ISO 27001 實務案例 — ENTERBRAIN 德國軟體公司

內容

• ISO 27001 實務案例研究 - ENTERBRAIN 德國軟體公司
• ISO 27001 的正面實務經驗
• 資訊安全是成功和信任的基礎
• Christian Korner 營運總監訪談
• 未來資安發展計畫和 ISO 27001:2022
• ENTERBRAIN 從 ISO 27001 學到的經驗與教訓 - 結論

ISO 27001 實務案例研究 - ENTERBRAIN 德國軟體公司

ENTERBRAIN Software GmbH 總部位於德國奧芬巴赫，是歐洲領先的募資軟體供應商之一。該組織的軟體解決方案支持非營利組織管理其捐款和成員。除此之外，這些軟體解決方案用於管理個人資料和支付詳細資訊。保護這些機密資訊及其完整性和可用性是軟體提供者及其客戶的首要任務 - 即使在法律方面也是如此。

資訊安全管理系統已通過驗證，自 2019 年起符合 ISO 27001，為此提供了全面的實行架構。它確保資訊的機密性、完整性和可用性 —— 這三個資訊安全保護目標。建立完成的管理系統清楚定義了具有約束力的流程、角色和權限，系統化地降低了資訊安全風險，同時與客戶和業務合作夥伴建立了信任。

ISO 27001 的正面實務經驗

得益於積極使用管理系統以及相關的持續威脅分析和評估，ENTERBRAIN 在資訊安全和資料保護領域佔據著非常有利的地位。本公司內有關於所有保護對象的全面文件。除此之外，還制定了適用的指南、技術指示和組織規則來彌補安全漏洞。

系統化方法為彌補安全漏洞所需的威脅和流程創造了良好的透明度。定期的意識培訓課程使公司所有員工認識到資訊安全的重要性。

實務證明，資訊安全管理系統已經多次證明了其價值。特別感謝定期的員工培訓。例如，2020 年，該組織阻止了新版本 Emotet 病毒的傳播。

* Emotet = 透過電子郵件傳送的電腦惡意軟體（巨集病毒）系列

由於服務人員及早發現了威脅，才避免了最壞的情況。當時市場上的任何病毒掃描軟體解決方案都無法檢測到新的病毒變種。

在事件發生期間，ENTERBRAIN 收到了一封來自客戶的受感染電子郵件，該郵件最初由員工打開，並立即報告了該事件。於是，緊急應變小組立即啟動，並依照公司安全應變手冊處理了這起事件。由於該員工反應迅速、認真負責，受影響的電腦被隔離，病毒無法在內部網路中傳播。一家 IT 取證公司被請來對病毒變種和網路進行額外調查並提供支援。

資訊安全是成功和信任的基礎

對於募款軟體供應商及其客戶來說，遵守法規是商業活動的重要組成部分。遵守資料保護以及所有公司員工的合規行為是與客戶和合作夥伴建立信任合作的基礎。由於這些要求，該公司提供的所有服務均根據國際認可的 ISO 27001 標準獲得驗證。

儘管對所有服務進行全面認證比對單一業務部門進行認證要複雜得多，但更高級別的資訊安全會為公司帶來回報。一方面，這意味著所有業務部門都已具備資訊安全管理及其所有優勢；另一方面，ENTERBRAIN 相對於其他沒有導入 ISO 27001 資訊安全管理的競業相比也享有競爭優勢。

此外，合規性主題的重要性日益凸顯，因此許多組織也要求與獲得 ISO 27001 認證的公司合作。

所獲得的透明度為公司提供了流程優化的絕佳起點，從而提高了客戶滿意度和公司內部效率。業務關鍵流程和領域也被明確定義，並且可以透過有針對性的風險最小化變得更加安全。

Christian Körner 訪談紀錄

ENTERBRAIN Software GmbH 營運主管

資訊安全管理系統的好處是一回事。然而，對於驗證的執行和附帶的年度監督稽核，公司必須依賴相關的驗證機構一起合作來達成。在這次訪談中，Christian Körner 談到了他使用 ISO 27001 的經驗。

DQS：Körner 先生，您最初從事資訊安全行業，開發了一套專門針對中小企業的系統。當轉向 ISO 27001 標準時，需要進行全面升級 —— 考慮到中小企業面臨的巨大網路威脅，今天是否仍推薦這種方法？

Christian Körner: ENTERBRAIN 很早就將重點放在資安上，並發揮了領頭作用。在我們的行業中，資訊安全是成功和信任的基礎。在數位轉型加速的過程中，這個主題變得越來越重要。

根據我們的實務經驗和日益增加的網路威脅，我們現在建議直接從 ISO 27001 驗證開始。關於驗證流程的優勢是發現任何潛在的安全風險，這些風險可以透過獲得透明度來消除或至少最小化。這對公司的資訊安全有很大貢獻。

DQS：透過 ISO 27001，您已經為公認的管理系統奠定了基礎 - 您還記得與 DQS 的第一次驗證稽核嗎？

Christian Körner：在我們首次進行 ISO 27001 認證期間稽核 2019 年，公司裡每個人都相當緊張。儘管我們當時已經從第一個資訊安全管理系統的驗證中累積了經驗，但 ISO 27001 仍是獨一無二的。

事後看來，當我們回想起第一次 ISO 27001 驗證時，不禁會心一笑。一方面，我們當時對 ISO 標準已經做好了非常充分的準備；另一方面，作為一家公司，我們只能從驗證過程中學習，因為任何不合格情況 DQS 都會透明地向我們展示改進的潛力。

畢竟，我們的目標是確保並提高資訊安全。因此，我們始終歡迎有關優化我們流程的資訊和建議。對於任何尚未獲得驗證的組織，我只能推薦這一點。 ISO 27001 驗證不應基於對證書的渴望，而應基於對當今公司資訊安全巨大重要性的理解。

DQS: 在後續的監督稽核中，您是否從我們的稽核員那裡收到有關改進潛力的任何有用且可操作的建議？

Christian Körner: 對我們來說，監督稽核是驗證和持續優化的重要組成部分，因為與稽核員的直接交流為實施提供了寶貴的信息，這對我們來說是一個巨大的豐富。同時，我們也受益於稽核員在過去幾年中全面的 IT 知識和對系統的理解。他是我們的一位經驗豐富的訓練夥伴，他對流程有著深入的了解，並會評估到我們公司的規模來做設計。

DQS：您現在已經成功完成了第一次重新驗證，並且很快就會切換到新版本，即 ISO/IEC 27001:2022 - 您是否已經針對此改版與 DQS 進行聯繫？

Christian Körner: 是的，我們已經與 DQS 聯繫了幾個月，正在為轉換做準備。我們也正在協調可能的「隱私資訊管理系統」擴充。

DQS：在合作方面，DQS 還有什麼可以改進的嗎？

Christian Körner: 我們對這次合作非常滿意。這很大程度上要歸功於經驗豐富的稽核員，他的評估為我們持續改善系統提供了極大的支持。

DQS： Körner 先生，感謝您的愉快交談，祝您順利轉換到新的 ISO/IEC 27001:2022 版本。

未來資安發展計畫和 ISO 27001:2022 標準

ISO 27001 是國際公認的資訊安全標準，於 2005 年首次以英文發布。該標準於 2013 年進行了修訂，是首批轉換為當時新版本的主要 ISO 管理系統標準之一高階結構這使得它現在可以更輕鬆地整合到現有的 ISO 管理系統中。 2022 年進行了進一步修訂，重點是使標準適應最新的資訊科技水準。

ENTERBRAIN 並不期待任何關於轉換的意外新的 ISO 27001:2022相反，該公司對修訂表示歡迎，因為資料保護和網路安全領域將特別加強。

目前，該公司正在分析新措施和要求，並將其與公司具體的流程和情況進行比較。然後將對中期結果進行評估，以確定實施的必要性 - 特別是針對附件 A 中的 93 項控制措施，其中一些是新的。

ENTERBRAIN 吸取的 ISO 27001 經驗教訓 - 結論

事實證明，依照 ISO 27001 實施資訊安全管理系統是加強 ENTERBRAIN 公司安全策略的決定性一步。通過 ISO 27001 驗證獲得的經驗強調了整體方法的重要性，這種方法不僅包括技術措施，還包括組織措施。

ISO27001 驗證不僅改善了安全基礎設施，而且大大提高了客戶和合作夥伴的信任。員工們更加意識到資訊安全的重要性，從而在整個公司中形成了安全文化。儘管實施過程中面臨挑戰，但正面影響顯然大於負面影響。

從 ISO 27001 的經驗中得出的結論很明確：認證不僅僅是一張證書——它是一個持續的過程，使公司更能抵禦威脅並提供明顯的競爭優勢。

專業與信任

我們經驗豐富的審計師對人員、流程、系統和結果的影響表明您的資訊安全管理系統的有效性以及如何實施和控制。對我們來說，重要的是您能感受到認證依照 ISO 標準進行測試並不是為了測試，而是為了豐富您的管理系統。

我們的審計為您提供清晰度。我們的客戶將此視為一個機會。對他們來說，獨立審計員對改善潛力和可能風險的回饋與 DQS 證書一樣有價值，可以證明他們的品質能力。為了確保這一點，我們嚴格注重誠信和客觀性 - 您可以在我們的網站上閱讀更多相關訊息的稽核哲理  

在審計中，我們特意詢問“為什麼”，因為我們想了解您選擇特定實施方式的原因。我們專注於改進的潛力並鼓勵改變觀點。透過這種方式，您可以認識到可以不斷改進管理系統的行動選項。相信我們的話。

請注意：我們的文章完全由我們的標準專家為管理系統和長期審計員撰寫。如果您對作者有任何疑問，請接觸我們。我們期待與您交談。