, основанных на потребностях.
"Информационная безопасность - это не ИТ-безопасность"
ИТ-безопасность относится только к безопасности развернутой технологии, но не к корпоративным активам, которые необходимо защищать. Организационные вопросы, например, разрешение доступа, ответственность или процедуры утверждения, а также психологические аспекты также играют существенную роль в информационной безопасности. Однако безопасные ИТ также защищают информацию в компании.
Каковы цели защиты информационной безопасности?
Согласно международному стандарту ISO/IEC 27001, цели защиты информационной безопасности включают в себя три основных аспекта:
- Конфиденциальность - защита конфиденциальной информации от несанкционированного доступа, будь то по причинам законов о защите данных или на основе коммерческой тайны, подпадающей под действие, например, закона о коммерческих секретах . Здесь важен уровень конфиденциальности.
- Целостность - минимизация любых рисков, обеспечение полноты и достоверности всех данных и информации.
- Доступность - обеспечение доступа и возможности использования для авторизованного доступа к информации, зданиям и системам. Это необходимо для поддержания процессов.
Сертифицированная информационная безопасность в соответствии с ISO 27001
Защитите свою информацию с помощью системы управления, соответствующей международным стандартам ✓ DQS предлагает более чем 35-летний опыт сертификации ✓.
Ключевые вопросы об информационной безопасности
- Каковы ценности моей компании?
- Какие ценности компании необходимо защищать?
- Каким атакам подвержены активы компании?
- Кто заинтересован в защите этой информации?
- Каковы соответствующие меры?
Что такое система управления информационной безопасностью?
Система менеджмента информационной безопасности (ISMS) в соответствии с ISO/IEC 27001 определяет руководящие принципы, правила и методы для обеспечения безопасности информации, которую стоит защищать в организации. Она предоставляет модель для внедрения, реализации, мониторинга и улучшения уровня защиты - в соответствии с систематической процедурой цикла PDCA (Plan-Do-Check-Act), знакомой по ISO 9001.
Цель состоит в том, чтобы выявить и проанализировать потенциальные риски и сделать их контролируемыми с помощью соответствующих мер.
Почему управление информационной безопасностью важно?
Успешные организации используют структуру и прозрачность современных систем управления для обнаружения угроз и целенаправленного развертывания современных систем безопасности. В основе системы управления информационной безопасностью лежит безопасность ваших собственных информационных активов, таких как интеллектуальная собственность, финансовые и кадровые данные, а также информация, доверенная вам клиентами или третьими лицами.
"Информационная безопасность всегда означает защиту значимой информации или данных, представляющих ценность".
Риски, которым подвергаются данные, заслуживающие защиты, многочисленны. Они могут возникать из-за материальных, человеческих и технических угроз безопасности. Но только целостный, превентивный подход системы управления ISMS может устранить весь спектр угроз и обеспечить непрерывность бизнеса компании.
Для каких организаций полезен стандарт ISO 27001?
Ответ на этот вопрос очень прост: для всех. ISO 27001 может применяться в принципе во всех организациях, независимо от их типа, размера и отрасли. И: все организации выигрывают от преимуществ структурированной системы управления. На внедрение СУИБ влияют следующие факторы:
- Требования и бизнес-цели
- Потребности в безопасности
- применяемые бизнес-процессы
- Размер и структура организации
Каковы преимущества системы управления информационной безопасностью?
Важный вопрос. Стандарт ISO 27001 формулирует требования к систематической разработке и внедрению процессно-ориентированной системы менеджмента информационной безопасности. Решающие преимущества могут быть достигнуты благодаря такому целостному подходу:
- Безопасность конфиденциальной информации становится неотъемлемой частью процессов компании
- Превентивное обеспечение целей защиты конфиденциальности, доступности и целостности информации
- Поддержание непрерывности бизнеса за счет постоянного повышения уровня безопасности
- Сенсибилизация сотрудников и значительное повышение осведомленности о безопасности на всех уровнях компании
- Создание эффективного процесса управления рисками
- укрепление доверия с заинтересованными сторонами (например, при проведении тендеров) путем демонстрации безопасного обращения с конфиденциальной информацией
- Соблюдение соответствующих нормативных требований, большая безопасность действий и юридическая уверенность.
