ISO 27004: 2016

Overvåking, måling, vurdering og evaluering

Bestill en demonstrasjon

oppnår,beste,resultater.,to,sikker,unge,menn,ser,på,bærbar

Hva er ISO 27004?

ISO / IEC 27004:2016 – Overvåking, måling, vurdering og evaluering, gir retningslinjer for hvordan du bestemmer ytelsen til ISO / IEC 27001:2013 styringsrammeverket for informasjonssikkerhet. ISO / IEC 27004:2016 forklarer hvordan man etablerer og driver vurderingssystemer, og gjennomgår og registrerer også effekten av en rekke informasjonssikkerhetstiltak.

Hvordan måle informasjonssikkerhet

Som det gamle ordtaket sier "Hvis du ikke kan måle det, kan du ikke administrere det", men hvorfor trenger vi å måle informasjonssikkerhet? Til kontinuerlig forbedre hvilke metoder, prosedyrer, retningslinjer og så videre som er på plass for å beskytte organisasjonen din. Informasjonssikkerhet er nøkkelen til suksess for enhver organisasjon, ett feil sikkerhetsbrudd og ditt rykte som en alvorlig sikkerhetsorganisasjon er skadet.

Du kan virkelig ikke være for årvåken når det kommer til informasjonssikkerhet. Cyberangrep er blant de viktigste truslene et selskap kan møte. De sikkerhet for personopplysninger og kommersielt sensitiv informasjon er avgjørende. Men hvordan vet du om din ISO / IEC 27001:2013 Informasjonssikkerhetsstyringssystem (ISMS) gjør en forskjell?

SO / IEC 27004:2016 er her for å hjelpe deg.

ISO / IEC 27004:2016 gir retningslinjer for hvordan man bestemmer ytelsen til ISO 27001. Den beskriver hvordan man oppretter og driver evalueringssystemer og hvordan man analyserer og avslører effektene av et sett med informasjonssikkerhet beregninger.

Det er derfor ISO / IEC 27004:2016 tilbyr kritisk og realistisk hjelp til de mange selskapene som implementerer ISO / IEC 27001:2013 for å beskytte seg mot det økende mangfoldet av sikkerhetsangrep selskapet står overfor i dag.

Sikkerhetsberegninger kan gi innsikt i effektiviteten til ISMS og, som sådan, stå i sentrum. Hvis du er ingeniør eller entreprenør ansvarlig for sikkerhet og ledelse analyse, eller en leder som ønsker bedre informasjon om beslutningstaking, har sikkerhetsmålinger blitt et kritisk redskap for å kommunisere statusen til en organisasjons cyberrisikostilling.

Organisasjoner trenger støtte for å løse spørsmålet om organisasjonens investering i informasjonssikkerhet ledelsen er vellykket, egnet til å reagere, forsvare og reagere på det stadig skiftende cyberrisikoklimaet.

ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.

Daniel Clements

Informasjonssikkerhetssjef, Honeysuckle Health

Bestill en demonstrasjon

Historien til ISO/IEC 27004:2016

ISO 27004:2009 ble først publisert i 2009 som en del av ISO 27000 familie av standarder, ble denne senere revidert i 2016 og ble kjent som ISO 27004:2016. Begge standardene er retningslinjer og ikke krav, er derfor ikke nødvendige eller kan sertifiseres mot, men det de gjør veldig bra er å jobbe med de andre ISO 27000-standardene, som vi vil gå videre til.

ISO / IEC 27004:2016 kan gi ulike fordeler

ISO / IEC 27004:2016 viser hvordan man lager et informasjonssikkerhetsmåleprogram, hvordan man velger hva man skal beregne og hvordan man driver de riktige måleprosessene.

Den gir detaljerte beskrivelser av ulike typer kontroller og hvordan effektiviteten til disse kontrollene kan måles.

Blant de mange fordelene for organisasjoner som bruker ISO / IEC 27004:2016 er følgende:

  • Økt gjennomsiktighet
  • Forbedret effektivitet av informasjonshåndtering og ISMS-prosesser
  • Bevis på samsvar med spesifikasjonene til ISO / IEC 27001:2013, samt relevante regler, lover og forskrifter

ISO / IEC 27004:2016 erstattet 2009-utgaven og ble modifisert for å overholde den reviderte versjonen av ISO / IEC 27001:2013 for å gi organisasjoner utmerket merverdi og tillit.

Se plattformfunksjonene våre i aksjon

En skreddersydd praktisk økt basert på dine behov og mål

Bestill demoen din

Nå ISO 27001-fristen din
Bestill demoen din

Hvilke klausuler har ISO 27004?

ISO 27004 består av 8 klausuler og 3 vedlegg. ISO 27004:2016 har 4 nøkkelklausuler:

  • Begrunnelse (klausul 5)
  • Kjennetegn (klausul 6)
  • Typer tiltak (klausul 7)
  • Prosesser (klausul 8)

Sammen med 3 vedlegg A-kontroller som er informative:

  • En modell for måling av informasjonssikkerhet
  • Målingskonstruksjonseksempler
  • Et eksempel på fritekstformmålingskonstruksjon

ISO/IEC 27004:2016 klausuler

Punkt 1: Omfang

Klausul 2: Normative referanser

Punkt 3: Begreper og definisjoner

Punkt 4: Struktur og oversikt

Klausul 5: Begrunnelse

  • 5.1 Behovet for måling
  • 5.2 Oppfylle ISO/IEC 27001-kravene
  • 5.3 Gyldighet av resultater
  • 5.4 Fordeler

Klausul 6: Kjennetegn

  • 6.1 Generelt
  • 6.2 Hva du skal overvåke
  • 6.3 Hva skal måles
  • 6.4 Når du skal overvåke, måle, analysere og evaluere
  • 6.5 Hvem skal overvåke, måle, analysere og evaluere

Punkt 7: Typer tiltak

  • 7.1 Generelt
  • 7.2 Resultatmål
  • 7.3 Effektivitetstiltak

Punkt 8: Prosesser

  • 8.1 Generelt
  • 8.2 Identifisere informasjonsbehov
  • 8.3 Opprette og vedlikeholde tiltak
  • 8.4 Etablere prosedyrer
  • 8.5 Overvåk og mål
  • 8.6 Analyser resultater
  • 8.7 Evaluer informasjonssikkerhetsytelse og ISMS-effektivitet
  • 8.8 Gjennomgå og forbedre prosesser for overvåking, måling, analyse og evaluering
  • 8.9 Oppbevare og formidle dokumentert informasjon

ISO/IEC 27004:2016 vedleggsklausuler

Vedlegg A: En målemodell for informasjonssikkerhet

Vedlegg B: Målekonstruksjonseksempler

  • B.1 Generelt
  • B.2 Ressursfordeling
  • B.3 Policygjennomgang
  • B.4 Ledelsens engasjement
  • B.5 Risikoeksponering
  • B.6 Revisjonsprogram
  • B.7 Forbedringstiltak
  • B.8 Kostnad for sikkerhetshendelser
  • B.9 Lære av informasjonssikkerhetshendelser
  • B.10 Implementering av korrigerende tiltak
  • B.11 ISMS-trening eller ISMS-bevissthet
  • B.12 Opplæring i informasjonssikkerhet
  • B.13 Overholdelse av informasjonssikkerhetsbevissthet
  • B.14 Effektivitet av ISMS-bevissthetskampanjer
  • B.15 Sosialteknisk beredskap
  • B.16 Passordkvalitet – manual
  • B.17 Passordkvalitet – automatisert
  • B.18 Gjennomgang av brukerrettigheter
  • B.19 Evaluering av fysiske inngangskontroller
  • B.20 Fysisk inntreden kontrollerer effektiviteten
  • B.21 Styring av periodisk vedlikehold
  • B.22 Endringsledelse
  • B.23 Beskyttelse mot ondsinnet kode
  • B.24 Anti-malware
  • B.25 Total tilgjengelighet
  • B.26 Brannmurregler
  • B.27 Loggfiler gjennomgang
  • B.28 Enhetskonfigurasjon
  • B.29 Pentest og sårbarhetsvurdering
  • B.30 Sårbarhetslandskap
  • B.31 Sikkerhet i tredjepartsavtaler – a
  • B.32 Sikkerhet i tredjepartsavtaler – B
  • B.33 Effektivitet ved håndtering av informasjonssikkerhetshendelser
  • B.34 Sikkerhetshendelser trendB.35 Rapportering av sikkerhetshendelser
  • B.36 ISMS-gjennomgangsprosessB.37 Sårbarhetsdekning

Vedlegg C: Et eksempel på fritekstformmålingskonstruksjon
C.1 'Treningseffektivitet' – effektivitetsmålingskonstruksjon

Utforsk andre standarder innenfor ISO 27k-familien

  • 1ISO 27000-familien
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27003

ISO 27005 »

Nå ISO 27001-fristen din.
Få ditt tilbud

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer