qualitaet-header-blog-dqs-bunte bausteine

Informationssäkerhet möter kvalitetsledning

Gert Krueger

DQS Expert for Information Security and Data Protection
okt. 25 , 2022
# Digitalisering inom kvalitetsstyrning

I digitaliseringens tidevarv är det framför allt värdefull information som måste bevaras och skyddas. För företagen innebär detta att informationssäkerhet är ett absolut måste vid sidan av dataskydd. Den goda nyheten är att företag som har ett certifierat kvalitetsledningssystem enligt ISO 9001 redan har skapat en bra grund för att stegvis införa en heltäckande informationssäkerhet.

INNEHÅLL

Ämnet informationssäkerhet är inte nytt. Farorna som hotar det omfattande informationslandskapet i organisationer har länge varit kända. Enligt BSI:s "Cyber Security Survey" från april 2019 rapporterade 43 % av de stora företagen att de påverkats av cybersäkerhetsincidenter under 2018.

För små och medelstora företag var siffran 26 %. Och enligt "Situation Report on IT Security in Germany 2021" från den tyska federala byrån för informationssäkerhet (BSI) har fallen av cyberbrott återigen ökat betydligt. Under rapporteringsperioden från den 1 juni 2020 till den 31 maj 2021 ökade inte bara antalet nya varianter av skadlig kod med drygt 22 procent (cirka 144 miljoner), utan kvaliteten på attackerna fortsatte också att öka avsevärt. I samband med detta utnyttjade många förövare Corona-nöden hos många företag och personer.

Säkerheten för konfidentiell företagsinformation försummas dock fortfarande. Det saknas ofta försiktighet och förutseende när man behandlar och lagrar information. Medvetenheten om konsekvenserna av datastöld och liknande är också långt ifrån tillräckligt utvecklad överallt. På vissa platser är företagen också ovilliga att investera den tid och de ansträngningar som krävs för att effektivt skydda sin känsliga information.

Steg för steg mot ökad informationssäkerhet

Men den ansträngning som krävs för datasäkerhet behöver inte vara så stor. Den goda nyheten är att många företag inte behöver införa ett heltäckande ledningssystem för informationssäkerhet i ett svep. För kritiska infrastrukturer (CRITIS) krävs detta däremot enligt den tyska IT-säkerhetslagen.

Ett stegvis tillvägagångssätt är också tänkbart. Detta innebär att det första steget, åtminstone i företag som har ett kvalitetsledningssystem enligt ISO 9001, kan vara en uppdatering av det nödvändiga riskbaserade tillvägagångssättet - men redan med tanke på motsvarande krav i den viktiga informationssäkerhetsstandarden ISO 27001.

Informationssäkerhet och kvalitetsledning

ISO 27001 vs. ISO 9001: Var finns kopplingarna? För det första måste det noteras att kvalitetsstyrningsstandarden ISO 9001 kräver ett riskbaserat tillvägagångssätt över hela linjen. Genomförandet av detta krav på ledningssystemet är dock till stor del upp till din organisation. Kvalitetshantering kräver till exempel ingen separat process för riskbedömning, men detta är utan tvekan för lite när det gäller informationssäkerhet. Ändå är det för lite för lite:

Riskbedömning för kvalitetshanteringsfrågor kan lätt utvidgas till att omfatta informationssäkerhet.

För att göra detta är det bra att titta på kraven för identifiering och hantering av säkerhetsrisker i ISO 27001 för ett ledningssystem för informationssäkerhet (ISMS). De flesta aspekter kan med rimlig ansträngning genomföras av användare av ett kvalitetsledningssystem - som ett första steg på vägen mot holistisk informationssäkerhet, märk väl.

Informationssäkerhet - risker och möjligheter

Båda de internationella standarderna, ISO 27001 för informationssäkerhet och ISO 9001 för kvalitetsledning, behandlar de relevanta ämnena i kapitel 6.1 "Åtgärder för att hantera risker och möjligheter". Syftet är i huvudsak att säkerställa tre viktiga aspekter i ledningssystemet:

  • Att uppnå organisationens avsedda resultat.
  • Förebyggande eller minskning av oönskade effekter.
  • Uppnå kontinuerlig förbättring genom att uppfylla vissa standarder.

När det gäller informationssäkerhet är detta främst de tre väsentliga skyddsmålen:

  • Förlust av konfidentialitet
  • Integritet av information
  • Tillgänglighet till information.

ISMS-standarden ISO 27001 anger följande krav (avsnitt 6.1.1):

  • Fastställande av risker och möjligheter
  • Planera åtgärder för att hantera de identifierade riskerna och möjligheterna.
  • Planera hur åtgärderna ska integreras i företagets processer och genomföras.

Identifiering och hantering av risker

Nästa underkapitel (6.1.2) i ISO 27001 kräver att en process för riskbedömning av informationssäkerheten inrättas och tillämpas. Denna process måste fastställa och upprätthålla kriterier för informationssäkerhetsrisker. Detta omfattar särskilt kriterierna för riskgodkännande och utförandet av riskbedömningar av informationssäkerheten.

