datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Корпоративна інформаційна безпека: Приклад групи компаній Mubea

Андре Секель

Експерт DQS з стандартів інформаційної безпеки
груд. 06 , 2022
# Інформаційна безпека в організації

Сьогодні надійна інформаційна безпека дає компаніям набагато більше переваг, ніж просто захист технічної інфраструктури. Від неї значною мірою залежать цілі бізнес-процеси - чи то безпечне поводження з конфіденційними даними, чи їх обробка відповідно до закону. Ось чому цей термін тепер включає захист всього потоку інформації. Компанія Mubea, постачальник автомобілів, зуміла стандартизувати інформаційну безпеку в десяти європейських країнах завдяки сертифікації DQS ISO 27001, тим самим зайнявши вигідне становище серед конкурентів. Потенційні ІТ-ризики та робота з конфіденційною інформацією ретельно вивчалися та постійно вдосконалювалися та розвивалися.

ЗМІСТ

Інформаційна безпека у десяти країнах дає конкурентні переваги

Глобалізація ставить перед багатьма компаніями величезні проблеми, коли йдеться про інформаційну безпеку. Інфраструктура та правові норми в окремих країнах у деяких випадках сильно різняться. Тим не менше, компанії, які ведуть глобальну діяльність, зобов'язані повсюдно виявляти вразливі місця та вживати відповідних заходів захисту. Це пов'язано з тим, що оцифрування бізнес-процесів через національні кордони вимагає порівняльного рівня ІТ-безпеки від усіх залучених сторін, який має бути гарантований у всьому ланцюжку створення вартості.

У автомобільній промисловості безпека даних та інформації, що потребують захисту, також набуває все більшого значення, коли йдеться про міжнародне співробітництво між різними підрозділами, дочірніми компаніями або постачальниками послуг. Компанія Mubea, постачальник автомобілів, зіткнулася з серйозною перешкодою, бажаючи підняти рівень ІТ-безпеки на той самий рівень у десяти країнах із загальним числом 20 дочірніх компаній.

Корпоративна інформаційна безпека в компаніях – перевага, на яку звертають увагу клієнти

Багато років тому фахівець із легких конструкцій для кузовів, шасі та силових агрегатів почав приділяти пильну увагу інформаційній безпеці: "Наші клієнти все більше і більше закріплюють цю тему у своїх умовах покупки. І для того, щоб зберегти свої позиції серед конкурентів, ми хотіли діяти швидко", - повідомляє Крістіан Хаббель, керівник відділу ІТ - інформаційної безпеки та відповідності вимогам компанії. Але це була не єдина причина: "Ми прагнемо постійно вдосконалювати нашу систему управління інформаційною безпекою в будь-якому випадку та привертати увагу наших співробітників до цієї теми. Тому в 2017 році ми вирішили провести сертифікацію відповідно до визнаного стандарту ISO 27001. Це дуже допомагає нам у цій справі", - каже Хаббел.

ISO 27001 - Сертифікація дає переваги

ISO 27001 є міжнародним стандартом інформаційної безпеки для приватних, державних або некомерційних організацій. Стандарт визначає вимоги до створення, впровадження, експлуатації та оптимізації документованої системи менеджменту інформаційної безпеки (ISMS). Сертифікація завжди адаптується до умов відповідної компанії та враховує індивідуальні особливості.

Крім теми інформаційної безпеки, стандарт приділяє особливу увагу аналізу та обробці пов'язаних із нею ризиків. Таким чином, для компаній він пропонує системно структурований підхід до захисту цілісності оперативних даних та їхньої конфіденційності. У той самий час він забезпечує доступність ІТ-систем, які у корпоративних процесах. Сертифікати відповідно до визнаного у всьому світі стандарту зазвичай дійсні протягом трьох років. Однак з метою безперервного вдосконалення та постійної ефективності системи управління щорічно проводиться контрольний аудит.

TISAX® - оцінка для автомобільного сектора

Дійсно, TISAX® (Trusted Information Security Assessment Exchange), стандарт інформаційної безпеки, розроблений автомобільною промисловістю, існує з 2017 року і, таким чином, є ще одним варіантом сертифікації, яку багато виробників та постачальників автомобілів тепер вимагають від ділових партнерів. Однак TISAX® є європейським стандартом для галузі та ще не встановлений на глобальному рівні.

"Для нас це було недостатньо далеко", – згадує Хаббель. Саме тому компанія з Аттендорна спочатку зробила вибір на користь сертифікації ISO 27001, щоб отримати конкурентну перевагу у сфері інформаційної безпеки.

Подвійна сертифікація DQS

Ухваливши це рішення, Mubea вирушила на пошуки відповідного партнера і без зайвих слів зупинилася на DQS.

habbel-christiane-quelle-mubea

Ми порівняно швидко натрапили на DQS під час нашого дослідження, і вже на першій зустрічі зрозуміли, що ми дуже підходимо один до одного.

Крістіан Хаббель Керівник відділу ІТ - інформаційної безпеки та відповідності вимогам у компанії Mubea

З цією метою аудитори DQS спершу перевірили функціонування системи управління інформаційною безпекою (СУІБ) на об'єкті. Крім того, для сертифікації ISMS компанія Mubea мала продемонструвати успішну взаємодію основних цінностей інформаційної безпеки: Конфіденційність, Цілісність та Доступність. У цьому контексті було перераховано та оптимізовано потенційні ІТ-ризики або процеси, що загрожують інформаційній безпеці. "Співпраця з DQS була дуже практичною і орієнтованою на клієнта. Нам дуже допомогли глибокі галузеві знання аудиторів, які підтримували нас у всіх аспектах", - говорить Хаббел. Це справедливо як для сертифікації ISO 27001, так і для сертифікації TISAX®.

