Індустрія 4.0, так звана четверта промислова революція, означає інтелектуальну мережу розробки, виробництва, логістики та клієнтів. Він являє собою безліч інформації та даних, які часто мають екзистенційну цінність для організацій. Захист їх доступності, цілісності та конфіденційності є центральним завданням. Інформаційна безпека охоплює всі заходи, які допомагають усвідомити існуючі ризики, ідентифікувати їх і вжити відповідні та прийнятні заходи для їх захисту.

Інформаційна безпека - Запитання та відповіді про ISO 27001

Через недостатню безпеку обробки інформації тільки німецька економіка зазнає збитків на мільярди євро щороку. Причини цього є складними і варіюються від зовнішніх збоїв, технічних помилок, промислового шпигунства до зловживання інформацією колишніми співробітниками. Але лише ті, хто усвідомлює проблеми, можуть також ініціювати відповідні заходи. Добре структурована система управління інформаційною безпекою відповідно до міжнародно визнаного стандарту ISO 27001 є оптимальною основою для ефективної реалізації цілісної стратегії безпеки. Що саме це означає і що необхідно враховувати? Отримайте відповіді на важливі питання про ISO 27001 прямо тут.

ЗМІСТ

  • Що таке інформаційна безпека?
  • Які цілі захисту інформаційної безпеки?
  • Що таке система управління інформаційною безпекою?
  • Для яких організацій корисний стандарт ISO 27001?
  • Які переваги від системи управління інформаційною безпекою?
  • Яка роль людей?
  • ISO 27001 - Питання щодо введення
  • Чому потрібна сертифікація ISO 27001?
  • DQS - Що ми можемо зробити для вас

Що таке інформаційна безпека?

Відповідь на це питання досить проста з точки зору міжнародного сімейства стандартів інформаційної безпеки ISO 2700x:

«Інформація – це дані, які є цінними для організації».

ISO/IEC 27000:2020-06: Інформаційні технології - Методи безпеки - Системи управління інформаційною безпекою - Огляд і словник

Розумієте, інформація – це актив, який не повинен потрапляти в руки сторонніх осіб і який потребує належного захисту.

Тому інформаційна безпека – це все, що пов’язано із захистом інформаційних активів вашої компанії. Вирішальним фактором тут є усвідомлення ризиків, які існують у контексті компанії, або виявлення їх і протидії їм відповідними заходами на основі потреб.

«Інформаційна безпека – це не ІТ-безпека»

ІТ-безпека відноситься лише до безпеки впроваджених технологій, а не до корпоративних активів, які підлягають захисту. Організаційні проблеми, наприклад, дозвіл на доступ, відповідальність або процедури затвердження, а також психологічні аспекти також відіграють істотну роль у інформаційній безпеці. Однак захищені ІТ також захищають інформацію в компанії.

Які цілі захисту інформаційної безпеки?

Відповідно до міжнародного стандарту ISO/IEC 27001, цілі захисту інформаційної безпеки включають три основні аспекти:

  • Конфіденційність – захист конфіденційної інформації від несанкціонованого доступу, чи то з міркувань законів про захист даних, чи на основі комерційної таємниці, на яку поширюється наприклад Закон про комерційну таємницю. Тут має значення саме рівень конфіденційності.
  • Цілісність – мінімізація будь-яких ризиків, забезпечення повноти та надійності всіх даних та інформації.
  • Доступність – забезпечення доступу та зручності для авторизованого доступу до інформації, будівель та систем. Це важливо для підтримки процесів.

Сертифікована інформаційна безпека за ISO 27001

Захистить свою інформацію за допомогою системи управління, яка відповідає міжнародним стандартам ✓ DQS пропонує понад 35 років досвіду в сертифікації ✓

Ключові питання щодо інформаційної безпеки

  • Які цінності моєї компанії?
  • Які цінності компанії потрібно захищати?
  • Яким атакам піддаються активи компанії?
  • Хто зацікавлений у захисті цієї інформації?
  • Які відповідні заходи?

Що таке система управління інформаційною безпекою?

Система управління інформаційною безпекою (СУІБ чи ISMS - information security management system) відповідно до стандарту ISO/IEC 27001 визначає керівні принципи, правила та методи для забезпечення безпеки інформації, яку варто захищати в організації. Він надає модель для для введення, впровадження, моніторингу та підвищення рівня захисту - відповідно до систематичної процедури циклу PDCA (Plan-Do-Check-Act), знайомої з ISO 9001.

Мета полягає в тому, щоб визначити та проаналізувати потенційні ризики та зробити їх контрольованими за допомогою відповідних заходів.

Чому управління інформаційною безпекою важливо?

Успішні організації використовують структуру та прозорість сучасних систем управління для виявлення загроз і націлювання на розгортання сучасних систем безпеки. В основі системи управління інформаційною безпекою лежить безпека ваших власних інформаційних активів, таких як інтелектуальна власність, фінансові та кадрові дані, а також інформація, довірена вам клієнтами або третіми сторонами.

«Інформаційна безпека завжди означає захист важливої інформації чи цінних даних».

Ризиків, яким піддаються дані, які варті захисту, багато. Вони можуть виникати внаслідок матеріальної, людської та технічної загрози безпеці. Але лише цілісний, превентивний системний підхід СУІБ може подолати весь спектр загроз і забезпечити безперервність бізнесу компанії.

Для яких організацій корисний стандарт ISO 27001?

Відповідь на це питання дуже проста: для всіх. ISO 27001 в основному може застосовуватися в усіх організаціях, незалежно від їх типу, розміру та галузі. І: всі організації виграють від переваг структурованої системи управління. На впровадження СУІБ впливають такі фактори:

  • Вимоги та бізнес-цілі
  • Потреби безпеки
  • Застосовані бізнес-процеси
  • Розмір і структура організації

Які переваги від системи управління інформаційною безпекою?

Важливе питання. ISO 27001 формулює вимоги до систематичного проектування та впровадження процесно-орієнтованої системи управління інформаційною безпекою. Вирішальних переваг можна досягти завдяки такому цілісному підходу:

  • Безпека конфіденційної інформації стає невід'ємною частиною процесів компанії
  • Превентивне забезпечення цілей захисту конфіденційності, доступності та цілісності інформації
  • Підтримка безперервності бізнесу шляхом постійного підвищення рівня безпеки
  • Підвищення чутливості співробітників та суттєве підвищення обізнаності з питань безпеки на всіх рівнях компанії
  • Встановлення ефективного процесу управління ризиками
  • Зміцнення довіри із зацікавленими сторонами (наприклад, тендери) шляхом демонстративно безпечного поводження з конфіденційною інформацією
  • Дотримання відповідних вимог щодо відповідності, більше безпеки дій та юридичної визначеності

Як можна керувати потенційними ризиками?

Ризики безпеки можуть виникати через матеріальні, людські та технічні загрози. Для досягнення простежуваного та належного рівня безпеки в організації потрібен визначений процес управління ризиками або метод для оцінки ризиків, обробки ризиків та моніторингу ризиків. ISO/IEC 27005 надає гарні рекомендації щодо управління ризиками інформаційної безпеки.

Яку роль відіграють люди?

Люди також є фактором ризику, оскільки обробка конфіденційної інформації впливає на всіх без винятку співробітників і партнерів компанії. Вони становлять підвищений ризик для безпеки через незнання чи людську помилку. Але лише небагато організацій регулюють, хто може отримати доступ до якої інформації та як з нею оброблятися.

«Нове джерело влади – це більше не гроші в руках небагатьох, а інформація в руках багатьох». Джон Нейсбітт, *1929, American. Футуролог

Обов’язкові правила та чітке усвідомлення всіх проблем інформаційної безпеки є основною передумовою. Адаптація корпоративної політики або розробка відповідної політики інформаційної безпеки тут вважається важливим. Необхідна інформованість співробітників на всіх (управлінських) рівнях є питанням керівника і може відбуватися, наприклад, за допомогою навчальних курсів, семінарів або особистих дискусій.

ISO 27001 - Питання щодо впровадження

На питання, чи має компанія вже впровадити систему управління, наприклад, відповідно до ISO 9001, можна однозначно відповісти «ні». ISO 27001 є загальним стандартом і, як і всі стандарти системи менеджменту, є самостійним. Це означає, що організація може створити та впровадити систему управління інформаційною безпекою в будь-який час і незалежно від будь-яких існуючих структур.

Тим не менш, компанії, які мають систему управління якістю відповідно до ISO 9001, вже створили хорошу основу для поетапного впровадження комплексної інформаційної безпеки.

За своєю структурою та підходом ISO 27001 ґрунтується на обов’язковій базовій структурі для всіх стандартів систем менеджменту, орієнтованих на процеси, – структурі високого рівня (High Level Structure). Отже, це дає вам можливість легко інтегрувати систему управління інформаційною безпекою у вже існуючу систему управління. Аналогічно, можлива спільна сертифікація відповідно до ISO 27001 з ISO 20000-1 (Управління ІТ-послугами) або ISO 22301 (Управління безперервністю бізнесу) від DQS.

Які документи можуть підтвердити вступ?

Переважною основою для впровадження цілісної системи управління інформаційною безпекою є міжнародне сімейство стандартів ISO/IEC 2700x. Він призначений для підтримки організацій усіх типів і розмірів у впровадженні та експлуатації СУІБ. Ступінь реалізації в організації можна перевірити за допомогою внутрішнього аудиту.

Корисними компонентами стандартної серії є

  • ISO/IEC 27000:2018: Інформаційні технології - Методи безпеки - Системи управління інформаційною безпекою - Огляд і словник
  • ISO/IEC 27001:2013: Інформаційні технології - Методи безпеки - Системи управління інформаційною безпекою - Вимоги
  • ISO/IEC 27002:2013: Інформаційні технології – Методи безпеки – Кодекс Практики контролю інформаційної безпеки
  • ISO/IEC 27003:2017: Інформаційні технології - Методи безпеки - Системи управління інформаційною безпекою - Керівництво
  • ISO/IEC 27004-2016: Інформаційні технології – Методи безпеки – Управління інформаційною безпекою – Моніторинг, вимірювання, аналіз та оцінка
  • ISO/IEC 27005:2018: Інформаційні технології – Методи безпеки – Управління ризиками інформаційної безпеки

Усі нормативні документи доступні на веб-сайті ISO.

ISO 27001 - Маєте запитання про спеціаліста з ІТ-безпеки?

Чи потребує ISO 27001 спеціаліст із ІТ-безпеки? Відповідь «так».

Одним із завдань системи управління інформаційною безпекою є призначення вищим керівництвом спеціаліста з ІТ-безпеки. Офіцер з ІТ-безпеки є контактною особою з усіх питань ІТ-безпеки. Він або вона повинні бути інтегровані в усі процеси СУІБ і тісно взаємопов'язані з ІТ-менеджерами - наприклад, при виборі нових ІТ-компонентів та ІТ-додатків.

Чому потрібна сертифікація ISO 27001?

Сертифікація за акредитованою процедурою є доказом того, що впроваджено систему управління та заходи щодо системного захисту інформаційних активів. За допомогою сертифіката ви документально підтверджуєте, що ви успішно встановили цю систему та прагнете її постійного вдосконалення.

Сертифікат DQS, який цінується в усьому світі, є видимим виразом нейтральної оцінки та зміцнює довіру до вашої компанії. Це є ринковою перевагою і є гарною передумовою для проведення тендерів і критично важливих для безпеки бізнесу клієнтів, таких як постачальники фінансових послуг.

ISO 27001 - Питання щодо процесу сертифікації

Усі системи менеджменту, які оцінюються на основі міжнародних правил (ISO 17021) акредитованим органом із сертифікації, таким як DQS, підлягають тому самому процесу сертифікації.

Початкова сертифікація складається з системного аналізу (етап 1 аудиту) та аудиту системи (етап 2 аудиту), під час якого аудитори перевіряють на місці, що загальна система функціонує належним чином і що всі вимоги виконано. Тоді сертифікат дійсний 3 роки.

Для того, щоб мати можливість гарантувати дійсність протягом усього періоду, система управління повинна перевірятися щорічно. Тому в перший і другий рік після видачі сертифіката аудитори DQS проводять скорочені аудити СУІБ (наглядові аудити), під час яких вони розглядають, наприклад, ефективність ключових компонентів системи або коригувальних і запобіжних заходів. Повторна сертифікація відбувається через три роки.

Компанії, які вже мають існуючу систему менеджменту, повинні об’єднати свої програми аудиту та домагатися спільної сертифікації своєї інтегрованої системи управління (ІСУ).

Чи можлива матрична сертифікація?

