qualitaet-header-blog-dqs-bunte bausteine

Bảo mật thông tin đáp ứng Quản lý chất lượng

André Saeckel

Chuyên gia tiêu chuẩn DQS về bảo mật thông tin
thg 10 25 , 2022
# Số hóa trong quản lý chất lượng

Trong thời đại số hóa, đó là thông tin quý giá cần phải được lưu giữ hoặc bảo vệ trên hết. Đối với các công ty, điều này có nghĩa là bên cạnh bảo vệ dữ liệu, bảo mật thông tin là điều tuyệt đối bắt buộc. Tin tốt là: các công ty có hệ thống quản lý chất lượng được chứng nhận phù hợp với tiêu chuẩn ISO 9001 đã tạo cơ sở tốt cho việc áp dụng từng bước bảo mật thông tin toàn diện.

NỘI DUNG

Chủ đề về an toàn thông tin không phải là mới. Những mối nguy hiểm đe dọa đến toàn cảnh thông tin rộng rãi trong các tổ chức từ lâu đã được biết đến. Theo "Khảo sát An ninh mạng" của BSI vào tháng 4 năm 2019, 43% các công ty lớn đã báo cáo bị ảnh hưởng bởi các sự cố an ninh mạng trong năm 2018.

Đối với các doanh nghiệp vừa và nhỏ, con số này là 26%. Và theo “Báo cáo tình hình về an ninh CNTT ở Đức năm 2021” từ Văn phòng An ninh thông tin Liên bang Đức (BSI), các trường hợp tội phạm mạng lại một lần nữa gia tăng đáng kể. Trong khoảng thời gian báo cáo từ ngày 1 tháng 6 năm 2020 đến ngày 31 tháng 5 năm 2021, không chỉ có sự gia tăng đáng kể 22% trong các biến thể phần mềm độc hại mới (khoảng 144 triệu), mà chất lượng của các cuộc tấn công cũng tiếp tục tăng lên đáng kể. Trong quá trình này, nhiều thủ phạm đã khai thác sự đau khổ của Corona đối với nhiều công ty và người dân.

Tuy nhiên, việc bảo mật thông tin bí mật của công ty vẫn bị bỏ quên. Thường thiếu sự thận trọng và tính toán trước khi xử lý và lưu trữ thông tin. Nhận thức về hậu quả của việc đánh cắp dữ liệu và những hành vi tương tự cũng chưa được phát triển đầy đủ ở mọi nơi. Ở một số nơi, các công ty cũng ngại đầu tư thời gian và công sức cần thiết để bảo vệ hiệu quả thông tin nhạy cảm của họ.

Từng bước để bảo mật thông tin hơn

Nhưng nỗ lực cần thiết để bảo mật dữ liệu không nhất thiết phải lớn như vậy. Tin tốt là nhiều công ty không phải triển khai một hệ thống quản lý an ninh thông tin toàn diện trong một lần thất bại. Mặt khác, đối với các cơ sở hạ tầng quan trọng (CRITIS), điều này được yêu cầu bởi luật Bảo mật CNTT của Đức.

Cách tiếp cận từng bước cũng có thể hình dung được. Điều này có nghĩa là bước đầu tiên, ít nhất là ở các công ty có hệ thống quản lý chất lượng (QM) phù hợp với ISO 9001, có thể là cập nhật phương pháp tiếp cận dựa trên rủi ro bắt buộc - nhưng đã xem xét các yêu cầu tương ứng của tiêu chuẩn bảo mật thông tin ISO 27001.

ISO 9001 và  ISO 27001 trong kỷ nguyên số hóa 

Chủ đề thú vị? Hiện có sẵn dưới hình thức Sách trắng miễn phí!

Từ nội dung :

Bao nhiêu giấy cho chất lượng?
Bảo vệ thông tin dạng văn bản một cách hiệu quả
ISO 27001: Cơ sở để số hóa an toàn

Sách trắng này dựa trên phiên bản ISO 27001: 2013.

