工業4.0,即所謂的第四次工業革命,代表了開發、生產、物流和客戶的智慧型通訊網路。它代表了大量的資訊和資料,這些資訊和資料往往對組織具有存在的價值。保護其可用性、完整性和保密性是一項核心任務。資訊安全包括所有有助於了解到現有風險、鑑別它們並採取適當和合適的措施來保護它們。

資訊安全 - 關於ISO 27001的問與答

由於資訊處理的安全性不足,僅德國經濟每年就遭受數十億歐元的損失。造成這種情況的原因很複雜,從外部干擾、技術錯誤、工業間諜到前員工的濫用資訊。但只有那些認識到挑戰的人也能採取適當的措施。符合國際公認的ISO 27001標準的結構良好的資訊安全管理系統是有效實施整體安全戰略的最佳基礎。這意味著什麼意思、需要考慮什麼?請在此處獲得有關ISO 27001的重要問與答。

內容

  • 什麼是資訊安全?
  • 資訊安全的保護目標是什麼?
  • 什麼是資訊安全管理系統?
  • ISO 27001對哪些組織有用?
  • 資訊安全管理系統有什麼好處?
  • 人的角色作用是什麼?
  • ISO 27001 - 關於介紹的問題
  • 為什麼要進行ISO 27001驗證?
  • DQS - 能為 貴公司做什麼

什麼是資訊安全?

從資訊安全的國際標準系列ISO 2700x來看,這個問題的答案很簡單:

"資訊是對組織有價值的資料"。

ISO/IEC 27000:2020-06:資訊技術-安全技術-資訊安全管理系統-概論和詞彙

資訊是一種資產,不應該落入未經授權的人手中,這就需要適當的保護。

因此,資訊安全與保護公司的資訊資產有關。這裡的決定性因素是要意識到公司範圍內存在的風險,或發現這些風險,並根據需要採取適當的措施來應對這些風險。

"資訊安全不是資訊科技(IT)安全"

資訊科技(IT)安全僅指所部署技術的安全,而不是指要保護的企業資產。組織方面的問題,例如存取授權、責任或批准流程,以及心理方面的問題,在資訊安全方面也有著至關重要的作用。然而,安全的資訊技術也保護了公司的資訊。

資訊安全的保護目標是什麼?

根據國際標準ISO/IEC 27001,資訊安全的保護目標包括三個主要方面:

  • 保密性- 保護機密資訊免遭未經授權的存取,無論是出於資料保護法的原因,還是基於商業秘密的原因,例如:商業秘密法。這裡關係到的是保密性的層級。
  • 完整性- 將任何風險降到最低,確保所有資料和資訊的完整性和可靠性。
  • 可用性- 確保對資訊、建築物和系統的授權存取和可用性。這對維護流程是至關重要。

根據ISO 27001驗證的資訊安全

使用符合國際標準的管理系統保護 貴公司的資訊 ✓ DQS提供超過35年的驗證經驗 ✓

  • 您可以在ISO 27001 介紹上找到更多有價值的知識。

關於資訊安全的關鍵問題

  • 公司的價值觀是什麼?
  • 哪些公司的價值觀需要得到保護?
  • 公司的資產會面臨哪些攻擊?
  • 誰有興趣保護這些資訊?
  • 什麼是適當的措施?

什麼是資訊安全管理系統?

根據ISO/IEC 27001,資訊安全管理系統(ISMS)定義了准則、規範和方法,以確保組織中值得保護的資訊的安全。它提供了一個導入、實施、監測和改善保護水準的模型--按照ISO 9001中熟悉的PDCA循環(計劃-執行-檢查-行動)的系統流程。

其目的是鑑別和分析潛在風險,並透過適當的措施使其得以控制。

寶貴的知識 

實施ISO 27001 

我們的稽核指南 ISO 27001 - 附件 A 由領先的專家撰寫,作為實用的實施指南,能更好地瞭解選定要求的理想選擇。 該指南基於 ISO/IEC 27001:2017。

您可以在 DQS 稽核指南 ISO 27001 - Annex A 找到更多訊息。

為什麼資訊安全管理很重要?

成功的組織利用現代管理系統的結構和透明度來檢測威脅並針對當代安全系統的部署。資訊安全管理系統的核心是自身的資訊資產的安全,如智慧財產權、財務和人事資料,以及客戶或第三方委托的資訊。

"資訊安全始終意味著保護有價值的重要資訊或資料"。

值得保護的資料所面臨的風險有很多。它們可能來自物質、人為和技術的安全威脅。但是,只有ISMS整體的、預防性的管理系統方法才能解決整個威脅並確保公司的營運永續性。

ISO 27001對哪些組織有用?

這個問題的答案很簡單:對所有的人。ISO 27001基本上可以應用於所有組織,無論其類型、規模和產業如何。而且:所有組織都能受益於結構化管理系統的優勢。ISMS的實施受到以下因素的影響:

  • 需求和營運目標
  • 安全需求
  • 應用的營運流程
  • 組織的規模和結構

資訊安全管理系統有什麼好處?

