datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Podniková informační bezpečnost: Případová studie skupiny Mubea

André Saeckel

Expert DQS pro standard informační bezpečnosti
pro 06 , 2022
# Bezpečnost informací v organizaci

 

Pevné informační zabezpečení dnes přináší firmám mnohem více výhod než jen zabezpečení technické infrastruktury. V současné době na něm významně závisí celé obchodní procesy - ať už jde o bezpečné nakládání s citlivými údaji nebo jejich zpracování v souladu s právními předpisy. Proto tento pojem nyní zahrnuje ochranu celého toku informací. Dodavateli pro automobilový průmysl, společnosti Mubea, se podařilo standardizovat zabezpečení informací v deseti evropských zemích prostřednictvím certifikace DQS podle normy ISO 27001, čímž si vytvořil dobrou pozici vůči konkurenci. Potenciální IT rizika a nakládání s důvěrnými informacemi byly pečlivě zkoumány a neustále zdokonalovány a rozvíjeny.

OBSAH

Bezpečnost informací v deseti zemích přináší konkurenční výhody

Globalizace představuje pro mnoho společností obrovskou výzvu, pokud jde o bezpečnost informací. Infrastruktura a právní předpisy se v jednotlivých zemích v některých případech masivně liší. Přesto jsou globálně působící společnosti povinny všude odhalovat zranitelná místa a zavádět vhodná ochranná opatření. Digitalizace obchodních procesů přesahující hranice států totiž vyžaduje od všech zúčastněných stran srovnatelnou úroveň zabezpečení IT, která musí být zaručena v celém hodnotovém řetězci.

Také v automobilovém průmyslu je bezpečnost dat a informací vyžadujících ochranu stále důležitější, pokud jde o mezinárodní spolupráci mezi různými lokalitami, dceřinými společnostmi nebo poskytovateli služeb. Dodavatel pro automobilový průmysl, společnost Mubea, čelil velké překážce, když chtěl zvýšit úroveň zabezpečení IT na stejnou úroveň v deseti zemích s celkem 20 dceřinými společnostmi.

Bezpečnost podnikových informací ve firmách - výhoda, které zákazníci věnují pozornost

Specialista na lehké konstrukce pro karoserie, podvozky a hnací ústrojí se před lety začal podrobně zabývat informační bezpečností: "Naši zákazníci toto téma stále více ukotvují ve svých nákupních podmínkách. A abychom si udrželi dobrou pozici mezi konkurencí, chtěli jsme jednat rychle," uvádí Christiane Habbel, vedoucí oddělení IT - Information Security & Compliance ve společnosti. To však nebyl jediný důvod: "I tak se snažíme neustále zlepšovat náš systém řízení bezpečnosti informací a zvyšovat citlivost našich zaměstnanců k tomuto tématu. Proto jsme se v roce 2017 rozhodli nechat provést certifikaci podle uznávané normy ISO 27001. To nám v tomto úsilí velmi pomáhá," říká Habbel.

ISO 27001 - Certifikace přináší výhody

ISO 27001 je mezinárodní norma pro bezpečnost informací pro soukromé, veřejné nebo neziskové organizace. Norma popisuje požadavky na vytvoření, zavedení, provoz a optimalizaci dokumentovaného systému řízení bezpečnosti informací (ISMS). Certifikace je vždy přizpůsobena podmínkám dané společnosti a zohledňuje individuální specifika.

ISO 27001 v praxi

Průvodce auditem DQS pro přílohu A (na základě normy ISO 27001:2013)

Využijte dobrých otázek pro audit a možných důkazů k vybraným opatřením.

Od odborníků v oboru.

Více než jen kontrolní seznam. Stáhněte si nyní.

Kromě tématu bezpečnosti informací se norma zabývá zejména analýzou a zvládáním souvisejících rizik. Podnikům tak nabízí systematicky strukturovaný přístup k ochraně integrity provozních dat a jejich důvěrnosti. Zároveň zajišťuje dostupnost informačních systémů zapojených do podnikových procesů. Certifikáty podle celosvětově uznávaného standardu mají zpravidla tříletou platnost. S ohledem na neustálé zlepšování a trvalou účinnost systému řízení se však každoročně provádí monitorovací audit.

