Hvad er ISO 27004?
ISO/IEC 27004:2016 – Overvågning, måling, vurdering og evaluering, tilbyder retningslinjer for, hvordan man bestemmer ydeevnen af ISO/IEC 27001:2013 informationssikkerhedsstyringsramme. ISO/IEC 27004:2016 forklarer, hvordan man etablerer og driver vurderingssystemer, og gennemgår og registrerer også effekterne af en række informationssikkerhedsforanstaltninger.
Sådan måler du informationssikkerhed
Som det gamle ordsprog siger "Hvis du ikke kan måle det, kan du ikke styre det", men hvorfor skal vi måle informationssikkerhed? Til løbende forbedre hvilke metoder, procedurer, politikker og så videre, der er på plads for at beskytte din organisation. Informationssikkerhed er nøglen til succes for enhver organisation, et forkert sikkerhedsbrud og dit omdømme som en alvorlig sikkerhedsorganisation er skadet.
Du kan virkelig ikke være for på vagt, når det kommer til informationssikkerhed. Cyberangreb er blandt de væsentligste trusler, som en virksomhed kan stå over for. Det sikkerhed af personlige data og kommercielt følsomme oplysninger er afgørende. Men hvordan kan du se, om din ISO / IEC 27001:2013 Information Security Management System (ISMS) gør en forskel?
SO / IEC 27004:2016 er her for at hjælpe dig.
ISO / IEC 27004:2016 giver retningslinjer for, hvordan man bestemmer ydeevnen af ISO 27001. Den beskriver, hvordan man opretter og driver evalueringssystemer, og hvordan man analyserer og afslører virkningerne af et sæt af informationssikkerhed målinger.
Derfor tilbyder ISO/IEC 27004:2016 kritisk og realistisk hjælp til de mange virksomheder, der implementerer ISO/IEC 27001:2013 for at beskytte sig mod den stigende mangfoldighed af sikkerhedsangreb, som virksomheden står over for i dag.
Sikkerhedsmålinger kan give indsigt i effektiviteten af ISMS og som sådan stå i centrum. Hvis du er ingeniør eller entreprenør ansvarlig for sikkerhed og ledelse analyse, eller en leder, der ønsker bedre beslutningstagningsinformation, er sikkerhedsmålinger blevet et afgørende middel til at kommunikere status for en organisations cyberrisikoposition.
Organisationer har brug for støtte til at løse spørgsmålet om, hvorvidt organisationens investering i informationssikkerhed ledelse er succesfuld, egnet til at reagere, forsvare og reagere på det stadigt skiftende cyberrisikoklima.
Historien om ISO/IEC 27004:2016
ISO 27004:2009 blev først offentliggjort i 2009 som en del af ISO 27000 familie af standarder, denne blev senere revideret i 2016 og blev kendt som ISO 27004:2016. Begge standarder er retningslinjer og ikke krav, derfor er de ikke nødvendige eller kan certificeres imod, men hvad de gør meget godt, er at arbejde med de andre ISO 27000 standarder, som vi vil gå videre til.
ISO / IEC 27004:2016 kan give forskellige fordele
ISO / IEC 27004:2016 viser, hvordan man opretter et informationssikkerhedsmåleprogram, hvordan man vælger, hvad der skal beregnes, og hvordan man betjener de relevante måleprocesser.
Den giver detaljerede beskrivelser af forskellige typer kontroller, og hvordan effektiviteten af disse kontroller kan måles.
Blandt de mange fordele for organisationer, der bruger ISO / IEC 27004:2016, er følgende:
- Øget gennemsigtighed
- Forbedret effektivitet af informationsstyring og ISMS-processer
- Bevis for overensstemmelse med specifikationerne i ISO/IEC 27001:2013 samt relevante regler, lovgivning og forskrifter
ISO / IEC 27004:2016 erstattede 2009-udgaven og blev ændret for at overholde den reviderede version af ISO / IEC 27001:2013 for at give organisationer fremragende merværdi og tillid.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilke klausuler har ISO 27004?
