experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

从 ISO 27001 中汲取的经验教训--ENTERBRAIN 软件公司的案例研究

André 塞克尔

DQS信息安全标准专家
5月 03 , 2024
# 组织中的信息安全

信息安全是当今的必修课--每天都有各行各业各种规模的组织遭受网络犯罪攻击的新闻就是明证。特别是中小型企业,以及许多大型公司,仍然没有适当的保护措施来防止敏感数据和信息被未经授权的访问。软件服务供应商 ENTERBRAIN 就是成功实施和应用有效信息安全管理系统的典范。请阅读对运营主管 Christian Körner 的采访和 ISO 27001 案例研究。

内容

ISO 27001 案例研究 - ENTERBRAIN 依赖认证

ENTERBRAIN Software GmbH 总部位于德国奥芬巴赫,是欧洲领先的筹款软件供应商之一。该组织的软件解决方案支持非营利组织管理其捐款和会员。除其他外,这些软件解决方案还用于管理个人数据和付款详情。保护这些机密信息及其完整性和可用性是软件供应商及其客户的首要任务,在法律方面也是如此。

自 2019 年起通过ISO 27001认证的信息安全管理系统为此提供了一个全面的实用框架。它确保信息的保密性、完整性和可用性--信息安全的三大保护目标。已建立的管理系统定义了具有约束力的流程、角色和授权,系统性地降低了信息安全风险,同时与客户和业务合作伙伴建立了信任关系。

ISO 27001 的积极实践经验

得益于对管理系统的积极使用以及对威胁的持续分析和评估,ENTERBRAIN 在信息安全和数据保护领域处于非常有利的地位。公司对所有保护对象都有全面的记录。此外,还制定了适用的指导方针、技术说明和组织规则,以弥补安全漏洞。

这种系统化的方法为消除安全漏洞所需的威胁和程序创造了良好的透明度。定期的宣传培训课程使公司全体员工认识到信息安全的巨大重要性。

在实践中,信息安全管理系统已多次证明了其价值。这尤其要归功于定期的员工培训。例如,在 2020 年,公司防止了 Emotet* 病毒新版本的传播。

* Emotet = 通过电子邮件发送的计算机恶意软件(宏病毒)家族

由于一名服务人员及早发现了威胁,避免了最坏情况的发生。当时市场上的任何病毒扫描软件解决方案都没有检测到新的病毒变种。

事件发生期间,ENTERBRAIN 收到了一封来自客户的受感染电子邮件,该员工最初打开了这封邮件,并立即报告了这一事件。因此,应急小组被启动,并根据公司的安全应急手册对事件进行了处理。由于该员工反应迅速、认真负责,受影响的计算机被隔离,防止了病毒在内部网络中传播。一家 IT 鉴证公司被要求对病毒变种和网络进行额外调查,并提供支持。

Portrait of Christian Körner Managing Director of Enterbrain Software GmbH in Offenbach

我们的 ISO 27001 认证为我们的信息、数据和业务流程提供了有效的保护。与此同时,对所有业务流程和保护对象的分析和评估也提高了这些与公司相关领域的透明度。

克里斯蒂安-科尔纳 ENTERBRAIN 软件有限公司运营主管

信息安全是成功和信任的基础

对于筹款软件供应商及其客户而言,遵守法规是业务活动的重要组成部分。数据保护的合规性和公司全体员工的合规行为是与客户和合作伙伴开展互信合作的基础。基于这些要求,公司提供的所有服务都通过了国际公认的 ISO 27001 标准认证。

虽然所有服务的全面认证要比单一业务部门的认证复杂得多,但更高水平的信息安全却为公司带来了回报。一方面,这意味着信息安全管理及其所有益处在所有业务部门都已到位;另一方面,与其他未获得ISO 27001 认证的市场参与者相比,ENTERBRAIN 享有竞争优势。

此外,合规性话题的重要性也在普遍提高,因此许多组织也要求与通过 ISO 27001 认证的公司合作。

获得的透明度为公司优化流程提供了一个绝佳的起点,以提高客户满意度和公司内部效率。关键业务流程和领域也得到了明确界定,可以通过有针对性的风险最小化来提高安全性。

audit-dqs-drei geschaeftsleute unterhalten sich mit einer lachenden frau mit brille im vordergrund

认证信息安全管理

您有任何问题吗?我们随时为您服务!

ISO 27001 认证需要多少费用?请亲自了解。免费,无义务。

联系 DQS

采访 Christian Körner

ENTERBRAIN Software GmbH 运营总监

信息安全管理系统的好处是一方面。但是,为了获得认证并进行相关的年度监督审核,企业必须与经认可的认证机构合作。在这次采访中,Christian Körner 谈论了他在 ISO 27001 方面的经验。

DQS:Körner 先生,您最初是通过专门为中小企业开发的系统开始从事信息安全工作的。在转用 ISO 27001 标准时,需要进行全面升级--鉴于中小企业尤其面临巨大的网络威胁,这种方法在今天是否仍然值得推荐?

Christian Körner: ENTERBRAIN 在很早的时候就非常重视信息安全,因此扮演了先驱者的角色。在我们这个行业,信息安全是成功和信任的基础。在加速数字化转型的过程中,这个话题变得越来越重要。

基于我们的实践经验和日益严重的网络威胁,我们现在建议直接从 ISO 27001 认证开始。认证过程的价值在于发现任何安全风险,并通过所获得的透明度将其关闭或至少降至最低。这对公司的信息安全大有裨益。

DQS:有了 ISO 27001,您就为公认的管理系统奠定了基础--您还记得与 DQS 一起进行的第一次认证审核吗?

Christian Körner : 2019 年我们第一次接受 ISO 27001审核时,公司的每个人都非常紧张。虽然当时我们已经有了第一个信息安全管理体系认证的经验,但 ISO 27001 是一个级别的认证。

事后回想起第一次 ISO 27001 认证,我们不得不微微一笑。一方面,当时我们已经为 ISO 标准做好了充分准备;另一方面,作为一家公司,我们只能从认证过程中获益,因为任何不符合标准的情况都会让我们看到改进的潜力。

毕竟,我们的目标是确保和提高信息安全。因此,我们始终欢迎有关优化流程的信息和建议。对于任何尚未通过认证的组织,我只能提出这一点建议。ISO 27001 认证不应基于对证书的渴望,而应基于对信息安全在当今企业中的巨大重要性的理解。

DQS:在随后的监督审核过程中,您是否从我们的审核员那里得到了关于改进潜力的任何有用和可操作的提示?

Christian Körner: 对我们来说,监督审核是认证和持续优化的重要组成部分,因为与审核员的直接交流为我们在实践中的实施提供了宝贵的信息,这对我们来说是极大的丰富。同时,在过去的几年中,我们的审核员掌握了全面的信息技术知识,并对系统有了深入的了解,这让我们受益匪浅。在他身上,我们有了一个经验丰富的伙伴,他对流程有很好的理解,并能考虑到我们公司的规模。

DQS:你们现在已经成功地完成了第一次重新认证,很快就会转换到新版本,即ISO/IEC 27001:2022- 你们是否已经就此与 DQS 联系?

克里斯蒂安-科尔纳(Christian Körner): 是的,我们已经与 DQS 联系了几个月,正在为转换做准备。我们还在协调可能的 "隐私信息管理系统 "扩展。

DQS: 在合作方面,DQS 还有什么可以改进的吗?

Christian Körner: 我们对合作非常满意。这主要归功于经验丰富的审核员,他的评估为我们不断改进系统提供了重要支持。

DQS: Körner 先生,感谢您的谈话,祝您向新版 ISO/IEC 27001:2022 过渡顺利!

未来计划和 ISO 27001:2022

ISO 27001 是国际公认的信息安全标准,其英文版于 2005 年首次发布。该标准于 2013 年进行了修订,是首批转换为当时新的高级结构的主要 ISO 管理体系标准之一。2022 年又进行了一次修订,重点是使标准适应最新的信息技术。

ENTERBRAIN 预计,在向新版 ISO 27001:2022 过渡时不会出现任何意外情况,相反,公司对修订表示欢迎,因为数据保护和网络安全领域将得到特别加强。

公司目前正在分析新的措施和要求,并将其与公司的具体流程和情况进行比较。然后将对中期结果进行评估,以确定实施的必要性,特别是附件 A 中的 93 项控制措施,其中一些是新措施。

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022

44 个用户问题和专家解答

信息安全的 "新标准":用户和标准专家提供的有关 ISO 27001 修订版的有用详细信息:

  • 新控制措施是怎么回事?
  • 流程导向需要考虑哪些因素?
  • 我们什么时候应该改用新标准?
  • ......以及更多
免费查看常见问题解答

ENTERBRAIN 的 ISO 27001 经验教训 - 结论

在 ENTERBRAIN,按照 ISO 27001 标准实施信息安全管理系统已被证明是加强公司安全战略的决定性一步。通过 ISO 27001 认证获得的经验强调了整体方法的重要性,其中不仅包括技术措施,还包括组织措施。

ISO27001 认证不仅改善了安全基础设施,还大大提高了客户和合作伙伴的信任度。员工更加意识到信息安全的重要性,从而在整个公司形成了一种安全文化。尽管在实施过程中也遇到了一些挑战,但其积极影响显然大于消极影响。

从 ISO 27001 的经验中得出的结论很明确:认证不仅仅是一张证书,它是一个持续的过程,能使公司更有能力抵御威胁,并提供明显的竞争优势。

ENTERBRAIN 软件有限公司:数字、数据和事实

ENTERBRAIN 为非营利公司提供绘制组织核心流程的软件解决方案。内部开发的核心解决方案 Brain 2.0 可优化筹款活动,还可作为捐赠组织的中央 CRM 和 ERP 系统(CRM = 客户关系管理,ERP = 企业资源审核规划)。 基于浏览器的解决方案 "Enterweb "和在线捐赠工具 "Enterdonate "以创新的网络解决方案补充了产品组合。

  • 成立于 1992 年
  • 管理层:Michael Charbonnier(创新)和 Christian Körner(运营)
  • 员工人数17
  • 被 300 多个非营利组织使用
  • 通过软件解决方案管理的捐赠额 > 每年 3 亿欧元

www.enterbrain.gmbh

专业知识和信任

我们经验丰富的审核员会对人员、流程、系统和结果进行全面、中立的审查,从而了解您的信息安全管理系统的有效性以及实施和控制情况。对我们而言,重要的是,您要将 ISO 标准认证视为对您管理体系的丰富,而不是一种测试。

我们的审核将为您提供清晰的信息。我们的客户将此视为机遇。对他们来说,独立审核员对改进潜力和可能风险的反馈意见与 DQS 证书一样宝贵,都是他们质量能力的证明。为了确保这一点,我们严格遵守诚信和客观原则 - 您可以在我们的审核理念中了解更多相关信息。

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

您有问题吗?

我们在这里为您服务。

您需要为 ISO 27001 认证 付出多少努力?我们很乐意告知您。

请与我们联系。

我们不收取任何费用。

我们期待您的回音。

在审核过程中,我们会特别询问 "为什么",因为我们希望了解您选择特定实施方式的原因。我们关注改进的潜力,鼓励改变观点。通过这种方式,您就能认识到可供选择的行动方案,从而不断改进您的管理系统。请相信我们的话。

请注意:我们的文章完全由我们的管理体系标准专家和长期审核员撰写。如果您对作者有任何疑问,请联系我们。我们期待与您交流。

作者
André 塞克尔

在DQS担任信息安全管理的产品经理。作为信息安全和IT安全目录(关键基础设施)领域的标准专家,André Säckel负责以下标准和行业特定标准等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽车行业的信息安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作组的成员,作为德国标准化研究所DIN的国家代表。

相关文章和事件

你可能也对这个感兴趣
博客
autonomous driving by a e-car, e-mobility

ENX VCS 与 ISO 21434:车辆网络安全审核

详情
博客
Group of male and female businesspeople at video conference

了解最新情况:A.5.5 - A.5.7 条款提示

详情
博客
efqm-assessment-dqs-compass needle points to direction of excellence lettering

有效实施和改进 ISMS:对第 9 条和第 10 条的见解

详情

有任何问题吗?

我们在这里为你服务。
联系我们