ISO/IEC 27004:2016 – Overvågning, måling, vurdering og evaluering, tilbyder retningslinjer for, hvordan man bestemmer ydeevnen af ISO/IEC 27001:2013 informationssikkerhedsstyringsramme. ISO/IEC 27004:2016 forklarer, hvordan man etablerer og driver vurderingssystemer, og gennemgår og registrerer også effekterne af en række informationssikkerhedsforanstaltninger.
Som det gamle ordsprog siger "Hvis du ikke kan måle det, kan du ikke styre det", men hvorfor skal vi måle informationssikkerhed? Til løbende forbedre hvilke metoder, procedurer, politikker og så videre, der er på plads for at beskytte din organisation. Informationssikkerhed er nøglen til succes for enhver organisation, et forkert sikkerhedsbrud og dit omdømme som en alvorlig sikkerhedsorganisation er skadet.
Du kan virkelig ikke være for på vagt, når det kommer til informationssikkerhed. Cyberangreb er blandt de væsentligste trusler, som en virksomhed kan stå over for. Det sikkerhed af personlige data og kommercielt følsomme oplysninger er afgørende. Men hvordan kan du se, om din ISO / IEC 27001:2013 Information Security Management System (ISMS) gør en forskel?
ISO / IEC 27004:2016 giver retningslinjer for, hvordan man bestemmer ydeevnen af ISO 27001. Den beskriver, hvordan man opretter og driver evalueringssystemer, og hvordan man analyserer og afslører virkningerne af et sæt af informationssikkerhed målinger.
Derfor tilbyder ISO/IEC 27004:2016 kritisk og realistisk hjælp til de mange virksomheder, der implementerer ISO/IEC 27001:2013 for at beskytte sig mod den stigende mangfoldighed af sikkerhedsangreb, som virksomheden står over for i dag.
Sikkerhedsmålinger kan give indsigt i effektiviteten af ISMS og som sådan stå i centrum. Hvis du er ingeniør eller entreprenør ansvarlig for sikkerhed og ledelse analyse, eller en leder, der ønsker bedre beslutningstagningsinformation, er sikkerhedsmålinger blevet et afgørende middel til at kommunikere status for en organisations cyberrisikoposition.
Organisationer har brug for støtte til at løse spørgsmålet om, hvorvidt organisationens investering i informationssikkerhed ledelse er succesfuld, egnet til at reagere, forsvare og reagere på det stadigt skiftende cyberrisikoklima.
ISMS.online vil spare dig tid og penge til ISO 27001-certificering og gøre det nemt at vedligeholde.
Informationssikkerhedschef, Honeysuckle Health
ISO 27004:2009 blev først offentliggjort i 2009 som en del af ISO 27000 familie af standarder, denne blev senere revideret i 2016 og blev kendt som ISO 27004:2016. Begge standarder er retningslinjer og ikke krav, derfor er de ikke nødvendige eller kan certificeres imod, men hvad de gør meget godt, er at arbejde med de andre ISO 27000 standarder, som vi vil gå videre til.
ISO / IEC 27004:2016 viser, hvordan man opretter et informationssikkerhedsmåleprogram, hvordan man vælger, hvad der skal beregnes, og hvordan man betjener de relevante måleprocesser.
Den giver detaljerede beskrivelser af forskellige typer kontroller, og hvordan effektiviteten af disse kontroller kan måles.
Blandt de mange fordele for organisationer, der bruger ISO / IEC 27004:2016, er følgende:
ISO / IEC 27004:2016 erstattede 2009-udgaven og blev ændret for at overholde den reviderede version af ISO / IEC 27001:2013 for at give organisationer fremragende merværdi og tillid.
En skræddersyet hands-on session baseret på dine behov og mål
ISO 27004 består af 8 paragraffer og 3 bilag. ISO 27004:2016 har 4 nøgleklausuler:
Sammen med 3 bilag A kontroller, som er informative:
Punkt 1: Anvendelsesområde
Punkt 2: Normative referencer
Punkt 3: Begreber og definitioner
Punkt 4: Struktur og overblik
Punkt 5: Begrundelse
Punkt 6: Karakteristika
Punkt 7: Typer af foranstaltninger
Punkt 8: Processer
Bilag A: En model for måling af informationssikkerhed
Bilag B: Målekonstruktionseksempler
Bilag C: Et eksempel på fritekstformmålingskonstruktion
C.1 'Træningseffektivitet' – effektivitetsmålingskonstruktion