Корпоративна інформаційна безпека у масштабах усієї Європи

Однак за допомогою DQS компанії Mubea вдалося не лише оптимізувати захист конфіденційних даних та інформації у своєму головному офісі. За допомогою DQS компанія також підняла на новий рівень безпеки 20 дочірніх підприємств у десяти точках Європи та встановила загальний стандарт безпеки.

Тепер Mubea може надійно документувати власну інформаційну безпеку перед клієнтами та партнерами за допомогою цих двох сертифікатів. Це дає постачальнику автомобілів конкурентну перевагу на ринку, стверджує Хаббел: "За допомогою ISO 27001 ми не тільки привнесли до компанії високий стандарт безпеки по всій Європі. Ми також захищаємо себе від кібер-атак ззовні та змогли привернути увагу наших співробітників до безпеки наших конфіденційних корпоративних активів". Адже інформаційна безпека – це набагато більше, ніж просто ІТ-безпека. Однак і зараз ми не стоїмо на місці. Ключові компоненти системи управління проходять щорічний аудит з метою подальшого вдосконалення. Таким чином, і так дуже хороший рівень нашої інформаційної безпеки постійно розвивається".

Факти, дані, цифри

Група компаній Mubea є лідером світового ринку в галузі розробки та виробництва складних автомобільних компонентів, які призводять до зниження ваги автомобілів та сприяють покращенню охорони навколишнього середовища за рахунок зниження викидів CO2. Сімейний бізнес, керований власником з Аттендорна, фокусується на технічних інноваціях та операційній досконалості. Його метою є стійке входження до 100 найбільших світових постачальників автомобілів.

Асортимент продукції включає компоненти ходової частини, такі як пружини осей, стабілізатори, композитні пружини і прецизійні сталеві труби, а також компоненти двигуна, такі як пружини клапанів, системи автоматичного натягу ременів і пружинні стрічкові затискачі, а також компоненти трансмісії, такі як приводні вали та тарілчасті пружини. Дочірня компанія Mubea Flamm також розробляє та виробляє компоненти та вузли для аерокосмічної промисловості та побутової техніки.

www.mubea.com/en

Система управління інформаційною безпекою відповідно до міжнародного стандарту

Міжнародний стандарт ISO 27001 для систем управління інформаційною безпекою (СУІБ) застосовується в усьому світі. Він надає організаціям усіх розмірів та галузей основу для планування, впровадження та моніторингу інформаційної безпеки. Він включає не лише аспекти інформаційної безпеки. Особливу практичну цінність є реалізація заходів, наведених у Додатку А стандарту.

Вимоги стандарту є загальноприйнятними та поширюються на приватні та державні компанії, а також на некомерційні установи. Що стосується захисту даних та безпечної обробки персональних даних з дотриманням цілісності, ISO 27701 є корисним доповненням до стандарту.

Яку користь ви можете отримати з СУІБ

Систематично створюючи та впроваджуючи орієнтовану на процеси ISMS (систему управління інформаційною безпекою) відповідно до ISO 27001, компанії отримують вирішальні переваги, наприклад:

  • Захист конфіденційної інформації від неправомірного використання, втрати та розкриття як невід'ємна частина процесів компанії
  • Підвищення поінформованості співробітників: загрози всередині компанії надійно виявляються та зменшуються
  • Дотримання відповідних нормативних вимог, більше дій та юридична впевненість
  • Створення довіри серед клієнтів, ділових партнерів та широкого загалу
  • Підвищення конкурентоспроможності
  • Оптимізація витрат на процеси та ІТ

Стандарт доступний на сайті ISO:
ISO/IEC 27001:2013 - Інформаційні технології - Методи забезпечення безпеки - Системи управління інформаційною безпекою - Вимоги

DQS: Simply leveraging Quality.

DQS спеціалізується на проведенні аудитів та сертифікації систем менеджменту та процесів. Маючи більш ніж 35-річний досвід і знання 2 500 аудиторів, компанія зі штаб-квартирою у Франкфурті-на-Майні, Німеччина, є компетентним партнером для керівництва. Ми проводимо аудит відповідно до близько 200 визнаних стандартів та правил або відповідно до специфіки вашої компанії - на регіональному, національному та міжнародному рівнях.

Неупередженість та об'єктивність є для нас найважливішими елементами при проведенні аудитів та сертифікації. І це стосується не лише нормативних областей, а й проведення всіх аудиторських заходів.

Ми будемо раді допомогти вам, якщо ви хочете, щоб система управління інформаційною безпекою (СУІБ) вашої компанії чи організації була сертифікована.

iso 27001-annex-a-dqs-mitarbeiterin schaut auf laptop in it umgebung

Сертифікація відповідно до ISO 27001

Ми покажемо вам, яких зусиль та витрат вам слід очікувати під час сертифікації вашої системи управління інформаційною безпекою. Отримайте інформацію безкоштовно та без зобов'язань.

Ми з нетерпінням чекаємо на спілкування з вами.
Автор
Андре Секель

Менеджер з продуктів у DQS з управління інформаційною безпекою. Як експерт із стандартів у сфері інформаційної безпеки та каталогу ІТ-безпеки (критичні інфраструктури), Андре Секель відповідає за такі стандарти та галузеві стандарти, серед іншого: ISO 27001, ISIS12, ISO 20000-1, KRITIS та TISAX (інформаційна безпека в автомобільній промисловості). Він також є членом робочої групи ISO/IEC JTC 1/SC 27/WG 1 як національний делегат Німецького інституту стандартизації DIN.

Є питання?

Ми до ваших послуг.
Зв'яжіться з нами