這是一個重要的問題。ISO 27001制定了系統設計和實施面向流程的資訊安全管理系統的要求。透過這種整體的方法可以獲得決定性的優勢

  • 敏感資訊的安全成為公司流程中不可或缺的一部分
  • 對資訊的保密性、可用性和完整性的保護目標進行預防性保護
  • 透過不斷提高安全等級來保持營運永續性
  • 提高員工意識並明顯提高公司各層級的安全意識
  • 建立有效的風險管理流程
  • 透過對敏感資訊明顯的安全處理,與相關各方建立信任(如投標)。
  • 遵守相關的合規要求,提高行動安全性和法律確定性

如何管理潛在的風險?

安全風險可能來自物質、人為和技術威脅。為了在組織中實現可追溯和適當的安全等級,需要確定的風險管理流程或方法來執行風險評估、風險處理和風險監控。ISO/IEC 27005對資訊安全風險管理提供了良好的指導。

人扮演什麼角色?

人也是一個風險因素,因為敏感資訊的處理毫無例外地影響到公司的所有員工和合作夥伴。無論是無知還是人為錯誤,他們都會增加安全風險,。但只有極少數組織會規範誰可以存取哪些資訊,以及如何處理這些資訊。

"新的權力來源不再是少數人手中的金錢,而是多數人手中的訊息"。John Naisbitt,*1929,美國。未來學家

因此,具有約束力的法規和對所有資訊安全問題的明確認知是一個基本的先決條件。調整公司政策或制定合適的資訊安全政策在此被認為是至關重要的。對所有(管理)等級的員工進行必要的宣導是老闆的事情,例如可以透過訓練課程、研討會或個人討論的方式執行。

閱讀提示: 資訊安全事件:員工是成功因素  

ISO 27001 - 實施問題

關於公司是否必須已導入一個管理系統,例如符合ISO 9001,這問題可以清楚地回答“否”。ISO 27001是一個通用標準,和所有的管理系統標準一樣,是獨立存在。這意味著組織可以在任何時候建立和實施資訊安全管理系統,並且獨立於任何現有的結構。

然而,擁有符合ISO 9001品質管理系統的公司已經為逐步導入全面的資訊安全奠定了良好的基礎。

在其結構和方法上,ISO 27001是基於所有面向流程的管理系統標準的強制性基本結構,即高階結構。因此,這為 貴組織提供了將資訊安全管理系統輕松整合進現有管理系統的可能性。同樣,根據ISO 27001ISO 20000-1(IT服務管理)或ISO 22301(營運永續性管理)由DQS執行合併驗證也是可能的。

哪些文件可以協助導入?

導入資訊安全整體管理系統的首選基礎是國際ISO/IEC 2700x系列標準。它的目的是支援所有類型和規模的組織實施和運行ISMS。組織內部的執行程度可以通過內部稽核的方式來檢查。

該標準系列的有用組成部分是

  • ISO/IEC 27000:2018:資訊技術 - 安全技術 - 資訊安全管理系統 - 概論和詞彙
  • ISO/IEC 27001:2013:資訊技術 - 安全技術 - 資訊安全管理系統 - 要求 (該標準的新版本於 2022年10月發佈,之後將發佈更多訊息)
  • ISO/IEC 27002:2022 :  資訊安全、網路安全和隱私保護 - 資訊安全控制。 ISO 27002 定義了廣泛的一般安全措施目錄,旨在幫助組織實施 ISO 27001 附件 A 中的要求
  • ISO/IEC 27003:2017:資訊技術 - 安全技術 - 資訊安全管理系統-指南
  • ISO/IEC 27004-2016:資訊技術 - 安全技術 - 資訊安全管理-監控、測量、分析和評估
  • ISO/IEC 27005:2018:資訊技術 - 安全技術 - 資訊安全風險管理

所有條文都可以從ISO網站上獲得。

ISO 27001 - 關於IT安全專員的問題?

ISO 27001是否需要一個IT安全專員?答案為 "是"。

資訊安全管理系統中的一項任務是由最高管理階層任命一名IT安全專員。IT安全專員是所有IT安全問題的聯絡人。他或她應該整合入所有的ISMS流程中並與IT經理密切聯絡--例如,在選擇新的IT零件和IT應用程式時。

實施ISO 27001驗證

DQS 稽核指南 (根據ISO 27001:2013)

從附件 A 中選定控制的良好稽核問題和從可能的證據中受益。

來自該領域的專家

它不僅僅是一個清單! 在此下載

為什麼要進行ISO 27001驗證?