Tải sách trắng miễn phí và tìm hiểu thêm

 

Bảo mật thông tin và quản lý chất lượng

ISO 27001 so với ISO 9001: Kết nối ở đâu? Đầu tiên, cần lưu ý rằng tiêu chuẩn quản lý chất lượng ISO 9001 yêu cầu một cách tiếp cận dựa trên rủi ro trên toàn diện. Tuy nhiên, việc thực hiện yêu cầu hệ thống quản lý này phần lớn phụ thuộc vào tổ chức của bạn. Ví dụ, quản lý chất lượng không yêu cầu một quy trình riêng biệt để đánh giá rủi ro, nhưng điều này chắc chắn là quá ít đối với vấn đề an toàn thông tin. Tuy nhiên:

Đánh giá rủi ro đối với các vấn đề quản lý chất lượng có thể dễ dàng được mở rộng để bao gồm cả bảo mật thông tin.

Để làm được điều này, sẽ hữu ích khi xem xét các yêu cầu để xác định và đối phó với các rủi ro bảo mật của ISO 27001 đối với hệ thống quản lý an toàn thông tin (ISMS). Hầu hết các khía cạnh có thể được thực hiện bởi những người sử dụng hệ thống quản lý chất lượng với nỗ lực hợp lý - như một bước đầu tiên trên con đường bảo mật thông tin toàn diện, bạn lưu ý.

Bảo mật thông tin - rủi ro và cơ hội

Cả hai tiêu chuẩn quốc tế, ISO 27001 về bảo mật thông tin và ISO 9001 về quản lý chất lượng, đều đề cập đến các chủ đề liên quan trong Chương 6.1 "Các biện pháp đối phó với rủi ro và cơ hội". Về bản chất, mục đích là đảm bảo ba khía cạnh thiết yếu trong hệ thống quản lý

  • Đạt được kết quả dự kiến của tổ chức bạn
  • Ngăn ngừa hoặc giảm tác dụng không mong muốn
  • Đạt được sự cải tiến liên tục thông qua việc tuân thủ các tiêu chuẩn nhất định

Đối với bảo mật thông tin, đây chủ yếu là ba mục tiêu bảo vệ thiết yếu:

  • Mất bí mật
  • Tính toàn vẹn của thông tin
  • Sự sẵn có của thông tin

Tiêu chuẩn ISMS ISO 27001 quy định các yêu cầu sau (mục 6.1.1):

  • Xác định rủi ro và cơ hội
  • Lập kế hoạch các biện pháp để đối phó với các rủi ro và cơ hội đã xác định
  • Lập kế hoạch cách thức các biện pháp sẽ được tích hợp vào các quy trình của công ty và được thực hiện

Xác định và đối phó với rủi ro

Chương tiếp theo (6.1.2) của ISO 27001 yêu cầu thiết lập và áp dụng quy trình đánh giá rủi ro an toàn thông tin. Quá trình này phải thiết lập và duy trì các tiêu chí rủi ro an toàn thông tin. Đặc biệt, điều này bao gồm các tiêu chí để chấp nhận rủi ro và việc thực hiện các đánh giá rủi ro an toàn thông tin.

Hơn nữa, quy trình phải đảm bảo rằng "các đánh giá rủi ro an toàn thông tin lặp đi lặp lại tạo ra các kết quả nhất quán, hợp lệ và có thể so sánh được", như tiêu chuẩn ISMS đã nêu. Các mục phụ sau đây có thể quan trọng với bước đầu tiên cần lưu ý:

  • Xác định các rủi ro bảo mật thông tin
  • Phân tích các rủi ro bảo mật thông tin
  • Đánh giá rủi ro bảo mật thông tin

Các yêu cầu trong 6.1.3 yêu cầu thiết lập và áp dụng một quy trình để giải quyết rủi ro an toàn thông tin nhằm đạt được những điều sau:

  • Chọn các phương án thích hợp để giải quyết rủi ro bảo mật, liên quan đến kết quả đánh giá rủi ro
  • Xác định tất cả các hành động cần thiết để triển khai các tùy chọn đã chọn để giải quyết rủi ro bảo mật
  • So sánh các biện pháp đã xác định với các biện pháp kiểm soát được quy định trong Phụ lục A của ISO 27001 (các hành động mục tiêu)
  • Chuẩn bị một tuyên bố về khả năng áp dụng liên quan đến các lý do (không) bao gồm các biện pháp kiểm soát từ Phụ lục A
  • Lập kế hoạch xử lý các rủi ro bảo mật
  • Nhận được sự chấp thuận và chấp nhận kế hoạch này từ các chủ sở hữu rủi ro
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft

Chứng nhận theo ISO 27001

Bạn cần nỗ lực gì để hệ thống quản lý an ninh thông tin của mình được chứng nhận ISO 27001? Tìm ra.