TISAX® - Hodnocení pro automobilový průmysl

Je pravda, že TISAX® (Trusted Information Security AssessmentExchange), standard pro bezpečnost informací definovaný automobilovým průmyslem, existuje od roku 2017, a je tak další možností certifikace, kterou nyní mnozí výrobci a dodavatelé v automobilovém průmyslu vyžadují od obchodních partnerů. TISAX® je však evropským standardem pro tento průmysl a není zatím zaveden celosvětově.

"To pro nás nebylo dostatečně daleko," připomíná Habbel. Proto se společnost se sídlem v Attendornu původně rozhodla pro certifikaci ISO 27001, aby získala konkurenční výhodu v oblasti bezpečnosti informací.

TISAX®: Dobré plánování pro úspěšné hodnocení

Stojíte před úkolem splnit požadavky automobilového průmyslu z hlediska bezpečnosti informací? Pak byste měli učinit některá důležitá rozhodnutí v předstihu před posouzením TISAX®. Naše bezplatná bílá kniha vám poskytne návod.
 

Dobré informace pro dobré plánování. Přečtěte si Bílou knihu nyní.

Dvojitá certifikace od společnosti DQS

S tímto rozhodnutím se společnost Mubea vydala hledat vhodného partnera a bez dalších okolků se rozhodla pro společnost DQS.

habbel-christiane-quelle-mubea

Na společnost DQS jsme narazili poměrně rychle během našeho průzkumu a na první schůzce jsme zjistili, že se k sobě velmi hodíme.

Christiane Habbel vedoucí oddělení IT - bezpečnost informací a dodržování předpisů ve společnosti Mubea

Za tímto účelem auditoři DQS nejprve prověřili fungování systému řízení bezpečnosti informací (ISMS) na místě. Kromě toho musela společnost Mubea pro certifikaci ISMS prokázat úspěšnou součinnost základních hodnot bezpečnosti informací: Důvěrnost, Integrita a Dostupnost. Jedná se o tři cíle ochrany bezpečnosti informací.

V této souvislosti byla vyjmenována a optimalizována potenciální IT rizika nebo procesy ohrožující bezpečnost informací. "Spolupráce se společností DQS byla velmi praktická a orientovaná na zákazníka. Velmi nám pomohly hluboké znalosti auditorů v oboru, kteří nás podpořili ve všech aspektech," říká Habbel. "To platí jak pro certifikaci ISO 27001, tak pro certifikaci TISAX®."

Celoevropské zabezpečení podnikových informací

S pomocí společnosti DQS se však společnosti Mubea podařilo nejen optimalizovat zabezpečení citlivých dat a informací ve svém ústředí. S pomocí DQS společnost také pozvedla na novou úroveň zabezpečení 20 dceřiných společností v deseti lokalitách v Evropě a zavedla společný bezpečnostní standard.

Společnost Mubea nyní může zákazníkům a partnerům spolehlivě doložit vlastní zabezpečení informací pomocí dvou certifikátů. To dává dodavateli pro automobilový průmysl konkurenční výhodu na trhu, uvádí Habbel: "S normou ISO 27001 jsme do společnosti vnesli nejen vysoký standard zabezpečení v celé Evropě. Chráníme se také proti kybernetickým útokům zvenčí a dokázali jsme zvýšit citlivost našich zaměstnanců na bezpečnost našich důvěrných firemních aktiv. Protože bezpečnost informací je mnohem víc než jen zabezpečení IT. Nyní však nestojíme na místě. Klíčové součásti našeho systému řízení jsou každoročně auditovány, abychom dosáhli dalších zlepšení. Již tak velmi dobrá úroveň naší informační bezpečnosti se tak neustále vyvíjí."

Fakta, údaje, čísla

Skupina společností Mubea je světovou jedničkou na trhu, pokud jde o vývoj a výrobu komplexních automobilových komponentů, které vedou ke snížení hmotnosti vozidel a přispívají ke zlepšení ochrany životního prostředí prostřednictvím snížení emisíCO2. Rodinná firma z Attendornu, kterou řídí majitelé, se zaměřuje na technické inovace a provozní dokonalost. Je veden ambicí trvale se zařadit mezi 100 největších světových dodavatelů pro automobilový průmysl.

Sortiment zahrnuje komponenty podvozku, jako jsou pružiny náprav, stabilizátory, pružiny z vláknových kompozitů a přesné ocelové trubky, dále komponenty motoru, jako jsou ventilové pružiny, systémy automatického napínání řemenů a svorky pružných pásů, a také komponenty převodovky, jako jsou hnací hřídele a pružiny převodových desek. Dceřiná společnost Mubea Flamm rovněž vyvíjí a vyrábí komponenty a sestavy pro letecký průmysl a domácí spotřebiče.

www.mubea.com/en

Systém řízení bezpečnosti informací v souladu s mezinárodní normou

Mezinárodně uznávaná norma ISO 27001 pro systémy řízení bezpečnosti informací (ISMS) platí po celém světě. Poskytuje organizacím všech velikostí a odvětví rámec pro plánování, zavádění a monitorování bezpečnosti informací. Je v ní obsaženo více než jen aspekty bezpečnosti IT. Zvláštní praktickou hodnotu má implementace opatření uvedených v příloze A normy.

Více než kontrolní seznam

Cenné odborné znalosti o ISO 27001 - příloha A (na základě ISO 27001:2013):

  • Dobré otázky pro audit vybraných opatření
  • Možné důkazy a klíčové údaje

 

Stáhněte si zdarma nyní

Požadavky normy jsou obecně platné a vztahují se na soukromé a veřejné společnosti i neziskové instituce. S ohledem na ochranu dat a bezpečné nakládání s osobními údaji s integritou je užitečným doplňkem normy ISO 27701.

Jaké výhody vám může přinést systém ISMS

Systematickým nastavením a zavedením procesně orientovaného systému ISMS (systém řízení bezpečnosti informací) v souladu s normou ISO 27001 dosahují společnosti rozhodujících výhod, např:

  • ochranu důvěrných informací před zneužitím, ztrátou a vyzrazením jako nedílnou součást firemních procesů
  • senzibilizace zaměstnanců: hrozby v rámci společnosti jsou spolehlivě odhalovány a omezovány
  • Dodržování příslušných požadavků na shodu, více opatření a právní jistoty.
  • Vytvoření důvěry mezi zákazníky, obchodními partnery a širokou veřejností
  • Zvýšení konkurenceschopnosti
  • Optimalizace nákladů na procesy a IT

Norma je k dispozici na webových stránkách ISO:
ISO/IEC 27001:2013 - Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Požadavky

Revidovaná verze ISO/IEC 27001:2022 byla zveřejněna 25. října 2022. Informace o změnách budeme průběžně doplňovat, jakmile budou k dispozici.

Norma ISO 27001 právě prošla revizí. Revidovaná norma ISO byla zveřejněna v angličtině 25.10.2022. O změnách a termínech spojených s revizí se dozvíte v našem článku "Nová norma ISO/IEC 27001:2022".

DQS: Jednoduše využívat kvalitu.

DQS se specializuje na audity a certifikace systémů řízení a procesů. Díky více než 35letým zkušenostem a odborným znalostem 2 500 auditorů je společnost se sídlem v německém Frankfurtu nad Mohanem kompetentním partnerem pro management. Provádíme audity podle přibližně 200 uznávaných norem a předpisů nebo podle specifikací vaší společnosti - na regionální, národní i mezinárodní úrovni.

Nestrannost a objektivita jsou pro nás základními prvky při provádění auditů a certifikací. A to platí nejen pro normativní oblasti, ale i pro provádění všech auditorských činností.

Rádi vám pomůžeme, pokud si chcete nechat certifikovat systém řízení bezpečnosti informací (ISMS) vaší společnosti nebo organizace.

iso 27001-annex-a-dqs-mitarbeiterin schaut auf laptop in it umgebung

Certifikace podle normy ISO 27001

Ukážeme vám, s jakým úsilím a náklady byste měli počítat při certifikaci systému řízení bezpečnosti informací. Získejte informace zdarma a nezávazně.

Těšíme se na rozhovor s vámi
Autor
André Saeckel

Produktový manažer společnosti DQS pro řízení bezpečnosti informací. Jako odborník na normy pro oblast informační bezpečnosti a bezpečnostního katalogu IT (kritické infrastruktury) je André Säckel zodpovědný mimo jiné za následující normy a oborové normy: ISO 27001, ISIS12, ISO 20000-1, KRITIS a TISAX (bezpečnost informací v automobilovém průmyslu). Je také členem pracovní skupiny ISO/IEC JTC 1/SC 27/WG 1 jako národní delegát Německého institutu pro normalizaci DIN.

Jakékoli dotazy?

Jsme tu pro vás.
Kontaktujte nás