Как можно управлять потенциальными рисками?
Риски безопасности могут возникать в результате материальных, человеческих и технических угроз. Для достижения прослеживаемого и соответствующего уровня безопасности в организации необходим определенный процесс управления рисками или метод оценки рисков, обработки рисков и мониторинга рисков. ISO/IEC 27005 предоставляет хорошее руководство по управлению рисками информационной безопасности.
Какую роль играют люди?
Люди также являются фактором риска, поскольку работа с конфиденциальной информацией затрагивает всех без исключения сотрудников и партнеров компании. Они представляют собой повышенный риск безопасности, будь то по незнанию или в результате человеческой ошибки. Но лишь очень немногие организации регулируют, кто может получить доступ к какой информации и как с ней следует обращаться.
"Новый источник власти - это уже не деньги в руках немногих, а информация в руках многих". Джон Нейсбитт, *1929, американец. Футуролог
Поэтому обязательные правила и четкое осознание всех проблем информационной безопасности являются основной предпосылкой. Адаптация корпоративной политики или разработка подходящей политики информационной безопасности считается здесь необходимым условием. Необходимая разъяснительная работа среди сотрудников на всех (управленческих) уровнях является делом начальства и может проводиться, например, с помощью учебных курсов, семинаров или личных бесед.
ISO 27001 - вопросы внедрения
На вопрос о том, должна ли компания уже внедрить систему управления, например, в соответствии с ISO 9001, можно однозначно ответить "нет". ISO 27001 является общим стандартом и - как и все стандарты на системы менеджмента - самостоятелен. Это означает, что организация может создать и внедрить систему управления информационной безопасностью в любое время и независимо от существующих структур.
Тем не менее, компании, имеющие систему менеджмента качества в соответствии с ISO 9001, уже создали хорошую основу для поэтапного внедрения комплексной информационной безопасности.
По своей структуре и подходу ISO 27001 основан на обязательной базовой структуре для всех стандартов на системы менеджмента, ориентированных на процессы, - структуре высокого уровня. Следовательно, это дает вам возможность легко интегрировать систему управления информационной безопасностью в уже существующую систему управления. Кроме того, возможна совместная сертификация по ISO 27001 с ISO 20000-1 (управление ИТ-услугами) или ISO 22301 (управление непрерывностью бизнеса) компанией DQS.
Какие документы могут поддержать внедрение?
Предпочтительной основой для внедрения целостной системы менеджмента информационной безопасности является международное семейство стандартов ISO/IEC 2700x. Оно предназначено для поддержки организаций всех типов и размеров во внедрении и эксплуатации СУИБ. Степень внедрения в организации может быть проверена с помощью внутреннего аудита.
Полезными компонентами серии стандартов являются
- ISO/IEC 27000:2018: Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Обзор и словарь
- ISO/IEC 27001:2013: Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования
- ISO/IEC 27002:2013: Информационные технологии - Методы обеспечения безопасности - Свод практических правил по контролю информационной безопасности
- ISO/IEC 27003:2017: Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Руководство
- ISO/IEC 27004-2016: Информационные технологии - Методы обеспечения безопасности - Управление информационной безопасностью - Мониторинг, измерение, анализ и оценка
- ISO/IEC 27005:2018: Информационные технологии - Методы обеспечения безопасности - Управление рисками информационной безопасности
Все нормативные документы доступны на сайте ISO.
ISO 27001 - Вопросы об ответственном за ИТ-безопасность?
Требует ли ISO 27001 наличия сотрудника по информационной безопасности? Ответ "да".
Одной из задач системы управления информационной безопасностью является назначение высшим руководством ответственного за ИТ-безопасность. Офицер по информационной безопасности является контактным лицом по всем вопросам информационной безопасности. Он должен быть интегрирован во все процессы ISMS и тесно взаимодействовать с ИТ-менеджерами - например, при выборе новых ИТ-компонентов и ИТ-приложений.