Chúng tôi rất mong muốn được trao đổi với bạn.

Phụ lục A của ISO 27001 đưa ra hướng dẫn

Phụ lục A của tiêu chuẩn hệ thống quản lý nổi tiếng ISO / IEC 27001 có đặc điểm quy chuẩn rõ ràng. Nó có thể được hiểu là một loại danh sách kiểm tra 93 biện pháp kiểm soát an toàn thông tin có thể có, tập trung vào bốn chủ đề sau:


A.5 Kiểm soát tổ chức (với 37 kiểm soát)
A.6 Kiểm soát cá nhân (với 8 kiểm soát)
A.7 Kiểm soát vật lý (với 14 kiểm soát)
A.8 Kiểm soát kỹ thuật (với 34 kiểm soát).

Một tổ chức có thể sử dụng Phụ lục A để đảm bảo rằng tổ chức đó không bỏ qua bất kỳ hạng mục thiết yếu nào để giải quyết các rủi ro an ninh. Tuy nhiên, nó không tuyên bố là đầy đủ.

Nguồn: ISO / IEC 27001: 2022

Mẹo đọc : 

Ngoài ra, hãy đọc bài đăng trên blog về Phụ lục A của ISO 27001: Trách nhiệm và vai trò của nhân viên và có được kiến thức chuyên môn có giá trị với Hướng dẫn đánh giá Phụ lục A miễn phí của chúng tôi!

Tất cả thông tin dựa trên ISO 27001: 2013.

Bảo mật thông tin và quản lý chất lượng - cách tiếp cận tốt nhất là gì?

Do đó, ISO 27001 yêu cầu hai quy trình riêng biệt để đánh giá và xử lý các rủi ro an toàn thông tin. Tuy nhiên, đối với bước đầu tiên, chúng có thể được kết hợp thành một quá trình mở rộng cụ thể việc đánh giá rủi ro trong quản lý chất lượng cùng với các yêu cầu đã đề cập ở trên để bao gồm khía cạnh an toàn thông tin. Do đó, hai tiêu chuẩn cung cấp cơ sở tốt để thực hiện các biện pháp bảo vệ để bảo vệ dữ liệu và bảo mật CNTT.

ISO 27001 so với ISO 9001: Mức độ chuyên sâu của quy trình nói trên giải quyết từng yêu cầu trực tiếp như thế nào phụ thuộc trực tiếp vào mức độ phức tạp của bối cảnh thông tin của tổ chức bạn và dữ liệu yêu cầu bảo vệ. Dù bằng cách nào, bạn cũng nên xác minh tính hiệu quả của nó trong một cuộc đánh giá bên ngoài. Điều này được khuyến khích, ví dụ, trong quá trình đánh giá chứng nhận hệ thống quản lý chất lượng của bạn theo tiêu chuẩn ISO 9001, vốn đã được lên kế hoạch

ISO 27001 so với ISO 9001: Mức độ chuyên sâu của quy trình nói trên giải quyết từng yêu cầu trực tiếp như thế nào phụ thuộc trực tiếp vào mức độ phức tạp của bối cảnh thông tin của tổ chức của bạn và dữ liệu yêu cầu bảo vệ. Dù bằng cách nào, bạn cũng nên xác minh tính hiệu quả của nó trong một cuộc đánh giá bên ngoài. Điều này được khuyến khích, ví dụ, trong quá trình đánh giá chứng nhận hệ thống quản lý chất lượng của bạn theo tiêu chuẩn ISO 9001, vốn đã được lên kế hoạch.