基於認可程序的驗證證明已執行了管理系統和措施,以有系統地保護資訊資產。有了ISO 27001 證書,可以 "白紙黑字 "地證明已經成功地建立了這個系統並致力於持續改善

DQS證書在全球享有盛譽,它是中立評估的明顯展現,並加強了對 貴公司的信心。這是一個市場優勢,在投標和對安全至關重要的客戶業務中提供了良好的先決條件,如金融服務供應商。

ISO 27001 - 關於驗證流程的問題

所有由認可的驗證機構(如 DQS)根據國際法規 (ISO 17021) 評估的管理系統都必須經過相同的驗證流程

初次驗證包括系統分析(第1階段稽核)和系統稽核(第2階段稽核),稽核員在現場驗證整個系統是否正常執行,以及是否符合所有要求。然後,該證書的有效期為3年。

為了能夠保證整個證書期間的有效性,必須每年對管理系統進行檢查。因此,在證書頒發後的第一年和第二年,DQS稽核員會進行簡短的ISMS稽核(年度追查),例如,他們會考慮關鍵系統組成或矯正和預防措施的有效性。然後在三年後進行重新驗證。

已經有一個現有管理系統的公司應該合併稽核項目,並尋求對其綜合管理系統(IMS)的合併驗證。

多標準合併驗證是否可行?

擁有多場址的公司可以進行多標準合併驗證。原則上,ISO 27001的要求與其他ISO標準(如ISO 9001ISO 14001)的要求相同。DQS可以確保將ISO 27001整合到現有的多標準流程中,即與其他標準進行合併外部稽核。

與TISAX相比,ISO 27001的優勢是什麼?

TISAX®(可信資訊安全評估交換)是專門為汽車產業制定的產業標準,並根據產業的實際需求量身訂制。TISAX®評估的基礎是VDA資訊安全評估(VDA ISA)測試目錄,除其他之外,它基於ISO 27001或ISO 27002的要求,並將其擴展到包括原型保護或資料保護等主題。

可以在我們的TISAX®驗證項目頁面找到更多有價值的知識。

TISAX®的目的是確保供應鏈中所有階段的全面(資訊)安全。此外,在資料庫中註冊簡化了相互承認識別的流程。然而,TISAX®只在汽車產業得到認可。其他產業的客戶可能只認可ISO 27001作為ISMS的證明。

DQS - 能為您做什麼

DQS是稽核和驗證專家--為管理系統和流程進行稽核和驗證。憑借超過35年的經驗和全球2500名稽核員的專業知識,我們是 貴公司合格的驗證合作夥伴,為所有ISO 27001問題提供答案。

我們根據大約200個公認的標準和法規以及公司和協會的實際標準進行稽核。我們是第一個在2000年12月獲得BS 7799-2(ISO/IEC 27001的前身)認證的德國驗證機構。這種專業知識仍然是我們在全球成功故事的展現。

我們很樂意回答 貴公司的問題

需要做多少工作才能使 貴公司的ISMS獲得ISO 27001的驗證?免費、無須負擔任何義務地獲得資訊

我們期待著與 貴公司交流。

顯示更多
較少顯示

組織的資訊安全

數位化的進展推動了生產、貿易和服務的全球化。日益強大的資訊技術在資訊安全方面給公司帶來了重大挑戰。在這種情況下,不僅要有效地保護自己的專有技術,而且要透過有效執行的資訊管理系統來符合客戶的要求和加強競爭力。

Blog
Mixing console in a recording studio with sliders at different heights
Loading...

ISO 27001 - 資訊安全中的配置與管理

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Experiences of aLIVE-Service GmbH with the ISMS standard

whitepaper-dqs-mann-liest-auf-einem-ipad
Loading...

ISO 27001稽核指南

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

企業資訊安全:Mubea慕比亞集團的案例研究

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

資訊安全事件:員工是成功的因素

資訊安全與資訊技術安全

資訊安全與資訊技術安全

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

資訊安全的標準--概述

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Information security protection goals and their significance

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

IT安全與資訊安全--有什麼區別?

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001附錄A:員工的職責和角色

資訊安全和資料保護

資訊安全和資料保護

Blog
neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale
Loading...

新的ISO/IEC 27001:2022--主要變更

whitepaper-dqs-mann-liest-auf-einem-ipad
Loading...

ISO 27701 資料保護管理系統

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Data protection and information security - with ISO 27001 and ISO 27701

資訊安全與風險管理

資訊安全與風險管理

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Vulnerability management in the context of ISO 27001

TISAX(汽車產業的資訊安全)

TISAX(汽車產業的資訊安全)。

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

VDA ISA目錄5.1:TISAX®評估的現行基礎

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

汽車網路安全:新的強制性法規

whitepaper-dqs-mann-liest-auf-einem-ipad
Loading...

TISAX® - 如何在評估開始時做好充分準備

Blog
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - 常見問題

資訊安全標準

ISO/IEC 2700x系列是國際公認的一系列標準,用於導入整體的資訊安全管理系統。其核心是ISO/IEC 27001,它包含了鑑別、評估和管理資訊處理操作風險的可驗證要求。

Blog
iso27002-aenderungen-dqs-ein code aus buchstaben und zahlen
Loading...

Revision of ISO 27002 - These are the changes

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

資訊安全的標準--概述