ISO 27004 består af 8 paragraffer og 3 bilag. ISO 27004:2016 har 4 nøgleklausuler:
- Begrundelse (klausul 5)
- Karakteristika (klausul 6)
- Typer af foranstaltninger (klausul 7)
- Processer (klausul 8)
Sammen med 3 bilag A kontroller, som er informative:
- En model for måling af informationssikkerhed
- Målekonstruktionseksempler
- Et eksempel på fritekstformmålingskonstruktion
ISO/IEC 27004:2016 klausuler
Punkt 1: Anvendelsesområde
Punkt 2: Normative referencer
Punkt 3: Begreber og definitioner
Punkt 4: Struktur og overblik
Punkt 5: Begrundelse
- 5.1 Behovet for måling
- 5.2 Opfyldelse af ISO/IEC 27001-kravene
- 5.3 Resultaternes gyldighed
- 5.4 Fordele
Punkt 6: Karakteristika
- 6.1 Generelt
- 6.2 Hvad skal overvåges
- 6.3 Hvad skal måles
- 6.4 Hvornår skal overvåges, måles, analyseres og evalueres
- 6.5 Hvem skal overvåge, måle, analysere og evaluere
Punkt 7: Typer af foranstaltninger
- 7.1 Generelt
- 7.2 Præstationsmål
- 7.3 Effektivitetstiltag
Punkt 8: Processer
- 8.1 Generelt
- 8.2 Identificer informationsbehov
- 8.3 Opret og vedligehold foranstaltninger
- 8.4 Etabler procedurer
- 8.5 Overvåg og mål
- 8.6 Analyser resultater
- 8.7 Evaluer informationssikkerhedens ydeevne og ISMS-effektiviteten
- 8.8 Gennemgå og forbedre overvågnings-, målings-, analyse- og evalueringsprocesser
- 8.9 Opbevare og kommunikere dokumenteret information
ISO/IEC 27004:2016 bilagsklausuler
Bilag A: En model for måling af informationssikkerhed
Bilag B: Målekonstruktionseksempler
- B.1 Generelt
- F.2 ressourcetildeling
- B.3 Politikgennemgang
- B.4 Ledelsens engagement
- B.5 Risikoeksponering
- B.6 Revisionsprogram
- B.7 Forbedringsforanstaltninger
- B.8 Udgifter til sikkerhedshændelser
- B.9 At lære af informationssikkerhedshændelser
- B.10 Implementering af korrigerende handlinger
- B.11 ISMS-træning eller ISMS-bevidsthed
- B.12 Informationssikkerhedsuddannelse
- B.13 Bevidsthed om informationssikkerhed Compliance
- B.14 ISMS-oplysningskampagners effektivitet
- B.15 Socialteknisk beredskab
- B.16 Adgangskodekvalitet – manual
- B.17 Adgangskodekvalitet – automatiseret
- B.18 Gennemgang af brugeradgangsrettigheder
- B.19 Evaluering af fysiske adgangskontrolsystemer
- B.20 Fysisk adgang kontrollerer effektiviteten
- B.21 Styring af periodisk vedligeholdelse
- B.22 Forandringsledelse
- B.23 Beskyttelse mod ondsindet kode
- B.24 Anti-malware
- B.25 Samlet tilgængelighed
- B.26 Firewall-regler
- B.27 Gennemgang af logfiler
- B.28 Enhedskonfiguration
- B.29 Pentest og sårbarhedsvurdering
- B.30 Sårbarhedslandskab
- B.31 Sikkerhed i tredjepartsaftaler – a
- B.32 Sikkerhed i tredjepartsaftaler – B
- B.33 Effektivitet i håndtering af informationssikkerhedshændelser
- B.34 Tendens til sikkerhedshændelser
- B.35 Rapportering af sikkerhedshændelser
- B.36 ISMS-gennemgangsproces
- B.37 Sårbarhedsdækning
Bilag C: Et eksempel på fritekstformmålingskonstruktion
- C.1 'Træningseffektivitet' – effektivitetsmålingskonstruktion
