現今邁向數位化時代,最重要的是必須保護和保存具有商業價值的各種資訊。對於企業組織來說,這也意味著除了數據資料的保護之外,資訊安全是絕對有重視的必要。好消息是,根據 ISO 9001 認證的標準,公司品質管理系統已經在逐步引入全面的資訊安全上面建立了良好的基礎。
Loading...
資訊安全的議題並不新鮮。組織中的龐大信息環境所面臨的威脅早已為人所知。根據德國聯邦資訊安全辦公室(BSI)於 2019 年 4 月發布的「網絡安全調查」,43% 的大型公司在 2018 年報告遭受過網路安全事件的影響。
對於中小型企業,這個比例為 26%。根據德國聯邦資訊安全辦公室(BSI)2021 年發布的「德國 IT 安全形勢報告」,網絡犯罪案件再次大幅增加。在 2020 年 6 月 1 日至 2021 年 5 月 31 日的報告期間,不僅新惡意軟件變體增加了 22%(約 1.44 億個),而且攻擊的質量也大幅提升。在此過程中,許多犯罪者利用許多公司和人們因新冠疫情而面臨的困境。
然而,公司機密資訊的安全性仍然被忽視。在處理和存儲資訊時,往往缺乏謹慎和深思熟慮。對數據盜竊和類似事件的後果的意識也遠未普遍得到充分發展。在某些地方,公司也不願意投資所需的時間和精力來有效保護其敏感資訊。
逐步提升資訊安全
然而,數據安全所需的努力不必如此巨大。好消息是,許多公司不必一次性實施全面的資訊安全管理系統。另一方面,對於關鍵基礎設施(CRITIS),這是德國 IT 安全法所要求的。
逐步的方法也是可行的。這也表示,第一步至少是在擁有符合 ISO 9001 的品質管理(QM)系統的公司中,可以去更新優化原本強制要求的風險導向的作法——並且著眼於資訊安全 ISO 27001 標準上的相關要求。
Loading...
ISO 9001 and ISO 27001 認證:在數位化時代下的應用
是否對這次的主題有興趣?DQS 提供電子白皮書供您下載!
內容涵蓋:
品質管理需要多少紙張?
如何有效地保護文件化的資訊。
ISO 27001:數位化的安全基礎
次白皮書是根據 ISO 27001:2013 版本內容撰寫
資訊安全與品質管理
ISO 27001 與 ISO 9001:兩者的關係是什麼?首先,我們必須指出,ISO 9001 品質管理標準在整個範圍內要求風險導向的做法。然而,這項管理系統要求的實施主要由您的企業組織決定。例如,品質管理並不要求額外的風險評估過程,然而在資訊安全方面,這點確是基本中的基本。
針對品質管理方面的問題進行風險評估,這部分可以輕鬆被複製及延伸到資訊安全的範圍
針對以上,了解 ISO 27001 在資訊安全管理系統(ISMS)方面識別和處理安全風險的要求是對你絕對有幫助的。品質管理系統的使用者可以在合理的努力之下實施絕大多數的面向——請注意,這是邁向整體資訊安全的第一步。
資訊安全- 潛在風險與機會
兩個國際標準,ISO 27001 針對資訊安全和 ISO 9001 針對品質管理,在第 6.1 章「應對風險和機遇的措施」中有處理相關主題。本質上,目標是在管理系統中確保三個基本面向:
- 達成組織的預期結果
- 預防或減少不良影響
- 透過遵守特定標準達成持續改善
針對資訊安全,這些主要是保護三大基本目標
- 機密性的失去
- 資訊的可信度
- 資訊的可用信
ISMS 標準 ISO 27001 規定了以下要求(第 6.1.1 節):
- 確定風險和機會
- 規劃措施以應對所識別的風險和機會
- 計劃如何將這些措施整合到公司流程並實施
識別與應對潛在風險
ISO 27001 的下一個小節(6.1.2)要求建立和應用資訊安全風險評估過程。該過程必須確立並維持資訊安全風險標準。這特別包括風險接受度的條件和資訊安全風險評估的效益。
根據 ISMS 標準的要求,過程必須確保「重複的情報安全風險評估產生一致、有效且可比較的結果」。在考慮到第一步的情況下,以下子項目可能很重要:
- 識別資訊安全風險
- 分析資訊安全風險
- 評估資訊安全風險
第 6.1.3 節中的標準要求建立並應用過程來解決資訊安全風險,以達到以下目的:
- 根據風險評估的結果選擇適當的選項以解決安全風險
- 確定實施選定選項解決安全風險所需的所有行動
- 將所定義的措施與 ISO 27001 附錄 A 中規定的控制措施進行比較(目標行動
- 編寫適用性聲明,說明(未)納入附錄 A 中的控制措施的原因
- 制定安全風險處理計劃
- 從風險所有者處獲得對該計劃的批准和接受
Loading...
