工業4.0,即所謂的第四次工業革命,代表了開發、生產、物流和客戶的智慧型通訊網路。它代表了大量的資訊和資料,這些資訊和資料往往對組織具有存在的價值。保護其可用性、完整性和保密性是一項核心任務。資訊安全包括所有有助於了解到現有風險、鑑別它們並採取適當和合適的措施來保護它們。

資訊安全 - 關於ISO 27001的問與答

由於資訊處理的安全性不足,僅德國經濟每年就遭受數十億歐元的損失。造成這種情況的原因很複雜,從外部干擾、技術錯誤、工業間諜到前員工的濫用資訊。但只有那些認識到挑戰的人也能採取適當的措施。符合國際公認的ISO 27001標準的結構良好的資訊安全管理系統是有效實施整體安全戰略的最佳基礎。這意味著什麼意思、需要考慮什麼?請在此處獲得有關ISO 27001的重要問與答。

內容

  • 什麼是資訊安全?
  • 資訊安全的保護目標是什麼?
  • 什麼是資訊安全管理系統?
  • ISO 27001對哪些組織有用?
  • 資訊安全管理系統有什麼好處?
  • 人的角色作用是什麼?
  • ISO 27001 - 關於介紹的問題
  • 為什麼要進行ISO 27001驗證?
  • DQS - 能為 貴公司做什麼

什麼是資訊安全?

從資訊安全的國際標準系列ISO 2700x來看,這個問題的答案很簡單:

"資訊是對組織有價值的資料"。

ISO/IEC 27000:2020-06:資訊技術-安全技術-資訊安全管理系統-概論和詞彙

資訊是一種資產,不應該落入未經授權的人手中,這就需要適當的保護。

因此,資訊安全與保護公司的資訊資產有關。這裡的決定性因素是要意識到公司範圍內存在的風險,或發現這些風險,並根據需要採取適當的措施來應對這些風險。

"資訊安全不是資訊科技(IT)安全"

資訊科技(IT)安全僅指所部署技術的安全,而不是指要保護的企業資產。組織方面的問題,例如存取授權、責任或批准流程,以及心理方面的問題,在資訊安全方面也有著至關重要的作用。然而,安全的資訊技術也保護了公司的資訊。

資訊安全的保護目標是什麼?

根據國際標準ISO/IEC 27001,資訊安全的保護目標包括三個主要方面:

  • 保密性- 保護機密資訊免遭未經授權的存取,無論是出於資料保護法的原因,還是基於商業秘密的原因,例如:商業秘密法。這裡關係到的是保密性的層級。
  • 完整性- 將任何風險降到最低,確保所有資料和資訊的完整性和可靠性。
  • 可用性- 確保對資訊、建築物和系統的授權存取和可用性。這對維護流程是至關重要。

根據ISO 27001驗證的資訊安全

使用符合國際標準的管理系統保護 貴公司的資訊 ✓ DQS提供超過35年的驗證經驗 ✓

關於資訊安全的關鍵問題

  • 公司的價值觀是什麼?
  • 哪些公司的價值觀需要得到保護?
  • 公司的資產會面臨哪些攻擊?
  • 誰有興趣保護這些資訊?
  • 什麼是適當的措施?

什麼是資訊安全管理系統?

根據ISO/IEC 27001,資訊安全管理系統(ISMS)定義了准則、規範和方法,以確保組織中值得保護的資訊的安全。它提供了一個導入、實施、監測和改善保護水準的模型--按照ISO 9001中熟悉的PDCA循環(計劃-執行-檢查-行動)的系統流程。

其目的是鑑別和分析潛在風險,並透過適當的措施使其得以控制。

為什麼資訊安全管理很重要?

成功的組織利用現代管理系統的結構和透明度來檢測威脅並針對當代安全系統的部署。資訊安全管理系統的核心是自身的資訊資產的安全,如智慧財產權、財務和人事資料,以及客戶或第三方委托的資訊。

"資訊安全始終意味著保護有價值的重要資訊或資料"。

值得保護的資料所面臨的風險有很多。它們可能來自物質、人為和技術的安全威脅。但是,只有ISMS整體的、預防性的管理系統方法才能解決整個威脅並確保公司的營運永續性。

ISO 27001對哪些組織有用?