An toàn thông tin đáp ứng quản lý chất lượng - lợi ích là gì?

  • Một quy trình xem xét cơ bản các rủi ro an toàn thông tin có thể là bước quan trọng đầu tiên hướng tới một hệ thống quản lý toàn diện về an ninh thông tin theo tiêu chuẩn ISO / IEC 27001.
  • Bằng cách thực hiện quy trình như vậy, lãnh đạo cao nhất tăng cường nhận thức về bảo mật thông tin và dữ liệu (bảo vệ dữ liệu) ở tất cả các cấp.
  • Với việc xem xét có mục tiêu các rủi ro bảo mật thông tin, một công ty có cơ hội phát hiện ra nhu cầu hành động và thực hiện các biện pháp thích hợp (theo định hướng của ISO 27001, Phụ lục A).
  • Việc đánh giá rủi ro được mở rộng để bao gồm bảo mật thông tin, ví dụ như là một phần của quản lý chất lượng, củng cố cách tiếp cận dựa trên rủi ro tổng thể của công ty.
  • Cả nguồn lực tài chính và nhân lực cần thiết để thực hiện và kiểm tra tính hiệu quả đều có thể quản lý được.

DQS: Simply leveraging Quality

Trong hành động cân bằng giữa tính năng động và sự ổn định, các hệ thống quản lý được chứng nhận ngày càng trở nên quan trọng hơn - một sự phát triển mà DQS cảm nhận được theo hướng tích cực. Bởi vì các công ty và tổ chức thành công sử dụng những phát hiện từ các cuộc đánh giá của chúng tôi để liên tục cải thiện kết quả của họ. Và họ sử dụng các chứng chỉ được công nhận trên toàn cầu của chúng tôi như một bằng chứng khách quan về năng lực chất lượng của họ. Điều này tạo ra sự tin tưởng - cả trong và ngoài tổ chức của bạn.

DQS đã cấp chứng chỉ đầu tiên của Đức về quản lý chất lượng vào năm 1986. Lần đánh giá đầu tiên vào tháng 8 năm 1986 dựa trên bản dự thảo của tiêu chuẩn. Năm 1991, DQS lần đầu tiên nhận được chứng nhận ISO 9001/2/3 bởi TGA Trägergemeinschaft für Akkreditierung GmbH (ngày nay: DAkkS). Được công nhận chứng nhận an toàn thông tin theo tiêu chuẩn BS 7799-2 của Anh Quốc sau đó vào năm 2000.

Nếu bạn có câu hỏi nào?

Vui lòng liên hệ với !

Hoàn toàn miễn phí 

Gửi yêu cầu ngay bây giờ!

audit-gerber-hermsdorf-werner-korall-dqs.jpg

​​​​​​​

Tin tưởng và chuyên môn

Các văn bản và tài liệu quảng cáo của chúng tôi được viết độc quyền bởi các chuyên gia tiêu chuẩn hoặc đánh giá viên có nhiều năm kinh nghiệm của chúng tôi. Nếu bạn có bất kỳ câu hỏi nào với tác giả về nội dung hoặc dịch vụ của chúng tôi, vui lòng liên hệ với chúng tôi.

Tác giả
André Saeckel

Giám đốc sản phẩm tại DQS về quản lý bảo mật thông tin. Là một chuyên gia tiêu chuẩn cho lĩnh vực bảo mật thông tin và danh mục bảo mật CNTT (cơ sở hạ tầng quan trọng), André Säckel chịu trách nhiệm về các tiêu chuẩn sau và tiêu chuẩn ngành cụ thể, trong số những tiêu chuẩn khác: ISO 27001, ISIS12, ISO 20000-1, KRITIS và TISAX ( an toàn thông tin trong ngành công nghiệp ô tô). Ông cũng là thành viên của nhóm công tác ISO / IEC JTC 1 / SC 27 / WG 1 với tư cách là đại biểu quốc gia của Viện Tiêu chuẩn hóa Đức DIN.

Với bất kỳ các thông tin thêm cần hỗ trợ?

DQS luôn ở đây để hỗ trợ bạn
Vui lòng liên hệ với chúng tôi