Зачем нужна сертификация по ISO 27001?
Сертификация на основе аккредитованной процедуры является доказательством того, что система управления и меры были внедрены для систематической защиты информационных активов. С помощью сертификата вы показываете "черным по белому", что вы успешно создали эту систему и привержены ее постоянному совершенствованию.
Сертификат DQS, который ценится во всем мире, является видимым выражением нейтральной оценки и укрепляет доверие к вашей компании. Это является преимуществом на рынке и служит хорошей предпосылкой при участии в тендерах и в бизнесе клиентов, критичных к безопасности, например, поставщиков финансовых услуг.
ISO 27001 - вопросы о процессе сертификации
Все системы менеджмента, которые оцениваются на основе международных правил (ISO 17021) аккредитованным органом по сертификации, таким как DQS, проходят одинаковый процесс сертификации.
Первоначальная сертификация состоит из анализа системы (этап 1 аудита) и аудита системы (этап 2 аудита), в ходе которого аудиторы проверяют на месте, что система в целом функционирует должным образом и что все требования были реализованы. Сертификат действителен в течение 3 лет.
Для того чтобы гарантировать его действие в течение всего периода, необходимо ежегодно проверять систему менеджмента. Поэтому в первый и второй год после выдачи сертификата аудиторы DQS проводят сокращенные аудиты ISMS (надзорные аудиты), в ходе которых рассматривается, например, эффективность ключевых компонентов системы или корректирующих и предупреждающих мер. Затем через три года проводится ресертификация.
Компании, которые уже имеют действующую систему менеджмента, должны объединить свои программы аудита и добиваться совместной сертификации интегрированной системы менеджмента (ИСМ).
Возможна ли матричная сертификация?
Матричная сертификация возможна для компаний с несколькими площадками. В принципе, к ISO 27001 применяются те же требования, что и к другим стандартам ISO, таким как ISO 9001 или ISO 14001. DQS может обеспечить интеграцию ISO 27001 в существующие матричные процедуры, т.е. совместный внешний аудит с другими стандартами.
В чем преимущества ISO 27001 перед TISAX?
TISAX® (Trusted Information Security Assessment Exchange) был разработан как промышленный стандарт специально для автомобильной промышленности и адаптирован к специфическим потребностям отрасли. Основой для оценки TISAX® является каталог тестов VDA Information Security Assessment (VDA ISA), который основан, среди прочего, на требованиях ISO 27001 или ISO 27002 и расширяет их, включая такие темы, как защита прототипов или защита данных.
Вы можете найти больше ценных знаний на нашей странице продукта TISAX®.
Целью TISAX® является обеспечение комплексной (информационной) безопасности на всех этапах цепочки поставок. Кроме того, регистрация в базе данных упрощает процедуру взаимного признания. Однако TISAX® признается только в автомобильной промышленности. Клиенты из других отраслей могут признать ISO 27001 только как доказательство наличия СУИБ.
DQS - Что мы можем сделать для вас
DQS - ваш специалист по аудиту и сертификации систем менеджмента и процессов. Обладая более чем 35-летним опытом и ноу-хау 2 500 аудиторов по всему миру, мы являемся вашим компетентным партнером по сертификации, предоставляя ответы на все вопросы по ISO 27001.
Мы проводим аудит в соответствии с около 200 признанными стандартами и правилами, а также стандартами, специфичными для компаний и ассоциаций. Мы были первым немецким органом по сертификации, получившим аккредитацию по BS 7799-2, предшественнику ISO/IEC 27001, в декабре 2000 года. Этот опыт и по сей день является выражением нашего успеха во всем мире.
Мы с удовольствием ответим на ваши вопросы
Какой объем работ необходимо выполнить, чтобы получить сертификат ISMS в соответствии с ISO 27001? Получите информацию бесплатно и без обязательств.
Мы с нетерпением ждем возможности пообщаться с вами.