ISO / IEC 27004:2016 – Övervakning, mätning, bedömning och utvärdering, erbjuder riktlinjer för hur man bestämmer prestandan för ISO / IEC 27001:2013 ramverket för informationssäkerhet. ISO / IEC 27004:2016 förklarar hur man upprättar och använder bedömningssystem, och granskar och registrerar även effekterna av en serie av informationssäkerhetsåtgärder.
Som det gamla ordspråket säger "Om du inte kan mäta det kan du inte hantera det" men varför behöver vi mäta informationssäkerhet? Till ständigt förbättra vilka metoder, procedurer, policyer och så vidare som finns på plats för att skydda din organisation. Informationssäkerhet är nyckeln till framgången för alla organisationer, ett felaktigt säkerhetsbrott och ditt rykte som en seriös säkerhetsorganisation skadas.
Du kan verkligen inte vara för vaksam när det kommer till informationssäkerhet. Cyberattacker är bland de mest betydande hoten som ett företag kan möta. De säkerhet för personuppgifter och kommersiellt känslig information är väsentlig. Men hur vet du om din ISO / IEC 27001:2013 Information Security Management System (ISMS) gör skillnad?
ISO / IEC 27004:2016 erbjuder riktlinjer för hur man bestämmer prestandan för ISO 27001. Den beskriver hur man skapar och använder utvärderingssystem och hur man analyserar och avslöjar effekterna av en uppsättning av informationssäkerhet metrik.
Det är därför ISO / IEC 27004:2016 erbjuder kritisk och realistisk hjälp till de många företag som implementerar ISO / IEC 27001:2013 för att skydda sig mot den ökande mångfalden av säkerhetsattacker som företaget står inför idag.
Säkerhetsmått kan ge insikt i ISMS:s effektivitet och som sådan stå i centrum. Om du är ingenjör eller entreprenör ansvarig för säkerhet och förvaltning analys, eller en chef som vill ha bättre information om beslutsfattande, har säkerhetsmått blivit ett viktigt verktyg för att kommunicera statusen för en organisations cyberriskställning.
Organisationer behöver stöd för att lösa frågan om organisationens investeringar i informationssäkerhet ledningen är framgångsrik, lämpad för att reagera, försvara och reagera på det ständigt föränderliga cyberriskklimatet.
ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.
Informationssäkerhetschef, Honeysuckle Health
ISO 27004:2009 publicerades första gången 2009 som en del av ISO 27000 familj av standarder, denna reviderades senare 2016 och blev känd som ISO 27004:2016. Båda standarderna är riktlinjer och inte krav, därför är de inte nödvändiga eller kan certifieras mot, men vad de gör mycket bra är att arbeta med de andra ISO 27000-standarderna, som vi kommer att gå vidare till.
ISO / IEC 27004:2016 visar hur man skapar ett informationssäkerhetsmätningsprogram, hur man väljer vad som ska beräknas och hur man använder lämpliga mätprocesser.
Den ger detaljerade beskrivningar av olika typer av kontroller och hur effektiviteten av dessa kontroller kan mätas.
Bland de många fördelarna för organisationer som använder ISO / IEC 27004:2016 är följande:
ISO / IEC 27004:2016 ersatte 2009 års utgåva och modifierades för att följa den reviderade versionen av ISO / IEC 27001:2013 för att ge organisationer ett utmärkt mervärde och förtroende.
En skräddarsydd praktisk session utifrån dina behov och mål
ISO 27004 består av 8 paragrafer och 3 bilagor. ISO 27004:2016 har fyra nyckelsatser:
Tillsammans med 3 kontroller i bilaga A som är informativa:
Klausul 1: Omfattning
Klausul 2: Normativa referenser
Punkt 3: Termer och definitioner
Punkt 4: Struktur och översikt
Klausul 5: Skäl
Klausul 6: Egenskaper
Punkt 7: Typer av åtgärder
Klausul 8: Processer
Bilaga A: En modell för mätning av informationssäkerhet
Bilaga B: Mätkonstruktionsexempel
Bilaga C: Ett exempel på fritextformmätning
C.1 'Träningseffektivitet' – effektivitetsmätningskonstruktion