Vidare måste processen säkerställa att "upprepade riskbedömningar av informationssäkerheten ger konsekventa, giltiga och jämförbara resultat", vilket anges i ISMS-standarden. Följande underpunkter kan vara viktiga med ett första steg i åtanke:

  • Identifiera informationssäkerhetsriskerna
  • Analysera informationssäkerhetsriskerna.
  • Utvärdering av informationssäkerhetsriskerna.

Kraven i 6.1.3 kräver att man upprättar och tillämpar en process för att ta itu med informationssäkerhetsriskerna i syfte att uppnå följande:

  • välja lämpliga alternativ för att hantera säkerhetsrisken, med hänsyn till resultaten av riskbedömningen.
  • Fastställa alla åtgärder som krävs för att genomföra de valda alternativen för att hantera säkerhetsrisken.
  • Jämföra de fastställda åtgärderna med de kontroller som anges i bilaga A till ISO 27001 (målåtgärder).
  • Utarbeta ett uttalande om tillämplighet med avseende på skälen till att (inte) inkludera kontrollerna från bilaga A.
  • Utarbeta en plan för hantering av säkerhetsrisker.
  • Få godkännande och acceptans av denna plan från riskägarna.
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft

Certification according to ISO 27001

Vilken insats måste du räkna med för att få ditt ledningssystem för informationssäkerhet certifierat enligt ISO 27001? Ta reda på det.

We are looking forward to connecting with you!

Bilaga A till ISO 27001 ger vägledning.

Bilaga A till den välkända standarden för ledningssystem ISO/IEC 27001 har en uttrycklig normativ karaktär. Den kan förstås som en slags checklista som innehåller mål (kontroller) och åtgärder. Du kan använda den här vägledningen för att se till att inga väsentliga punkter för att hantera säkerhetsrisker har förbisetts. Den gör dock inte anspråk på att vara uttömmande.

Informationssäkerhet och kvalitetsstyrning - vilket är det bästa tillvägagångssättet?

ISO 27001 kräver således två separata processer för att bedöma och hantera informationssäkerhetsrisker. För det första steget skulle dessa dock kunna kombineras till en process som specifikt utvidgar riskbedömningen av kvalitetshantering enligt de ovan nämnda kraven till att omfatta aspekten informationssäkerhet. De två standarderna utgör således en bra grund för att genomföra skyddsåtgärder för dataskydd och IT-säkerhet.

ISO/IEC 27001:2013 - Informationsteknik - Säkerhetsteknik - Ledningssystem för informationssäkerhet - Krav.

ISO 9001:2015 - Kvalitetsledningssystem - Krav.

Båda standarderna finns tillgängliga på ISO:s webbplats.

ISO 27001 vs. ISO 9001: Hur djupgående den ovannämnda processen i slutändan uppfyller varje krav beror direkt på komplexiteten hos din organisations informationslandskap och de uppgifter som behöver skyddas. Oavsett vilket är det lämpligt att låta verifiera dess effektivitet i en extern revision. Detta är tillrådligt till exempel i samband med en certifieringsrevision av ert kvalitetsledningssystem enligt ISO 9001, som ändå planeras.

Informationssäkerhet möter kvalitetsledning - vilka är fördelarna?

  • En process som tar en grundläggande titt på informationssäkerhetsrisker kan fungera som ett första viktigt steg mot ett holistiskt ledningssystem för informationssäkerhet i enlighet med ISO/IEC 27001.
  • Genom att genomföra en sådan process stärker högsta ledningen medvetenheten om informations- och datasäkerhet (dataskydd) på alla nivåer.
  • Genom att målinriktat beakta informationssäkerhetsrisker har ett företag möjlighet att avslöja behovet av åtgärder och vidta lämpliga åtgärder (orienterat om ISO 27001, bilaga A).
  • En riskbedömning som utvidgas till att omfatta informationssäkerhet, till exempel som en del av kvalitetsstyrningen, stärker ett företags övergripande riskbaserade strategi.
  • Både de ekonomiska och mänskliga resurser som krävs för genomförande och effektivitetstestning är hanterbara.

DQS: Att helt enkelt utnyttja kvalitet

I balansgången mellan dynamik och stabilitet blir certifierade ledningssystem allt viktigare - en utveckling som DQS upplever som positiv. Eftersom framgångsrika företag och organisationer använder resultaten från våra revisioner för att ständigt förbättra sina resultat. Och de använder våra globalt erkända certifikat som objektiva bevis på sin kvalitetsförmåga. Detta skapar förtroende - både internt och externt för din organisation.

DQS utfärdade Tysklands första certifikat för kvalitetsledning 1986. Den första revisionen i augusti 1986 baserades på ett utkast till standard. År 1991 fick DQS sin första ackreditering för ISO 9001/2/3 av dåvarande TGA Trägergemeinschaft für Akkreditierung GmbH (idag: DAkkS). År 2000 följde ackreditering för certifiering av informationssäkerhet enligt den brittiska standarden BS 7799-2.

Mer än tre decennier av kunnande

Våra texter och broschyrer skrivs uteslutande av våra standardexperter eller revisorer med många års erfarenhet. Om du har några frågor till författaren om innehållet eller våra tjänster är du välkommen att kontakta oss.

Författare
Gert Krueger

Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.

Några frågor?

Vi finns här för dig.
Kontakta oss