ISO 27016

Informasjonssikkerhetsledelse – Organisasjonsøkonomi

Bestill en demonstrasjon

kvinne, leder, mentor, undervise, hjelpe, mann, praktikant, trainee, ny, ansatt

Hva er ISO/IEC TR 27016:2014?

Informasjonssikkerhetseksperter må ofte rettferdiggjøre investeringer i informasjonssikkerhetskontroller. Men det er fortsatt ingen universell måte å gjøre det på vurdere den økonomiske konsekvensen av beslutninger om informasjonssikkerhet. ISO/IEC TR 27016:2014 har som mål å løse dette. ISO 27016 hjelper organisasjoner med å bestemme hvor mye de skal investere i å beskytte informasjonen deres. Både fagfolk innen informasjonssikkerhet og daglige ledere kan bruke og forstå ISO 27016. Rapporten vil hjelpe deg:

ISO 27016 hjelper deg å tenke på hvordan økonomiske faktorer samhandler med andre ressurser, inkludert:

  • Ansatte
  • Utstyr
  • fasiliteter
  • materialer
  • økonomi

Du bør også merke deg at ISO 27016 er en teknisk rapport, ikke en standard. En teknisk ISO-rapport gir veiledning om et emne ved å bruke informasjon hentet fra andre kilder. Disse kildene inkluderer:

  • Undersøkelser
  • Andre rapporter
  • Generelt tilgjengelig informasjon
Se vår plattform i aksjon
Finn ut mer

Hva er historien til ISO/IEC TR 27016:2014?

Den internasjonale standardiseringsorganisasjonen (ISO) publiserte ISO 27016 i 2014. ISO opprettet ISO 27016 for å gi veiledning til både fagfolk innen informasjonssikkerhet og daglige ledere, og hjelpe dem:

  • Forstå hvor de skal investere informasjonssikkerhetsbudsjettet
  • Diskuter de økonomiske resultatene av deres informasjonssikkerhetsvalg

Hvordan forholder ISO 27016 seg til andre standarder?

ISO 27016 støtter andre ISO 27k standarder. Den tekniske rapporten gir deg veiledning om økonomien til informasjonssikkerhet, og viser deg hvordan du bruker økonomiske eller finansielle modeller på dine infosec-beslutninger. Den gir beskrivelser og eksempler, inkludert:

  • Kostnad-nytte erklæringer
  • Forretningssaker
  • Foreslåtte økonomiske beregninger

Økonomiske hensyn må informer alle dine infosec-ledelser beslutninger. Å tenke gjennom økonomien er spesielt viktig når du bestemmer deg for hvordan du skal:

Hvem kan implementere ISO 27016?

Alle typer eller størrelser på organisasjoner kan implementere ISO/IEC TR 27016:2014. Den tekniske rapporten vil være spesielt nyttig hvis du er en senior leder ansvarlig for infosec-beslutninger.

Den er rettet mot:

  • Administrerende direktører (CEOs)
  • Informasjonssjefer (CIO)
  • Chief Information Security Officers (CISOer)
  • Informasjonssikkerhetssjefer (ISM)

Du vil finne ISO 27016 nyttig når du:

Finn ut hvor rimelig ISMS-en din kan være
Få ditt tilbud

Hvorfor bør vi implementere ISO 27016?

ISO 27016 vil hjelpe deg å introdusere økonomiske hensyn i infosec-beslutningsprosessen, skape en unik business case for å rettferdiggjøre infosec-investeringer.

Organisasjonen din vil forstå at den bør behandle retningslinjer for informasjonssikkerhet som verdifulle eiendeler i seg selv.

For å hjelpe deg med å forstå og forklare den økonomiske konsekvensen av infosec-beslutninger, inneholder dokumentet:

  • En generell utgangspunktramme
  • Eksempeltekst som du kan tilpasse og bruke

Informasjonssikkerhetspolitikk trenger en bredt spekter av kontroller for å være effektive. Organisasjonen din må investere i disse kontrollene. ISO 27016 vil hjelpe deg med å lage en klar økonomisk sak for hver kontroll. Du vil vise at hver av dem skaper en klart definert avkastning på investeringen.

Hvor mye koster informasjonssikkerhet?

Spør "hvor mye koster infosec?" er som å spørre 'hvor lang er en hyssing?'. Kostnaden for å sikre informasjonen din vil avhenge av organisasjonens type og omfang. For å angi infosec-budsjettet ditt, må du tenke gjennom:

  • Hvor mye organisasjonen omsetter
  • Hvor kostbart et infosec-brudd kan være

ISO 27016 vil hjelpe deg å forstå hvor mye organisasjonen din kan og bør bruke på informasjonssikkerhet.

Hva er fordelene med ISO 27016?

ISO 27016 hjelper deg med å bestemme hvor mye du vil investere for å beskytte informasjonsmidlene dine. Rapporten vil hjelpe deg med å rettferdiggjøre infosec-budsjettet og komme med infosec-investeringsanbefalinger.

Rapporten oppfordrer deg til å komme med brede økonomiske argumenter og sette brede mål. Det kan be deg om å vurdere å sette opp et ISO 27k styringssystem for informasjonssikkerhet (ISMS), eller å utforske de potensielle politiske, sosiale og juridiske konsekvensene av dine infosec-valg.

Rapporten vil også veilede deg gjennom detaljene i infosec-anbefalingene. For eksempel vil det hjelpe deg:

  • Bruk riktig beløp på ISMS, ikke for lite eller for mye
  • Velg mellom å investere i informasjonsrisikostyring og sikkerhet kontroller
  • Vurder verdien av informasjonsmidlene dine og de potensielle kostnadene ved trusler mot dem

Hva er kravene til ISO 27016?

ISO 27016 har åtte klausuler og fire vedlegg. Punkt 1 til 5 fastsetter standardens kontekst og referanser. Klausul 6 definerer økonomiske faktorer som må vurderes når du implementerer informasjonssikkerhetskontrollene dine. Du må tenke gjennom:

Klausul 7 forteller deg hvilke økonomiske mål organisasjonen din bør vurdere og hvordan du estimerer verdien av informasjonsmidlene dine. Klausul 8 ber deg balansere kostnadene ved informasjonssikkerhet med potensielle fordeler. Rapporten avsluttes med fire vedlegg som hjelper deg å tenke gjennom det større økonomiske, sosiale og politiske bildet.

Her er den fullstendige listen over alt ISO 27016 inkluderer:

Se plattformfunksjonene våre i aksjon

En skreddersydd praktisk økt basert på dine behov og mål

Bestill demoen din

ISO/IEC TR 27016:2014 klausuler

Punkt 1: Omfang

Klausul 2: Normative referanser

Punkt 3: Begreper og definisjoner

Klausul 4: Forkortede termer

Punkt 5: Dokumentets struktur

Punkt 6: Informasjonssikkerhet økonomiske faktorer

Punkt 7: Økonomiske mål

Punkt 8: Balansering av informasjonssikkerhetsøkonomi for ISM

  • 8.1 Innledning
  • 8.2 Økonomiske fordeler
  • 8.3 Økonomiske kostnader
  • 8.4 Bruk av økonomiske beregninger på ISM
    • 8.4.1 Oversikt
    • Veiledning 8.4.2
    • 8.4.3 En Business Case basert på en organisasjonsomfattende tilnærming (Kategori A)
    • 8.4.4 En forretningssak basert på en del av organisasjonen (kategori B)

ISO/IEC TR 27016:2014 vedleggsklausuler

Vedlegg A: Identifikasjon av interessenter og mål for verdisetting

  • A.1 Oversikt
  • A.2 Kritisk offentlig eller privat sektor
  • A.3 Folkehelse og sikkerhet
  • A.4 Samfunn og fellesskap
  • A.5 Personlig informasjon
  • A.6 Miljømessig
  • A.7 Konkurranse

Vedlegg B: Økonomiske beslutninger og sentrale beslutningsfaktorer

Vedlegg C: Økonomiske modeller passende for informasjonssikkerhet

  • C.1 Generell informasjon
  • C.2 Grunnleggende verdimodell (BVM)
  • C.3 Negativ til positiv modell
  • C.4 Generisk balanseinvestering for beskyttelseskostnad vs. verditeori
  • C.5 Generisk investeringsberegning — kostnadsnytteberegning

Vedlegg D: Business cases beregningseksempler

  • D.1 Organisatorisk Business Case-beregningseksempel (Ref. A)
  • D.2 Delvis Organisatorisk Business Case-beregningseksempel (Ref. B)
  • D.3 Asset/Control Case Eksempel (Ref. B)

Utforsk andre standarder innenfor ISO 27k-familien

  • 1ISO 27000-familien
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27013

ISO 27017 »

Se ISMS.online-plattformen i aksjon
Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer