datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Bezpečnosť podnikových informácií: Prípadová štúdia skupiny Mubea

André Saeckel

Expert na štandardy DQS pre informačnú bezpečnosť
dec 06 , 2022
# Bezpečnosť informácií v organizácii

 

Dôkladná informačná bezpečnosť dnes prináša spoločnostiam oveľa viac výhod než len zabezpečenie technickej infraštruktúry. V súčasnosti od nej významne závisia celé obchodné procesy - či už ide o bezpečné nakladanie s citlivými údajmi alebo ich spracovanie v súlade s právnymi predpismi. Preto tento pojem v súčasnosti zahŕňa ochranu celého toku informácií. Dodávateľovi pre automobilový priemysel, spoločnosti Mubea, sa podarilo štandardizovať informačnú bezpečnosť v desiatich európskych krajinách prostredníctvom certifikácie DQS podľa normy ISO 27001, čím si vytvoril dobrú pozíciu voči konkurencii. Potenciálne IT riziká a zaobchádzanie s dôvernými informáciami boli podrobne preskúmané a neustále sa zlepšovali a rozvíjali.

OBSAH

Informačná bezpečnosť v desiatich krajinách prináša konkurenčné výhody

Globalizácia predstavuje pre mnohé spoločnosti obrovské výzvy, pokiaľ ide o bezpečnosť informácií. Infraštruktúra a právne predpisy sa v niektorých prípadoch v jednotlivých krajinách výrazne líšia. Napriek tomu sú globálne pôsobiace spoločnosti povinné zaviesť účinný systém riadenia zraniteľnosti a zaviesť vhodné ochranné opatrenia. Digitalizácia obchodných procesov presahujúca hranice jednotlivých štátov si totiž vyžaduje porovnateľnú úroveň bezpečnosti IT od všetkých zúčastnených strán, ktorá musí byť zaručená v celom hodnotovom reťazci.

Aj v automobilovom priemysle je bezpečnosť údajov a informácií, ktoré si vyžadujú ochranu, čoraz dôležitejšia, keď ide o medzinárodnú spoluprácu medzi rôznymi lokalitami, dcérskymi spoločnosťami alebo poskytovateľmi služieb. Dodávateľ automobilového priemyslu, spoločnosť Mubea, čelil veľkej prekážke, keď chcel zvýšiť úroveň bezpečnosti IT na rovnakú úroveň v desiatich krajinách s celkovo 20 dcérskymi spoločnosťami.

Bezpečnosť podnikových informácií vo firmách - výhoda, na ktorú zákazníci dbajú

Pred rokmi sa špecialista na ľahké konštrukcie pre karosérie, podvozky a hnacie ústrojenstvo začal podrobne zaoberať informačnou bezpečnosťou: "Naši zákazníci túto tému čoraz viac zakotvili vo svojich nákupných podmienkach. A aby sme si udržali dobrú pozíciu medzi konkurenciou, chceli sme konať rýchlo," informuje Christiane Habbel, vedúca oddelenia IT - bezpečnosť informácií a dodržiavanie predpisov v spoločnosti. To však nebol jediný dôvod: "V každom prípade sa snažíme neustále zlepšovať náš systém riadenia informačnej bezpečnosti a zvyšovať citlivosť našich zamestnancov na túto tému. Preto sme sa v roku 2017 rozhodli nechať vykonať certifikáciu podľa uznávanej normy ISO 27001. To nám v tomto úsilí veľmi pomáha," hovorí Habbel.

ISO 27001 - certifikácia prináša výhody

ISO 27001 je medzinárodná norma pre informačnú bezpečnosť súkromných, verejných alebo neziskových organizácií. Norma opisuje požiadavky na vytvorenie, zavedenie, prevádzku a optimalizáciu zdokumentovaného systému riadenia informačnej bezpečnosti (ISMS). Certifikácia sa vždy prispôsobuje podmienkam danej spoločnosti a zohľadňuje individuálne špecifiká.

ISO 27001 v praxi

Sprievodca auditom DQS pre prílohu A (na základe normy ISO 27001:2013)

Využite dobré audítorské otázky a možné dôkazy o vybraných opatreniach.

Od odborníkov v danej oblasti.

Viac ako len kontrolný zoznam. Stiahnite si teraz.

Okrem témy informačnej bezpečnosti sa norma zaoberá najmä analýzou a zvládaním súvisiacich rizík. Podnikom tak ponúka systematicky štruktúrovaný prístup k ochrane integrity prevádzkových údajov a ich dôvernosti. Zároveň zabezpečuje dostupnosť informačných systémov zapojených do podnikových procesov. Certifikáty podľa celosvetovo uznávanej normy majú spravidla trojročnú platnosť. S cieľom neustáleho zlepšovania a trvalej účinnosti systému riadenia sa však každoročne vykonáva monitorovací audit.