Матрична сертифікація можлива для компаній з кількома ділянками. В принципі, до ISO 27001 застосовуються ті самі вимоги, що й до інших стандартів ISO, таких як ISO 9001 або ISO 14001. DQS може забезпечити інтеграцію ISO 27001 в існуючі матричні процедури, тобто спільний зовнішній аудит з іншими стандартами.

Які переваги ISO 27001 перед TISAX?

TISAX® (Trusted Information Security Assessment Exchange) був розроблений як галузевий стандарт спеціально для автомобільної промисловості та пристосований до галузевих потреб. Основою для оцінки TISAX® є каталог тестів VDA Information Security Assessment (VDA ISA), який базується, серед іншого, на вимогах ISO 27001 або ISO 27002 і розширює їх, щоб включати такі теми, як захист прототипів або захист даних.

Більше цінних знань можна знайти на нашій сторінці продуктів TISAX®.

Метою TISAX® є забезпечення комплексної (інформаційної) безпеки на всіх етапах ланцюга поставок. Крім того, реєстрація в базі даних спрощує процедуру взаємного визнання. Однак TISAX® визнаний лише в автомобільній промисловості. Клієнти з інших галузей можуть визнавати ISO 27001 лише як підтвердження СУІБ.

DQS - Що ми можемо зробити для вас

DQS – це ваш спеціаліст з аудиту та сертифікації – для систем і процесів управління. Маючи більш ніж 35-річний досвід роботи та навички 2500 аудиторів у всьому світі, ми є вашим компетентним партнером із сертифікації, який дасть відповіді на всі запитання щодо ISO 27001.

Ми здійснюємо аудит відповідно до приблизно 200 визнаних стандартів і положень, а також стандартів компаній і асоціацій. Ми були першим німецьким органом із сертифікації, який отримав акредитацію на BS 7799-2, попередника ISO/IEC 27001, у грудні 2000 року. Цей досвід досі є виразом нашої історії успіху у всьому світі.

Ми раді відповісти на ваші запитання

Скільки роботи вам потрібно зробити, щоб отримати сертифікацію СУІБ відповідно до ISO 27001? Отримайте інформацію безкоштовно та без зобов'язань.

Ми з нетерпінням чекаємо на розмову з вами.

Показати більше
Показати менше

Інформаційна безпека та Управління ризиками

Інформаційна безпека та Управління ризиками

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Управління вразливістю в контексті ISO 27001

Інформаційна безпека в організації

Глобалізація виробництва, торгівлі та послуг зумовлена прогресом цифровізації. Все більш потужні інформаційні технології ставлять компанії перед серйозними проблемами, коли мова йде про інформаційну безпеку. У цьому контексті важливо не тільки ефективно захищати власне ноу-хау, а й дедалі більше задовольняти вимоги клієнтів і посилювати конкурентоспроможність за допомогою ефективно впровадженої системи управління інформацією.

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Інциденти інформаційної безпеки: Співробітники як фактор успіху

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Корпоративна інформаційна безпека: Приклад групи компаній Mubea

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Досвід компанії aLIVE-Service GmbH у галузі стандарту ISMS

Стандарти інформаційної безпеки

Сімейство ISO/IEC 2700x – це міжнародно визнана серія стандартів для впровадження цілісної системи управління безпекою інформації. У його основі лежить ISO/IEC 27001, який містить вимоги, що підлягають сертифікації, щодо виявлення, оцінки та управління ризиками для операцій з обробки інформації.

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Стандарти інформаційної безпеки - огляд

TISAX (Інформаційна безпека в автомобільній промисловості)

TISAX (Інформаційна безпека в автомобільній промисловості)

Блог
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - Відповіді на важливі питання

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Автомобільна кібербезпека: нові обов’язкові правила

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Каталог VDA ISA 5.0: поточна основа для оцінок TISAX®

Інформаційна безпека та Захист даних

Інформаційна безпека та Захист даних

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Захист даних та інформаційна безпека - за стандартами ISO 27001 та ISO 27701

Інформаційна безпека проти ІТ-безпеки

Інформаційна безпека проти ІТ-безпеки

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 Додаток A: Обов’язки та ролі працівників

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

ІТ-безпека та інформаційна безпека – у чому різниця?

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Цілі інформаційної безпеки та їх значення

Блог
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Стандарти інформаційної безпеки - огляд