ISO 27001 附錄 A 提供的指導方針
知名管理系統標準 ISO/IEC 27001 的附錄 A 具有明確的規範性特徵。它可以被理解為一種包含 93 個可能的信息安全控制的清單,重點關注以下四個主題:
A.5 組織控制(37 個控制面向)
A.6 個人控制(8 個控制面向)
A.7 實體控制(14 個控制面向)
A.8 技術控制(34 個控制面向)
組織可以使用 ISO 27001 附錄 A 來確保是否有忽略任何處理資訊安全風險的基本項目。然而,它並不是徹底詳盡的。
資料來源: ISO/IEC 27001:2022
閱讀訣竅:
可以參閱我們的另一篇部落格文章 Annex A of ISO 27001:
利用我們獨家提供的 ISO 27001 附錄 A 稽核指南,了解企業組織員工的職責和角色,並獲得實用的相關稽核知識!
此篇內容均根據 ISO 27001:2013 撰寫
資訊安全與品質管理——最好的作法是什麼?
ISO 27001 要求兩個單獨的過程來評估和處理資訊安全風險。然而,針對第一步,這部分是可以整合成一個過程,如果能夠延伸品質管理的風險評估到上述要求的資訊安全面相。這兩個標準因此為實施資料保護和 IT 安全性的保護措施奠定了良好的基礎。
ISO 27001 vs. ISO 9001: How in-depth the aforementioned process ultimately addresses each requirement depends directly on the complexity of your organization's information landscape and the data that requires protection. Either way, it is advisable to have its effectiveness verified in an external audit. This is advisable, for example, in the course of a certification audit of your quality management system in accordance with ISO 9001, which is planned anyway.
ISO 27001 與 ISO 9001:上述的建立過程最終要如何深入處理每個要求,會直接取決於企業組織的資訊儲存環境的複雜性,以及需要被保護的數據資料的狀況。不管怎麼樣,我們會建議在外部稽核的過程中驗證上述的有效性。例如,例如在您原先就計劃的 ISO 9001 的品質管理系統認證稽核過程中加入這些面向。
資訊安全搭配上品質管理—有哪些好處?
- 一個從根本上審視資訊安全風險的過程可以作為邁向符合 ISO/IEC 27001 的整體資訊安全管理系統的第一個重要步驟。
- 通過實施的過程,高層管理人員在各個層面上增強了對資訊和數據資料安全(數據保護)的意識。
- 在有針對性地考慮資訊安全風險的情況下,公司有機會發現需要採取具體行動的改善面向,並採取適當的措施(參考 ISO 27001 附錄 A)。
- 將風險評估延伸到資訊安全領域,例如作為品質管理的一部分,而強化了公司整體風險導向的品質管理作法。
- 為了實施和測試效果所需的預算和人力資源都可以控制在合理範圍。
DQS: Simply leveraging Quality
在動態發展和平衡的權衡之間,經過國際標準認證的管理系統變得越來越重要——身為國際頂尖的第三方認證機構,DQS 正面看待這些未來商業發展趨勢。許多成功的公司和企業組織利用我們提供的稽核結果來不斷改進他們的商業績效,他們還使用我們全球核可的證書作為其品質能力的客觀證據。這在企業組織內部和外部都創造了市場的信任。
Loading...
專業與信任
我們的文章和各類型內容均由內部的認證與標準專家或擁有多年經驗的稽核員所獨家撰寫。如果您對內容或我們的產品服務有任何疑問與反饋,請隨時與我們聯繫。
DQS 電子報
隨時了解並訂閱我們的電子報!
作者
André Saeckel
在DQS擔任資訊安全管理的product manager。作為資訊安全和IT安全目錄(關鍵基礎設施)領域的標準專家,André Säckel負責以下標準和產業特定標準等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽車產業的資訊安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作組的成員,作為德國標準化研究所DIN的國家代表。
Loading...