ISO 27016

Informationssäkerhetshantering – Organisationsekonomi

Boka en demo

kvinnlig, chef, mentor, lära, hjälpa, manlig, praktikant, praktikant, ny, anställd

Vad är ISO/IEC TR 27016:2014?

Informationssäkerhetsproffs behöver ofta motivera investeringar i informationssäkerhetskontroller. Men det finns fortfarande inget universellt sätt bedömning av de ekonomiska konsekvenserna av beslut om informationssäkerhet. ISO/IEC TR 27016:2014 syftar till att lösa detta. ISO 27016 hjälper organisationer att bestämma hur mycket de ska investera i att skydda sin information. Både informationssäkerhetsproffs och chefer kan använda och förstå ISO 27016. Rapporten hjälper dig:

ISO 27016 hjälper dig att tänka på hur ekonomiska faktorer samverkar med andra resurser, inklusive:

  • Personer
  • Equipment
  • faciliteter
  • material
  • Finanser

Du bör också notera att ISO 27016 är en teknisk rapport, inte en standard. En teknisk ISO-rapport ger vägledning om ett ämne med hjälp av information som erhållits från andra källor. Dessa källor inkluderar:

  • Enkäter
  • Övriga rapporter
  • Allmänt tillgänglig information
Se vår plattform i aktion
Läs mer

Vad är historien om ISO/IEC TR 27016:2014?

Den internationella standardiseringsorganisationen (ISO) publicerade ISO 27016 2014. ISO skapade ISO 27016 för att ge vägledning till både informationssäkerhetsproffs och chefer och hjälpa dem:

  • Förstå var de ska investera sin informationssäkerhetsbudget
  • Diskutera de ekonomiska resultaten av deras val av informationssäkerhet

Hur förhåller sig ISO 27016 till andra standarder?

ISO 27016 stöder andra ISO 27k standarder. Den tekniska rapporten ger dig vägledning om informationssäkerhetens ekonomi, och visar dig hur du kan tillämpa ekonomiska eller finansiella modeller för dina infosec-beslut. Den ger beskrivningar och exempel, inklusive:

  • Kostnads-nyttodeklarationer
  • Affärsfall
  • Föreslagna ekonomiska mått

Ekonomiska överväganden måste informera all din infosec-ledning beslut. Att tänka igenom ekonomin är särskilt viktigt när du bestämmer dig för hur du ska:

Vem kan implementera ISO 27016?

Vilken organisation som helst eller storlek kan implementera ISO/IEC TR 27016:2014. Den tekniska rapporten kommer att vara särskilt användbar om du är en senior chef ansvarig för infosec-beslut.

Den syftar till:

  • Verkställande direktörer (VD)
  • Informationschefer (CIO)
  • Chief Information Security Officers (CISO)
  • Information Security Managers (ISM)

ISO 27016 är användbart när du:

Ta reda på hur prisvärt ditt ISMS kan vara
Få din offert

Varför ska vi implementera ISO 27016?

ISO 27016 hjälper dig att införa ekonomiska överväganden i infosec-beslutsprocessen, skapa ett unikt affärscase för att motivera infosec-investeringar.

Din organisation kommer att förstå att den bör behandla informationssäkerhetspolicyer som värdefulla tillgångar i sig.

För att hjälpa dig förstå och förklara den ekonomiska effekten av infosec-beslut innehåller dokumentet:

  • En generell utgångspunktsram
  • Exempeltext som du kan anpassa och använda

Informationssäkerhetspolicyer behöver en brett utbud av kontroller för att vara effektiva. Din organisation måste investera i dessa kontroller. ISO 27016 hjälper dig att göra ett tydligt ekonomiskt fall för varje kontroll. Du kommer att visa att var och en av dem skapar en tydligt definierad avkastning på investeringen.

Hur mycket kostar informationssäkerhet?

Frågar "hur mycket kostar infosec?" är som att fråga "hur lång är ett snöre?". Kostnaden för att säkra din information beror på din organisations typ och skala. För att ställa in din infosec-budget måste du tänka igenom:

  • Hur mycket din organisation omsätter
  • Hur kostsamt ett infosec-brott kan vara

ISO 27016 hjälper dig att förstå hur mycket din organisation kan och bör spendera på informationssäkerhet.