這個問題的答案很簡單:對所有的人。ISO 27001基本上可以應用於所有組織,無論其類型、規模和產業如何。而且:所有組織都能受益於結構化管理系統的優勢。ISMS的實施受到以下因素的影響:

  • 需求和營運目標
  • 安全需求
  • 應用的營運流程
  • 組織的規模和結構

資訊安全管理系統有什麼好處?

這是一個重要的問題。ISO 27001制定了系統設計和實施面向流程的資訊安全管理系統的要求。透過這種整體的方法可以獲得決定性的優勢

  • 敏感資訊的安全成為公司流程中不可或缺的一部分
  • 對資訊的保密性、可用性和完整性的保護目標進行預防性保護
  • 透過不斷提高安全等級來保持營運永續性
  • 提高員工意識並明顯提高公司各層級的安全意識
  • 建立有效的風險管理流程
  • 透過對敏感資訊明顯的安全處理,與相關各方建立信任(如投標)。
  • 遵守相關的合規要求,提高行動安全性和法律確定性

如何管理潛在的風險?

安全風險可能來自物質、人為和技術威脅。為了在組織中實現可追溯和適當的安全等級,需要確定的風險管理流程或方法來執行風險評估、風險處理和風險監控。ISO/IEC 27005對資訊安全風險管理提供了良好的指導。

人扮演什麼角色?

人也是一個風險因素,因為敏感資訊的處理毫無例外地影響到公司的所有員工和合作夥伴。無論是無知還是人為錯誤,他們都會增加安全風險,。但只有極少數組織會規範誰可以存取哪些資訊,以及如何處理這些資訊。

"新的權力來源不再是少數人手中的金錢,而是多數人手中的訊息"。John Naisbitt,*1929,美國。未來學家

因此,具有約束力的法規和對所有資訊安全問題的明確認知是一個基本的先決條件。調整公司政策或制定合適的資訊安全政策在此被認為是至關重要的。對所有(管理)等級的員工進行必要的宣導是老闆的事情,例如可以透過訓練課程、研討會或個人討論的方式執行。

ISO 27001 - 實施問題

關於公司是否必須已導入一個管理系統,例如符合ISO 9001,這問題可以清楚地回答“否”。ISO 27001是一個通用標準,和所有的管理系統標準一樣,是獨立存在。這意味著組織可以在任何時候建立和實施資訊安全管理系統,並且獨立於任何現有的結構。

然而,擁有符合ISO 9001品質管理系統的公司已經為逐步導入全面的資訊安全奠定了良好的基礎。

在其結構和方法上,ISO 27001是基於所有面向流程的管理系統標準的強制性基本結構,即高階結構。因此,這為 貴組織提供了將資訊安全管理系統輕松整合進現有管理系統的可能性。同樣,根據ISO 27001與ISO 20000-1(IT服務管理)或ISO 22301(營運永續性管理)由DQS執行合併驗證也是可能的。

哪些文件可以支持導入?

導入資訊安全整體管理系統的首選基礎是國際ISO/IEC 2700x系列標準。它的目的是支援所有類型和規模的組織實施和運行ISMS。組織內部的執行程度可以通過內部稽核的方式來檢查。

該標準系列的有用組成部分是

  • ISO/IEC 27000:2018:資訊技術 - 安全技術 - 資訊安全管理系統 - 概論和詞彙
  • ISO/IEC 27001:2013:資訊技術 - 安全技術 - 資訊安全管理系統 - 要求
  • ISO/IEC 27002:2013:資訊技術 - 安全技術 - 資訊安全控制的實踐守則
  • ISO/IEC 27003:2017:資訊技術 - 安全技術 - 資訊安全管理系統-指南
  • ISO/IEC 27004-2016:資訊技術 - 安全技術 - 資訊安全管理-監控、測量、分析和評估
  • ISO/IEC 27005:2018:資訊技術 - 安全技術 - 資訊安全風險管理

所有條文都可以從ISO網站上獲得。

ISO 27001 - 關於IT安全專員的問題?

ISO 27001是否需要一個IT安全專員?答案為 "是"。

資訊安全管理系統中的一項任務是由最高管理階層任命一名IT安全專員。IT安全專員是所有IT安全問題的聯絡人。他或她應該整合入所有的ISMS流程中並與IT經理密切聯絡--例如,在選擇新的IT零件和IT應用程式時。

為什麼要進行ISO 27001驗證?

基於認可程序的驗證證明已執行了管理系統和措施,以有系統地保護資訊資產。有了證書,可以 "白紙黑字 "地證明已經成功地建立了這個系統並致力於持續改善。

DQS證書在全球享有盛譽,它是中立評估的明顯展現,並加強了對 貴公司的信心。這是一個市場優勢,在投標和對安全至關重要的客戶業務中提供了良好的先決條件,如金融服務供應商。

ISO 27001 - 關於驗證流程的問題

所有由認可的驗證機構(如 DQS)根據國際法規 (ISO 17021) 評估的管理系統都必須經過相同的驗證流程

初次驗證包括系統分析(第1階段稽核)和系統稽核(第2階段稽核),稽核員在現場驗證整個系統是否正常執行,以及是否符合所有要求。然後,該證書的有效期為3年。

為了能夠保證整個證書期間的有效性,必須每年對管理系統進行檢查。因此,在證書頒發後的第一年和第二年,DQS稽核員會進行簡短的ISMS稽核(年度追查),例如,他們會考慮關鍵系統組成或矯正和預防措施的有效性。然後在三年後進行重新驗證。

已經有一個現有管理系統的公司應該合併稽核項目,並尋求對其綜合管理系統(IMS)的合併驗證。

多標準合併驗證是否可行?

擁有多場址的公司可以進行多標準合併驗證。原則上,ISO 27001的要求與其他ISO標準(如ISO 9001ISO 14001)的要求相同。DQS可以確保將ISO 27001整合到現有的多標準流程中,即與其他標準進行合併外部稽核。

與TISAX相比,ISO 27001的優勢是什麼?

TISAX®(可信資訊安全評估交換)是專門為汽車產業制定的產業標準,並根據產業的實際需求量身訂制。TISAX®評估的基礎是VDA資訊安全評估(VDA ISA)測試目錄,除其他之外,它基於ISO 27001或ISO 27002的要求,並將其擴展到包括原型保護或資料保護等主題。

可以在我們的TISAX®驗證項目頁面找到更多有價值的知識。

TISAX®的目的是確保供應鏈中所有階段的全面(資訊)安全。此外,在資料庫中註冊簡化了相互承認識別的流程。然而,TISAX®只在汽車產業得到認可。其他產業的客戶可能只認可ISO 27001作為ISMS的證明。

DQS - 能為您做什麼

DQS是稽核和驗證專家--為管理系統和流程進行稽核和驗證。憑借超過35年的經驗和全球2500名稽核員的專業知識,我們是 貴公司合格的驗證合作夥伴,為所有ISO 27001問題提供答案。

我們根據大約200個公認的標準和法規以及公司和協會的實際標準進行稽核。我們是第一個在2000年12月獲得BS 7799-2(ISO/IEC 27001的前身)認證的德國驗證機構。這種專業知識仍然是我們在全球成功故事的展現。

我們很樂意回答 貴公司的問題

需要做多少工作才能使 貴公司的ISMS獲得ISO 27001的驗證?免費、無須負擔任何義務地獲得資訊。

我們期待著與 貴公司交流。

顯示更多
較少顯示

資訊安全與資訊技術安全

資訊安全與資訊技術安全

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001附錄A:員工的職責和角色

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

IT安全與資訊安全--有什麼區別?

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

資訊安全的標準--概述

TISAX(汽車產業的資訊安全)

TISAX(汽車產業的資訊安全)。

Blog
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - 重要問題的答案

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

汽車網路安全:新的強制性法規

資訊安全標準

ISO/IEC 2700x系列是國際公認的一系列標準,用於導入整體的資訊安全管理系統。其核心是ISO/IEC 27001,它包含了鑑別、評估和管理資訊處理操作風險的可驗證要求。

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

資訊安全的標準--概述