TISAX® - Posudzovanie pre automobilový priemysel

Je pravda, že TISAX® (Trusted Information Security AssessmentExchange), štandard pre bezpečnosť informácií definovaný automobilovým priemyslom, existuje od roku 2017, a je tak ďalšou možnosťou certifikácie, ktorú v súčasnosti mnohí výrobcovia a dodávatelia automobilov vyžadujú od obchodných partnerov. TISAX® je však európskym štandardom pre priemysel a zatiaľ nie je zavedený celosvetovo.

"To pre nás nebolo dostatočne ďaleko," pripomína Habbel. Preto sa spoločnosť so sídlom v Attendorne pôvodne rozhodla pre certifikáciu ISO 27001, aby získala konkurenčnú výhodu v oblasti bezpečnosti informácií.

TISAX®: Dobré plánovanie pre úspešné hodnotenie

Stojíte pred úlohou splniť požiadavky automobilového priemyslu z hľadiska bezpečnosti informácií? Potom by ste mali pred posúdením TISAX® urobiť niekoľko dôležitých rozhodnutí. Naša bezplatná biela kniha poskytuje usmernenie.
 

Dobré informácie pre dobré plánovanie. Bielu knihu si môžete prečítať teraz.

Dvojitá certifikácia od spoločnosti DQS

S týmto rozhodnutím sa spoločnosť Mubea pustila do hľadania vhodného partnera a bez ďalších okolkov sa rozhodla pre spoločnosť DQS.

habbel-christiane-quelle-mubea

Na spoločnosť DQS sme narazili pomerne rýchlo počas nášho prieskumu a na úvodnom stretnutí sme zistili, že sa k sebe veľmi dobre hodíme.

Christiane Habbel Vedúca oddelenia IT - bezpečnosť informácií a dodržiavanie predpisov v spoločnosti Mubea

Na tento účel audítori DQS najprv preskúmali fungovanie systému riadenia informačnej bezpečnosti (ISMS) na mieste. Okrem toho musela spoločnosť Mubea na účely certifikácie ISMS preukázať úspešnú interakciu základných hodnôt informačnej bezpečnosti: Dôvernosť, Integrita a Dostupnosť. Ide o tri ciele ochrany informačnej bezpečnosti.

V tejto súvislosti boli vymenované a optimalizované potenciálne IT riziká alebo procesy ohrozujúce bezpečnosť informácií. "Spolupráca so spoločnosťou DQS bola veľmi praktická a orientovaná na zákazníka. Veľkým prínosom pre nás boli hlboké znalosti audítorov v danom odvetví, ktorí nás podporovali vo všetkých aspektoch," hovorí Habbel. "Platí to pre certifikáciu podľa normy ISO 27001 aj TISAX®."

Celoeurópska bezpečnosť podnikových informácií

S pomocou spoločnosti DQS sa však spoločnosti Mubea podarilo optimalizovať nielen bezpečnosť citlivých údajov a informácií v jej sídle. S pomocou DQS spoločnosť pozdvihla na novú úroveň bezpečnosti aj 20 dcérskych spoločností na desiatich miestach v Európe a zaviedla spoločný bezpečnostný štandard.

Spoločnosť Mubea teraz môže zákazníkom a partnerom spoľahlivo zdokumentovať vlastné zabezpečenie informácií pomocou dvoch certifikátov. To poskytuje dodávateľovi pre automobilový priemysel konkurenčnú výhodu na trhu, uvádza Habbel: "Vďaka norme ISO 27001 sme do spoločnosti zaviedli nielen vysoký bezpečnostný štandard v celej Európe. Chránime sa aj pred kybernetickými útokmi zvonku a dokázali sme zvýšiť citlivosť našich zamestnancov na bezpečnosť našich dôverných firemných aktív.Pretože bezpečnosť informácií je oveľa viac ako len bezpečnosť IT. Teraz však nestojíme na mieste. Kľúčové zložky nášho systému riadenia sa každoročne podrobujú auditu s cieľom dosiahnuť ďalšie zlepšenia. Už aj tak veľmi dobrá úroveň našej informačnej bezpečnosti sa tak neustále vyvíja."

Fakty, údaje, čísla

Skupina spoločností Mubea je svetovým lídrom na trhu, pokiaľ ide o vývoj a výrobu komplexných automobilových komponentov, ktoré vedú k zníženiu hmotnosti vozidiel a prispievajú k lepšej ochrane životného prostredia prostredníctvom zníženia emisiíCO2. Rodinný podnik riadený majiteľmi z Attendornu sa zameriava na technické inovácie a prevádzkovú dokonalosť. Riadi sa ambíciou trvalo sa zaradiť medzi 100 najväčších svetových dodávateľov pre automobilový priemysel.

Sortiment výrobkov zahŕňa komponenty podvozku, ako sú pružiny náprav, stabilizátory, pružiny z vláknových kompozitov a presné oceľové rúrky, ako aj komponenty motora, napríklad ventilové pružiny, systémy automatického napínania remeňov a svorky pružných pásov, a tiež komponenty prevodovky, ako sú hnacie hriadele a pružiny prevodových platní. Dcérska spoločnosť Mubea Flamm tiež vyvíja a vyrába komponenty a zostavy pre letecký priemysel a domáce spotrebiče.

www.mubea.com/en

Systém riadenia informačnej bezpečnosti v súlade s medzinárodnou normou

Medzinárodne uznávaná norma ISO 27001 pre systémy riadenia informačnej bezpečnosti (ISMS) platí na celom svete. Poskytuje organizáciám všetkých veľkostí a odvetví rámec na plánovanie, implementáciu a monitorovanie bezpečnosti informácií. Je v nej viac než len aspekty bezpečnosti informačných technológií. Osobitnú praktickú hodnotu má implementácia opatrení uvedených v prílohe A normy.

Viac ako kontrolný zoznam

Cenné odborné znalosti o norme ISO 27001 - príloha A (na základe normy ISO 27001:2013):

  • Dobré audítorské otázky k vybraným opatreniam
  • Možné dôkazy a kľúčové údaje

 

Stiahnite si teraz zadarmo

Požiadavky normy sú všeobecne platné a vzťahujú sa na súkromné a verejné spoločnosti, ako aj na neziskové inštitúcie. Pokiaľ ide o ochranu údajov a bezpečné nakladanie s osobnými údajmi s integritou, ISO 27701 je užitočným doplnkom normy.

Ako môžete profitovať zo systému ISMS

Systematickým vytvorením a zavedením procesne orientovaného systému ISMS (systém riadenia bezpečnosti informácií) v súlade s normou ISO 27001 dosahujú spoločnosti rozhodujúce výhody, napr:

  • ochrana dôverných informácií pred zneužitím, stratou a prezradením ako neoddeliteľná súčasť procesov spoločnosti
  • senzibilizácia zamestnancov: hrozby v rámci spoločnosti sa spoľahlivo odhaľujú a znižujú
  • Dodržiavanie príslušných požiadaviek na súlad, viac opatrení a právnej istoty
  • Vytvorenie dôvery u zákazníkov, obchodných partnerov a širokej verejnosti
  • Zvýšenie konkurencieschopnosti
  • Optimalizácia nákladov na procesy a IT

Norma je k dispozícii na webovej stránke ISO:
ISO/IEC 27001:2013 - Informačné technológie - Bezpečnostné techniky - Systémy riadenia informačnej bezpečnosti - Požiadavky

Revidovaná verzia ISO/IEC 27001:2022 bola uverejnená 25. októbra 2022. Informácie o zmenách budeme priebežne dopĺňať, keď budú k dispozícii.

Norma ISO 27001 práve prešla revíziou. Revidovaná norma ISO bola zverejnená v angličtine 25.10.2022. O zmenách a termínoch súvisiacich s revíziou sa dozviete v našom článku "Nová norma ISO/IEC 27001:2022".

DQS: Jednoduché využitie kvality.

Spoločnosť DQS sa špecializuje na audity a certifikácie systémov riadenia a procesov. Vďaka viac ako 35-ročným skúsenostiam a odbornosti 2 500 audítorov je spoločnosť so sídlom vo Frankfurte nad Mohanom v Nemecku kompetentným partnerom pre manažment. Auditujeme podľa približne 200 uznávaných noriem a predpisov alebo podľa špecifikácií vašej spoločnosti - regionálne, národné a medzinárodné.

Nestrannosť a objektivita sú pre nás pri vykonávaní auditov a certifikácií základnými prvkami. A to platí nielen pre normatívne oblasti, ale aj pre výkon všetkých audítorských činností.

Ak si chcete nechať certifikovať systém riadenia informačnej bezpečnosti (ISMS) vašej spoločnosti alebo organizácie, radi vám pomôžeme.

iso 27001-annex-a-dqs-mitarbeiterin schaut auf laptop in it umgebung

Certifikácia podľa normy ISO 27001

Ukážeme vám, aké úsilie a náklady by ste mali očakávať v súvislosti s certifikáciou vášho systému riadenia informačnej bezpečnosti. Získajte informácie bezplatne a nezáväzne.

Tešíme sa na rozhovor s vami
Autor
André Saeckel

Produktový manažér spoločnosti DQS pre riadenie informačnej bezpečnosti. Ako expert na štandardy pre oblasť informačnej bezpečnosti a katalóg IT bezpečnosti (kritické infraštruktúry) je André Säckel zodpovedný okrem iného za nasledujúce štandardy a odvetvové štandardy: ISO 27001, ISIS12, ISO 20000-1, KRITIS a TISAX (bezpečnosť informácií v automobilovom priemysle). Je tiež členom pracovnej skupiny ISO/IEC JTC 1/SC 27/WG 1 ako národný delegát Nemeckého inštitútu pre normalizáciu DIN.

Akékoľvek otázky?

Sme tu pre vás.
Kontaktujte nás