Informationssäkerhetsproffs behöver ofta motivera investeringar i informationssäkerhetskontroller. Men det finns fortfarande inget universellt sätt bedömning av de ekonomiska konsekvenserna av beslut om informationssäkerhet. ISO/IEC TR 27016:2014 syftar till att lösa detta. ISO 27016 hjälper organisationer att bestämma hur mycket de ska investera i att skydda sin information. Både informationssäkerhetsproffs och chefer kan använda och förstå ISO 27016. Rapporten hjälper dig:
ISO 27016 hjälper dig att tänka på hur ekonomiska faktorer samverkar med andra resurser, inklusive:
Du bör också notera att ISO 27016 är en teknisk rapport, inte en standard. En teknisk ISO-rapport ger vägledning om ett ämne med hjälp av information som erhållits från andra källor. Dessa källor inkluderar:
Den internationella standardiseringsorganisationen (ISO) publicerade ISO 27016 2014. ISO skapade ISO 27016 för att ge vägledning till både informationssäkerhetsproffs och chefer och hjälpa dem:
ISO 27016 stöder andra ISO 27k standarder. Den tekniska rapporten ger dig vägledning om informationssäkerhetens ekonomi, och visar dig hur du kan tillämpa ekonomiska eller finansiella modeller för dina infosec-beslut. Den ger beskrivningar och exempel, inklusive:
Ekonomiska överväganden måste informera all din infosec-ledning beslut. Att tänka igenom ekonomin är särskilt viktigt när du bestämmer dig för hur du ska:
Vilken organisation som helst eller storlek kan implementera ISO/IEC TR 27016:2014. Den tekniska rapporten kommer att vara särskilt användbar om du är en senior chef ansvarig för infosec-beslut.
Den syftar till:
ISO 27016 är användbart när du:
ISO 27016 hjälper dig att införa ekonomiska överväganden i infosec-beslutsprocessen, skapa ett unikt affärscase för att motivera infosec-investeringar.
Din organisation kommer att förstå att den bör behandla informationssäkerhetspolicyer som värdefulla tillgångar i sig.
För att hjälpa dig förstå och förklara den ekonomiska effekten av infosec-beslut innehåller dokumentet:
Informationssäkerhetspolicyer behöver en brett utbud av kontroller för att vara effektiva. Din organisation måste investera i dessa kontroller. ISO 27016 hjälper dig att göra ett tydligt ekonomiskt fall för varje kontroll. Du kommer att visa att var och en av dem skapar en tydligt definierad avkastning på investeringen.
Frågar "hur mycket kostar infosec?" är som att fråga "hur lång är ett snöre?". Kostnaden för att säkra din information beror på din organisations typ och skala. För att ställa in din infosec-budget måste du tänka igenom:
ISO 27016 hjälper dig att förstå hur mycket din organisation kan och bör spendera på informationssäkerhet.
ISO 27016 hjälper dig att bestämma hur mycket du vill investera för att skydda dina informationstillgångar. Rapporten hjälper dig att motivera din infosec-budget och ge infosec-investeringsrekommendationer.
Rapporten uppmuntrar dig att föra breda ekonomiska argument och sätta upp breda mål. Det kan be dig att överväga att sätta upp ett ISO 27k ledningssystem för informationssäkerhet (ISMS), eller utforska de potentiella politiska, sociala och juridiska konsekvenserna av dina infosec-val.
Rapporten guidar dig också genom detaljerna i dess infosec-rekommendationer. Till exempel kommer det att hjälpa dig:
ISO 27016 har åtta klausuler och fyra bilagor. Punkterna 1 till 5 fastställer standardens sammanhang och referenser. Klausul 6 definierar ekonomiska faktorer att ta hänsyn till när du implementerar dina informationssäkerhetskontroller. Du måste tänka igenom:
Klausul 7 talar om för dig vilka ekonomiska mål din organisation bör överväga och hur du uppskattar värdet av dina informationstillgångar. Klausul 8 ber dig att balansera kostnaderna för informationssäkerhet med dess potentiella fördelar. Rapporten avslutas med fyra bilagor som hjälper dig att tänka igenom den större ekonomiska, sociala och politiska bilden.
Här är hela listan över allt som ISO 27016 innehåller:
En skräddarsydd praktisk session utifrån dina behov och mål
Klausul 1: Omfattning
Klausul 2: Normativa referenser
Punkt 3: Termer och definitioner
Klausul 4: Förkortade termer
Klausul 5: Dokumentets struktur
Punkt 6: Informationssäkerhet ekonomiska faktorer
Punkt 7: Ekonomiska mål
Klausul 8: Balansering av informationssäkerhetsekonomi för ISM
Bilaga A: Identifiering av intressenter och mål för värdesättning
Bilaga B: Ekonomiska beslut och viktiga beslutsfaktorer
Bilaga C: Ekonomiska modeller lämpliga för informationssäkerhet
Bilaga D: Beräkningsexempel för affärsfall