V ére digitalizácie je potrebné uchovávať alebo chrániť predovšetkým cenné informácie. Pre podniky to znamená, že popri ochrane údajov je absolútnou nevyhnutnosťou aj bezpečnosť informácií. Dobrá správa: spoločnosti, ktoré majú certifikovaný systém manažérstva kvality podľa normy ISO 9001, už vytvorili dobrý základ pre postupné zavádzanie plne komplexnej informačnej bezpečnosti.
Loading...
Téma informačnej bezpečnosti nie je nová. Nebezpečenstvá ohrozujúce rozsiahle informačné prostredie v organizáciách sú známe už dlho. Podľa prieskumu BSI "Cyber Security Survey" z apríla 2019 43 % veľkých spoločností uviedlo, že v roku 2018 boli postihnuté kybernetickými bezpečnostnými incidentmi.
V prípade malých a stredných podnikov to bolo 26 %. A podľa "Situačnej správy o bezpečnosti IT v Nemecku 2021" nemeckého Spolkového úradu pre informačnú bezpečnosť (BSI) sa prípady počítačovej kriminality opäť výrazne zvýšili. V sledovanom období od 1. júna 2020 do 31. mája 2021 došlo nielen k nárastu nových variantov škodlivého softvéru o dobrých 22 % (približne 144 miliónov), ale naďalej výrazne stúpala aj kvalita útokov. Mnohí páchatelia pritom využili núdzu mnohých spoločností a ľudí v spoločnosti Corona.
Bezpečnosť dôverných firemných informácií sa však stále zanedbáva. Pri spracovaní a ukladaní informácií často chýba opatrnosť a predvídavosť. Aj povedomie o dôsledkoch krádeže údajov a jej podobných javov nie je zďaleka všade dostatočne rozvinuté. Na niektorých miestach sa spoločnosti tiež zdráhajú investovať čas a úsilie potrebné na účinnú ochranu svojich citlivých informácií.
Krok za krokom k väčšej bezpečnosti informácií
Úsilie potrebné na zabezpečenie údajov však nemusí byť až také veľké. Dobrou správou je, že mnohé spoločnosti nemusia zavádzať komplexný systém riadenia informačnej bezpečnosti jedným ťahom. Na druhej strane, v prípade kritických infraštruktúr (CRITIS) to vyžaduje nemecký zákon o bezpečnosti IT.
V úvahu prichádza aj postupný prístup. To znamená, že prvým krokom, prinajmenšom v podnikoch, ktoré majú systém riadenia kvality (QM) v súlade s normou ISO 9001, môže byť aktualizácia požadovaného prístupu založeného na rizikách - ale už s ohľadom na príslušné požiadavky dôležitej normy ISO 27001 týkajúcej sa informačnej bezpečnosti.
Loading...
ISO 9001 a ISO 27001 v ére digitalizácie
Vzrušujúca téma? Teraz k dispozícii ako bezplatná biela kniha!
Z obsahu:
Koľko papiera pre kvalitu?
Efektívna ochrana zdokumentovaných informácií
ISO 27001: Základ pre bezpečnú digitalizáciu
Táto biela kniha vychádza z verzie normy ISO 27001:2013.
Bezpečnosť informácií a riadenie kvality
ISO 27001 vs. ISO 9001: Kde sú súvislosti? Najprv je potrebné poznamenať, že norma ISO 9001 pre manažérstvo kvality skutočne vyžaduje prístup založený na rizikách vo všetkých oblastiach. Implementácia tejto požiadavky systému manažérstva však do veľkej miery závisí od vašej organizácie. Napríklad manažérstvo kvality nevyžaduje samostatný proces hodnotenia rizík, čo je však v súvislosti s bezpečnosťou informácií nepochybne málo. Napriek tomu:
Hodnotenie rizík v oblasti riadenia kvality možno ľahko rozšíriť aj na bezpečnosť informácií.
Na tento účel je užitočné pozrieť sa na požiadavky na identifikáciu a riešenie bezpečnostných rizík normy ISO 27001 pre systém riadenia informačnej bezpečnosti (ISMS). Väčšinu aspektov môžu používatelia systému manažérstva kvality s primeraným úsilím implementovať - pozor, ako prvý krok na ceste k ucelenej informačnej bezpečnosti.
Bezpečnosť informácií - riziká a príležitosti
Obe medzinárodné normy, ISO 27001 pre bezpečnosť informácií a ISO 9001 pre manažérstvo kvality, sa zaoberajú príslušnými témami v kapitole 6.1 "Opatrenia na riešenie rizík a príležitostí". V podstate ide o zabezpečenie troch základných aspektov v systéme riadenia:
- Dosahovanie plánovaných výsledkov organizácie
- Predchádzanie nežiaducim účinkom alebo ich znižovanie
- Dosahovanie trvalého zlepšovania prostredníctvom dodržiavania určitých noriem
Pokiaľ ide o bezpečnosť informácií, ide predovšetkým o tri základné ciele ochrany:
- Strata dôvernosti
- Integrita informácií
- Dostupnosť informácií
Norma ISMS ISO 27001 špecifikuje nasledujúce požiadavky (časť 6.1.1):
- Určenie rizík a príležitostí
- Plánovanie opatrení na riešenie identifikovaných rizík a príležitostí
- Naplánovať, ako budú opatrenia integrované do procesov spoločnosti a implementované
Identifikácia a riešenie rizík
V ďalšej podkapitole (6.1.2) normy ISO 27001 sa vyžaduje zavedenie a uplatňovanie procesu hodnotenia rizík informačnej bezpečnosti. Tento proces musí stanoviť a udržiavať kritériá rizík informačnej bezpečnosti. Patria sem najmä kritériá akceptovania rizík a vykonávanie hodnotenia rizík informačnej bezpečnosti.
Ďalej musí proces zabezpečiť, aby "opakované posudzovanie rizík informačnej bezpečnosti prinášalo konzistentné, platné a porovnateľné výsledky", ako uvádza norma ISMS. Nasledujúce čiastkové body by mohli byť významné s ohľadom na prvý krok:
- Identifikovať riziká informačnej bezpečnosti
- Analyzovať riziká informačnej bezpečnosti
- Vyhodnotiť riziká informačnej bezpečnosti
Požiadavky v bode 6.1.3 vyzývajú k vytvoreniu a uplatňovaniu procesu na riešenie rizík informačnej bezpečnosti s cieľom dosiahnuť nasledovné:
- Vybrať vhodné možnosti riešenia bezpečnostného rizika s ohľadom na výsledky hodnotenia rizík
- určenie všetkých činností potrebných na realizáciu vybraných možností riešenia bezpečnostného rizika
- porovnať definované opatrenia s kontrolnými mechanizmami špecifikovanými v prílohe A normy ISO 27001 (cieľové opatrenia)
- Pripravte vyhlásenie o uplatniteľnosti s ohľadom na dôvody (ne)zahrnutia kontrolných opatrení z prílohy A
- sformulovať plán na riešenie bezpečnostných rizík
- Získajte súhlas a prijatie tohto plánu od vlastníkov rizík
Loading...
Certifikácia podľa ISO 27001
Aké úsilie musíte očakávať, aby bol váš systém riadenia bezpečnosti informácií certifikovaný podľa normy ISO 27001? Zistite to.
Príloha A normy ISO 27001 ponúka usmernenie
Príloha A známej normy systému manažérstva ISO/IEC 27001 má výslovne normatívny charakter. Možno ju chápať ako akýsi kontrolný zoznam 93 možných kontrol bezpečnosti informácií, ktorý sa zameriava na tieto štyri témy:
A.5 Organizačné kontroly (s 37 kontrolami)
A.6 Personálne kontroly (s 8 kontrolami)
A.7 Fyzické kontroly (so 14 kontrolami)
A.8 Technické kontroly (s 34 kontrolami).
Organizácia môže použiť prílohu A, aby sa uistila, že neopomenula žiadne podstatné položky na riešenie bezpečnostných rizík. Netvrdí však, že je vyčerpávajúca.
Tip na čítanie:
Prečítajte si tiež príspevok na blogu o prílohe A normy ISO 27001: Zodpovednosti a úlohy zamestnancov a získajte cenné odborné znalosti s našou bezplatnou Príručkou k auditu prílohy A!
Všetky informácie vychádzajú z normy ISO 27001:2013.
Bezpečnosť informácií a riadenie kvality - aký je najlepší prístup?
Norma ISO 27001 teda vyžaduje dva samostatné procesy posudzovania a riešenia rizík informačnej bezpečnosti. V prvom kroku by sa však mohli spojiť do jedného procesu, ktorý konkrétne rozširuje posudzovanie rizík manažérstva kvality podľa uvedených požiadaviek o aspekt bezpečnosti informácií. Tieto dve normy tak poskytujú dobrý základ na zavedenie ochranných opatrení na ochranu údajov a bezpečnosť IT.
ISO 27001 vs. ISO 9001: To, do akej hĺbky sa uvedený proces nakoniec zaoberá jednotlivými požiadavkami, závisí priamo od zložitosti informačného prostredia vašej organizácie a údajov, ktoré si vyžadujú ochranu. V každom prípade je vhodné nechať si jeho účinnosť overiť v rámci externého auditu. Odporúča sa to napríklad v rámci certifikačného auditu vášho systému manažérstva kvality podľa normy ISO 9001, ktorý je aj tak plánovaný.
Bezpečnosť informácií sa stretáva s manažérstvom kvality - aké sú výhody?
- Proces, ktorý sa zásadne zaoberá rizikami informačnej bezpečnosti, môže slúžiť ako prvý, dôležitý krok k ucelenému systému riadenia informačnej bezpečnosti v súlade s normou ISO/IEC 27001.
- Zavedením takéhoto procesu vrcholový manažment posilňuje povedomie o bezpečnosti informácií a údajov (ochrane údajov) na všetkých úrovniach.
- Vďaka cielenému zvažovaniu rizík informačnej bezpečnosti má spoločnosť možnosť odhaliť potrebu konať a prijať vhodné opatrenia (orientované na ISO 27001, príloha A).
- Posúdenie rizík rozšírené o bezpečnosť informácií, napríklad ako súčasť riadenia kvality, posilňuje celkový prístup spoločnosti založený na rizikách.
- Finančné aj ľudské zdroje potrebné na implementáciu a testovanie účinnosti sú zvládnuteľné.
DQS: Jednoduché využitie kvality
V rámci vyvažovania dynamiky a stability nadobúdajú certifikované systémy manažérstva čoraz väčší význam - tento vývoj pociťuje spoločnosť DQS pozitívne. Pretože úspešné spoločnosti a organizácie využívajú zistenia z našich auditov na neustále zlepšovanie svojich výsledkov. A naše celosvetovo uznávané certifikáty používajú ako objektívny dôkaz svojej schopnosti dosahovať kvalitu. To vytvára dôveru - internú aj externú voči vašej organizácii.
Spoločnosť DQS vydala prvý nemecký certifikát manažérstva kvality v roku 1986. Prvý audit v auguste 1986 bol založený na návrhu normy. V roku 1991 získala spoločnosť DQS prvú akreditáciu pre ISO 9001/2/3 od vtedajšej spoločnosti TGA Trägergemeinschaft für Akkreditierung GmbH (dnes: DAkkS). V roku 2000 nasledovala akreditácia na certifikáciu informačnej bezpečnosti podľa britskej normy BS 7799-2.
Loading...
Dôvera a odbornosť
Naše texty a brožúry píšu výlučne naši odborníci na normy alebo audítori s dlhoročnými skúsenosťami. Ak máte na autora akékoľvek otázky týkajúce sa obsahu alebo našich služieb, neváhajte nás kontaktovať.
Newsletter DQS
Zostaňte informovaní a prihláste sa na odber nášho newslettera!
Autor
André Saeckel
Produktový manažér spoločnosti DQS pre riadenie informačnej bezpečnosti. Ako expert na štandardy pre oblasť informačnej bezpečnosti a katalóg IT bezpečnosti (kritické infraštruktúry) je André Säckel zodpovedný okrem iného za nasledujúce štandardy a odvetvové štandardy: ISO 27001, ISIS12, ISO 20000-1, KRITIS a TISAX (bezpečnosť informácií v automobilovom priemysle). Je tiež členom pracovnej skupiny ISO/IEC JTC 1/SC 27/WG 1 ako národný delegát Nemeckého inštitútu pre normalizáciu DIN.
Loading...