Vilka är fördelarna med ISO 27016?

ISO 27016 hjälper dig att bestämma hur mycket du vill investera för att skydda dina informationstillgångar. Rapporten hjälper dig att motivera din infosec-budget och ge infosec-investeringsrekommendationer.

Rapporten uppmuntrar dig att föra breda ekonomiska argument och sätta upp breda mål. Det kan be dig att överväga att sätta upp ett ISO 27k ledningssystem för informationssäkerhet (ISMS), eller utforska de potentiella politiska, sociala och juridiska konsekvenserna av dina infosec-val.

Rapporten guidar dig också genom detaljerna i dess infosec-rekommendationer. Till exempel kommer det att hjälpa dig:

  • Spendera rätt summa på ditt ISMS, inte för lite eller för mycket
  • Välj mellan att investera i informationsriskhantering och säkerhet kontroller
  • Bedöm värdet av dina informationstillgångar och de potentiella kostnaderna för hot mot dem

Vilka är kraven för ISO 27016?

ISO 27016 har åtta klausuler och fyra bilagor. Punkterna 1 till 5 fastställer standardens sammanhang och referenser. Klausul 6 definierar ekonomiska faktorer att ta hänsyn till när du implementerar dina informationssäkerhetskontroller. Du måste tänka igenom:

Klausul 7 talar om för dig vilka ekonomiska mål din organisation bör överväga och hur du uppskattar värdet av dina informationstillgångar. Klausul 8 ber dig att balansera kostnaderna för informationssäkerhet med dess potentiella fördelar. Rapporten avslutas med fyra bilagor som hjälper dig att tänka igenom den större ekonomiska, sociala och politiska bilden.

Här är hela listan över allt som ISO 27016 innehåller:

Se våra plattformsfunktioner i aktion

En skräddarsydd praktisk session utifrån dina behov och mål

Boka din demo

ISO/IEC TR 27016:2014 klausuler

Klausul 1: Omfattning

Klausul 2: Normativa referenser

Punkt 3: Termer och definitioner

Klausul 4: Förkortade termer

Klausul 5: Dokumentets struktur

Punkt 6: Informationssäkerhet ekonomiska faktorer

Punkt 7: Ekonomiska mål

Klausul 8: Balansering av informationssäkerhetsekonomi för ISM

  • 8.1 Inledning
  • 8.2 Ekonomiska fördelar
  • 8.3 Ekonomiska kostnader
  • 8.4 Tillämpa ekonomiska beräkningar på ISM
    • 8.4.1 Översikt
    • Vägledning 8.4.2
    • 8.4.3 Ett affärsfall baserat på en organisationsövergripande strategi (Kategori A)
    • 8.4.4 Ett affärscase baserat på en del av organisationen (kategori B)

ISO/IEC TR 27016:2014 bilaga klausuler

Bilaga A: Identifiering av intressenter och mål för värdesättning

  • A.1 Översikt
  • A.2 Kritiska offentliga eller privata sektorer
  • A.3 Folkhälsa och säkerhet
  • A.4 Samhälle och gemenskap
  • A.5 Personlig information
  • A.6 Miljö
  • A.7 Konkurrens

Bilaga B: Ekonomiska beslut och viktiga beslutsfaktorer

Bilaga C: Ekonomiska modeller lämpliga för informationssäkerhet

  • C.1 Allmän information
  • C.2 Basic Value Model (BVM)
  • C.3 Negativ till positiv modell
  • C.4 Generisk balansinvestering för skyddskostnad vs värdeteori
  • C.5 Generisk investeringsberäkning — kostnadsnyttoberäkning

Bilaga D: Beräkningsexempel för affärsfall

  • D.1 Beräkningsexempel för organisatoriskt affärsfall (Ref. A)
  • D.2 Beräkningsexempel för partiellt organisatoriskt affärsfall (ref. B)
  • D.3 Exempel på tillgång/kontrollfall (ref. B)

Utforska andra standarder inom ISO 27k-familjen

  • 1ISO 27000-familjen
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27013

ISO 27017 »

Se ISMS.online-plattformen i aktion
Boka din demo

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer