ISO / IEC 27004:2016 – Overvåking, måling, vurdering og evaluering, gir retningslinjer for hvordan du bestemmer ytelsen til ISO / IEC 27001:2013 styringsrammeverket for informasjonssikkerhet. ISO / IEC 27004:2016 forklarer hvordan man etablerer og driver vurderingssystemer, og gjennomgår og registrerer også effekten av en rekke informasjonssikkerhetstiltak.
Som det gamle ordtaket sier "Hvis du ikke kan måle det, kan du ikke administrere det", men hvorfor trenger vi å måle informasjonssikkerhet? Til kontinuerlig forbedre hvilke metoder, prosedyrer, retningslinjer og så videre som er på plass for å beskytte organisasjonen din. Informasjonssikkerhet er nøkkelen til suksess for enhver organisasjon, ett feil sikkerhetsbrudd og ditt rykte som en alvorlig sikkerhetsorganisasjon er skadet.
Du kan virkelig ikke være for årvåken når det kommer til informasjonssikkerhet. Cyberangrep er blant de viktigste truslene et selskap kan møte. De sikkerhet for personopplysninger og kommersielt sensitiv informasjon er avgjørende. Men hvordan vet du om din ISO / IEC 27001:2013 Informasjonssikkerhetsstyringssystem (ISMS) gjør en forskjell?
ISO / IEC 27004:2016 gir retningslinjer for hvordan man bestemmer ytelsen til ISO 27001. Den beskriver hvordan man oppretter og driver evalueringssystemer og hvordan man analyserer og avslører effektene av et sett med informasjonssikkerhet beregninger.
Det er derfor ISO / IEC 27004:2016 tilbyr kritisk og realistisk hjelp til de mange selskapene som implementerer ISO / IEC 27001:2013 for å beskytte seg mot det økende mangfoldet av sikkerhetsangrep selskapet står overfor i dag.
Sikkerhetsberegninger kan gi innsikt i effektiviteten til ISMS og, som sådan, stå i sentrum. Hvis du er ingeniør eller entreprenør ansvarlig for sikkerhet og ledelse analyse, eller en leder som ønsker bedre informasjon om beslutningstaking, har sikkerhetsmålinger blitt et kritisk redskap for å kommunisere statusen til en organisasjons cyberrisikostilling.
Organisasjoner trenger støtte for å løse spørsmålet om organisasjonens investering i informasjonssikkerhet ledelsen er vellykket, egnet til å reagere, forsvare og reagere på det stadig skiftende cyberrisikoklimaet.
ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.
Informasjonssikkerhetssjef, Honeysuckle Health
ISO 27004:2009 ble først publisert i 2009 som en del av ISO 27000 familie av standarder, ble denne senere revidert i 2016 og ble kjent som ISO 27004:2016. Begge standardene er retningslinjer og ikke krav, er derfor ikke nødvendige eller kan sertifiseres mot, men det de gjør veldig bra er å jobbe med de andre ISO 27000-standardene, som vi vil gå videre til.
ISO / IEC 27004:2016 viser hvordan man lager et informasjonssikkerhetsmåleprogram, hvordan man velger hva man skal beregne og hvordan man driver de riktige måleprosessene.
Den gir detaljerte beskrivelser av ulike typer kontroller og hvordan effektiviteten til disse kontrollene kan måles.
Blant de mange fordelene for organisasjoner som bruker ISO / IEC 27004:2016 er følgende:
ISO / IEC 27004:2016 erstattet 2009-utgaven og ble modifisert for å overholde den reviderte versjonen av ISO / IEC 27001:2013 for å gi organisasjoner utmerket merverdi og tillit.
En skreddersydd praktisk økt basert på dine behov og mål
ISO 27004 består av 8 klausuler og 3 vedlegg. ISO 27004:2016 har 4 nøkkelklausuler:
Sammen med 3 vedlegg A-kontroller som er informative:
Punkt 1: Omfang
Klausul 2: Normative referanser
Punkt 3: Begreper og definisjoner
Punkt 4: Struktur og oversikt
Klausul 5: Begrunnelse
Klausul 6: Kjennetegn
Punkt 7: Typer tiltak
Punkt 8: Prosesser
Vedlegg A: En målemodell for informasjonssikkerhet
Vedlegg B: Målekonstruksjonseksempler
Vedlegg C: Et eksempel på fritekstformmålingskonstruksjon
C.1 'Treningseffektivitet' – effektivitetsmålingskonstruksjon