ISO 27004: 2016

Uppföljning, mätning, bedömning och utvärdering

Boka en demo

uppnå,bästa,resultat.,två,säker,unga,män,kikar på,bärbar dator

Vad är ISO 27004?

ISO / IEC 27004:2016 – Övervakning, mätning, bedömning och utvärdering, erbjuder riktlinjer för hur man bestämmer prestandan för ISO / IEC 27001:2013 ramverket för informationssäkerhet. ISO / IEC 27004:2016 förklarar hur man upprättar och använder bedömningssystem, och granskar och registrerar även effekterna av en serie av informationssäkerhetsåtgärder.

Hur man mäter informationssäkerhet

Som det gamla ordspråket säger "Om du inte kan mäta det kan du inte hantera det" men varför behöver vi mäta informationssäkerhet? Till ständigt förbättra vilka metoder, procedurer, policyer och så vidare som finns på plats för att skydda din organisation. Informationssäkerhet är nyckeln till framgången för alla organisationer, ett felaktigt säkerhetsbrott och ditt rykte som en seriös säkerhetsorganisation skadas.

Du kan verkligen inte vara för vaksam när det kommer till informationssäkerhet. Cyberattacker är bland de mest betydande hoten som ett företag kan möta. De säkerhet för personuppgifter och kommersiellt känslig information är väsentlig. Men hur vet du om din ISO / IEC 27001:2013 Information Security Management System (ISMS) gör skillnad?

SO / IEC 27004:2016 är här för att hjälpa dig.

ISO / IEC 27004:2016 erbjuder riktlinjer för hur man bestämmer prestandan för ISO 27001. Den beskriver hur man skapar och använder utvärderingssystem och hur man analyserar och avslöjar effekterna av en uppsättning av informationssäkerhet metrik.

Det är därför ISO / IEC 27004:2016 erbjuder kritisk och realistisk hjälp till de många företag som implementerar ISO / IEC 27001:2013 för att skydda sig mot den ökande mångfalden av säkerhetsattacker som företaget står inför idag.

Säkerhetsmått kan ge insikt i ISMS:s effektivitet och som sådan stå i centrum. Om du är ingenjör eller entreprenör ansvarig för säkerhet och förvaltning analys, eller en chef som vill ha bättre information om beslutsfattande, har säkerhetsmått blivit ett viktigt verktyg för att kommunicera statusen för en organisations cyberriskställning.

Organisationer behöver stöd för att lösa frågan om organisationens investeringar i informationssäkerhet ledningen är framgångsrik, lämpad för att reagera, försvara och reagera på det ständigt föränderliga cyberriskklimatet.

ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.

Daniel Clements

Informationssäkerhetschef, Honeysuckle Health

Boka en demo

Historien om ISO/IEC 27004:2016

ISO 27004:2009 publicerades första gången 2009 som en del av ISO 27000 familj av standarder, denna reviderades senare 2016 och blev känd som ISO 27004:2016. Båda standarderna är riktlinjer och inte krav, därför är de inte nödvändiga eller kan certifieras mot, men vad de gör mycket bra är att arbeta med de andra ISO 27000-standarderna, som vi kommer att gå vidare till.

ISO / IEC 27004:2016 kan ge olika fördelar

ISO / IEC 27004:2016 visar hur man skapar ett informationssäkerhetsmätningsprogram, hur man väljer vad som ska beräknas och hur man använder lämpliga mätprocesser.

Den ger detaljerade beskrivningar av olika typer av kontroller och hur effektiviteten av dessa kontroller kan mätas.

Bland de många fördelarna för organisationer som använder ISO / IEC 27004:2016 är följande:

  • Ökad öppenhet
  • Förbättrad effektivitet i informationshantering och ISMS-processer
  • Bevis på överensstämmelse med specifikationerna i ISO / IEC 27001:2013, såväl som relevanta regler, lagar och förordningar

ISO / IEC 27004:2016 ersatte 2009 års utgåva och modifierades för att följa den reviderade versionen av ISO / IEC 27001:2013 för att ge organisationer ett utmärkt mervärde och förtroende.

Se våra plattformsfunktioner i aktion

En skräddarsydd praktisk session utifrån dina behov och mål

Boka din demo

Håll din ISO 27001 deadline
Boka din demo

Vilka klausuler har ISO 27004?

ISO 27004 består av 8 paragrafer och 3 bilagor. ISO 27004:2016 har fyra nyckelsatser:

  • Skäl (klausul 5)
  • Egenskaper (klausul 6)
  • Typer av åtgärder (klausul 7)
  • Processer (klausul 8)

Tillsammans med 3 kontroller i bilaga A som är informativa:

  • En modell för mätning av informationssäkerhet
  • Mätningskonstruktionsexempel
  • Ett exempel på fritext formmätningskonstruktion

ISO/IEC 27004:2016 klausuler

Klausul 1: Omfattning

Klausul 2: Normativa referenser

Punkt 3: Termer och definitioner

Punkt 4: Struktur och översikt

Klausul 5: Skäl

  • 5.1 Behovet av mätning
  • 5.2 Att uppfylla kraven enligt ISO/IEC 27001
  • 5.3 Giltighet av resultat
  • 5.4 Fördelar

Klausul 6: Egenskaper

  • Allmän 6.1
  • 6.2 Vad som ska övervakas
  • 6.3 Vad man ska mäta
  • 6.4 När ska man övervaka, mäta, analysera och utvärdera
  • 6.5 Vem ska övervaka, mäta, analysera och utvärdera

Punkt 7: Typer av åtgärder

  • Allmän 7.1
  • 7.2 Prestationsmått
  • 7.3 Effektivitetsåtgärder

Klausul 8: Processer

  • Allmän 8.1
  • 8.2 Identifiera informationsbehov
  • 8.3 Skapa och underhålla åtgärder
  • 8.4 Upprätta rutiner
  • 8.5 Övervaka och mäta
  • 8.6 Analysera resultat
  • 8.7 Utvärdera informationssäkerhetsprestanda och ISMS-effektivitet
  • 8.8 Se över och förbättra processerna för övervakning, mätning, analys och utvärdering
  • 8.9 Behåll och kommunicera dokumenterad information

ISO/IEC 27004:2016 bilaga klausuler

Bilaga A: En modell för mätning av informationssäkerhet

Bilaga B: Mätkonstruktionsexempel

  • B.1 Allmänt
  • B.2 Resursfördelning
  • B.3 Policyöversyn
  • B.4 Ledningsengagemang
  • B.5 Riskexponering
  • B.6 Revisionsprogram
  • B.7 Förbättringsåtgärder
  • B.8 Kostnad för säkerhetsincident
  • B.9 Att lära av informationssäkerhetsincidenter
  • B.10 Genomförande av korrigerande åtgärder
  • B.11 ISMS-utbildning eller ISMS-medvetenhet
  • B.12 Informationssäkerhetsutbildning
  • B.13 Efterlevnad av informationssäkerhetsmedvetenhet
  • B.14 Effektivitet av ISMS-kampanjer
  • B.15 Socialteknisk beredskap
  • B.16 Lösenordskvalitet – manual
  • B.17 Lösenordskvalitet – automatiserad
  • B.18 Granskning av användarrättigheter
  • B.19 Systemutvärdering av fysiska inträdeskontroller
  • B.20 Fysiskt inträde kontrollerar effektiviteten
  • B.21 Hantering av periodiskt underhåll
  • B.22 Förändringshantering
  • B.23 Skydd mot skadlig kod
  • B.24 Anti-malware
  • B.25 Total tillgänglighet
  • B.26 Brandväggsregler
  • B.27 Granskning av loggfiler
  • B.28 Enhetskonfiguration
  • B.29 Pentest och sårbarhetsbedömning
  • B.30 Sårbarhetslandskap
  • B.31 Säkerhet i tredjepartsavtal – a
  • B.32 Säkerhet i tredjepartsavtal – B
  • B.33 Informationssäkerhetsincidenthanteringens effektivitet
  • B.34 Säkerhetsincidenter trendB.35 Rapportering av säkerhetshändelser
  • B.36 ISMS granskningsprocessenB.37 Sårbarhetstäckning

Bilaga C: Ett exempel på fritextformmätning
C.1 'Träningseffektivitet' – effektivitetsmätningskonstruktion

Utforska andra standarder inom ISO 27k-familjen

  • 1ISO 27000-familjen
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27003

ISO 27005 »

Håll din ISO 27001 deadline.
Få din offert

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer