Informasjonssikkerhetseksperter må ofte rettferdiggjøre investeringer i informasjonssikkerhetskontroller. Men det er fortsatt ingen universell måte å gjøre det på vurdere den økonomiske konsekvensen av beslutninger om informasjonssikkerhet. ISO/IEC TR 27016:2014 har som mål å løse dette. ISO 27016 hjelper organisasjoner med å bestemme hvor mye de skal investere i å beskytte informasjonen deres. Både fagfolk innen informasjonssikkerhet og daglige ledere kan bruke og forstå ISO 27016. Rapporten vil hjelpe deg:
ISO 27016 hjelper deg å tenke på hvordan økonomiske faktorer samhandler med andre ressurser, inkludert:
Du bør også merke deg at ISO 27016 er en teknisk rapport, ikke en standard. En teknisk ISO-rapport gir veiledning om et emne ved å bruke informasjon hentet fra andre kilder. Disse kildene inkluderer:
Den internasjonale standardiseringsorganisasjonen (ISO) publiserte ISO 27016 i 2014. ISO opprettet ISO 27016 for å gi veiledning til både fagfolk innen informasjonssikkerhet og daglige ledere, og hjelpe dem:
ISO 27016 støtter andre ISO 27k standarder. Den tekniske rapporten gir deg veiledning om økonomien til informasjonssikkerhet, og viser deg hvordan du bruker økonomiske eller finansielle modeller på dine infosec-beslutninger. Den gir beskrivelser og eksempler, inkludert:
Økonomiske hensyn må informer alle dine infosec-ledelser beslutninger. Å tenke gjennom økonomien er spesielt viktig når du bestemmer deg for hvordan du skal:
Alle typer eller størrelser på organisasjoner kan implementere ISO/IEC TR 27016:2014. Den tekniske rapporten vil være spesielt nyttig hvis du er en senior leder ansvarlig for infosec-beslutninger.
Den er rettet mot:
Du vil finne ISO 27016 nyttig når du:
ISO 27016 vil hjelpe deg å introdusere økonomiske hensyn i infosec-beslutningsprosessen, skape en unik business case for å rettferdiggjøre infosec-investeringer.
Organisasjonen din vil forstå at den bør behandle retningslinjer for informasjonssikkerhet som verdifulle eiendeler i seg selv.
For å hjelpe deg med å forstå og forklare den økonomiske konsekvensen av infosec-beslutninger, inneholder dokumentet:
Informasjonssikkerhetspolitikk trenger en bredt spekter av kontroller for å være effektive. Organisasjonen din må investere i disse kontrollene. ISO 27016 vil hjelpe deg med å lage en klar økonomisk sak for hver kontroll. Du vil vise at hver av dem skaper en klart definert avkastning på investeringen.
Spør "hvor mye koster infosec?" er som å spørre 'hvor lang er en hyssing?'. Kostnaden for å sikre informasjonen din vil avhenge av organisasjonens type og omfang. For å angi infosec-budsjettet ditt, må du tenke gjennom:
ISO 27016 vil hjelpe deg å forstå hvor mye organisasjonen din kan og bør bruke på informasjonssikkerhet.
ISO 27016 hjelper deg med å bestemme hvor mye du vil investere for å beskytte informasjonsmidlene dine. Rapporten vil hjelpe deg med å rettferdiggjøre infosec-budsjettet og komme med infosec-investeringsanbefalinger.
Rapporten oppfordrer deg til å komme med brede økonomiske argumenter og sette brede mål. Det kan be deg om å vurdere å sette opp et ISO 27k styringssystem for informasjonssikkerhet (ISMS), eller å utforske de potensielle politiske, sosiale og juridiske konsekvensene av dine infosec-valg.
Rapporten vil også veilede deg gjennom detaljene i infosec-anbefalingene. For eksempel vil det hjelpe deg:
ISO 27016 har åtte klausuler og fire vedlegg. Punkt 1 til 5 fastsetter standardens kontekst og referanser. Klausul 6 definerer økonomiske faktorer som må vurderes når du implementerer informasjonssikkerhetskontrollene dine. Du må tenke gjennom:
Klausul 7 forteller deg hvilke økonomiske mål organisasjonen din bør vurdere og hvordan du estimerer verdien av informasjonsmidlene dine. Klausul 8 ber deg balansere kostnadene ved informasjonssikkerhet med potensielle fordeler. Rapporten avsluttes med fire vedlegg som hjelper deg å tenke gjennom det større økonomiske, sosiale og politiske bildet.
Her er den fullstendige listen over alt ISO 27016 inkluderer:
En skreddersydd praktisk økt basert på dine behov og mål
Punkt 1: Omfang
Klausul 2: Normative referanser
Punkt 3: Begreper og definisjoner
Klausul 4: Forkortede termer
Punkt 5: Dokumentets struktur
Punkt 6: Informasjonssikkerhet økonomiske faktorer
Punkt 7: Økonomiske mål
Punkt 8: Balansering av informasjonssikkerhetsøkonomi for ISM
Vedlegg A: Identifikasjon av interessenter og mål for verdisetting
Vedlegg B: Økonomiske beslutninger og sentrale beslutningsfaktorer
Vedlegg C: Økonomiske modeller passende for informasjonssikkerhet
Vedlegg D: Business cases beregningseksempler