ISO 27004: 2016

Overvågning, måling, vurdering og evaluering

Book en demo

opnår,bedste,resultater.,to,sikker,unge,mænd,kigger på,laptop

Hvad er ISO 27004?

ISO/IEC 27004:2016 – Overvågning, måling, vurdering og evaluering, tilbyder retningslinjer for, hvordan man bestemmer ydeevnen af ​​ISO/IEC 27001:2013 informationssikkerhedsstyringsramme. ISO/IEC 27004:2016 forklarer, hvordan man etablerer og driver vurderingssystemer, og gennemgår og registrerer også effekterne af en række informationssikkerhedsforanstaltninger.

Sådan måler du informationssikkerhed

Som det gamle ordsprog siger "Hvis du ikke kan måle det, kan du ikke styre det", men hvorfor skal vi måle informationssikkerhed? Til løbende forbedre hvilke metoder, procedurer, politikker og så videre, der er på plads for at beskytte din organisation. Informationssikkerhed er nøglen til succes for enhver organisation, et forkert sikkerhedsbrud og dit omdømme som en alvorlig sikkerhedsorganisation er skadet.

Du kan virkelig ikke være for på vagt, når det kommer til informationssikkerhed. Cyberangreb er blandt de væsentligste trusler, som en virksomhed kan stå over for. Det sikkerhed af personlige data og kommercielt følsomme oplysninger er afgørende. Men hvordan kan du se, om din ISO / IEC 27001:2013 Information Security Management System (ISMS) gør en forskel?

SO / IEC 27004:2016 er her for at hjælpe dig.

ISO / IEC 27004:2016 giver retningslinjer for, hvordan man bestemmer ydeevnen af ​​ISO 27001. Den beskriver, hvordan man opretter og driver evalueringssystemer, og hvordan man analyserer og afslører virkningerne af et sæt af informationssikkerhed målinger.

Derfor tilbyder ISO/IEC 27004:2016 kritisk og realistisk hjælp til de mange virksomheder, der implementerer ISO/IEC 27001:2013 for at beskytte sig mod den stigende mangfoldighed af sikkerhedsangreb, som virksomheden står over for i dag.

Sikkerhedsmålinger kan give indsigt i effektiviteten af ​​ISMS og som sådan stå i centrum. Hvis du er ingeniør eller entreprenør ansvarlig for sikkerhed og ledelse analyse, eller en leder, der ønsker bedre beslutningstagningsinformation, er sikkerhedsmålinger blevet et afgørende middel til at kommunikere status for en organisations cyberrisikoposition.

Organisationer har brug for støtte til at løse spørgsmålet om, hvorvidt organisationens investering i informationssikkerhed ledelse er succesfuld, egnet til at reagere, forsvare og reagere på det stadigt skiftende cyberrisikoklima.

ISMS.online vil spare dig tid og penge til ISO 27001-certificering og gøre det nemt at vedligeholde.

Daniel Clements

Informationssikkerhedschef, Honeysuckle Health

Book en demo

Historien om ISO/IEC 27004:2016

ISO 27004:2009 blev først offentliggjort i 2009 som en del af ISO 27000 familie af standarder, denne blev senere revideret i 2016 og blev kendt som ISO 27004:2016. Begge standarder er retningslinjer og ikke krav, derfor er de ikke nødvendige eller kan certificeres imod, men hvad de gør meget godt, er at arbejde med de andre ISO 27000 standarder, som vi vil gå videre til.

ISO / IEC 27004:2016 kan give forskellige fordele

ISO / IEC 27004:2016 viser, hvordan man opretter et informationssikkerhedsmåleprogram, hvordan man vælger, hvad der skal beregnes, og hvordan man betjener de relevante måleprocesser.

Den giver detaljerede beskrivelser af forskellige typer kontroller, og hvordan effektiviteten af ​​disse kontroller kan måles.

Blandt de mange fordele for organisationer, der bruger ISO / IEC 27004:2016, er følgende:

  • Øget gennemsigtighed
  • Forbedret effektivitet af informationsstyring og ISMS-processer
  • Bevis for overensstemmelse med specifikationerne i ISO/IEC 27001:2013 samt relevante regler, lovgivning og forskrifter

ISO / IEC 27004:2016 erstattede 2009-udgaven og blev ændret for at overholde den reviderede version af ISO / IEC 27001:2013 for at give organisationer fremragende merværdi og tillid.

Se vores platformfunktioner i aktion

En skræddersyet hands-on session baseret på dine behov og mål

Book din demo

Ram din ISO 27001 deadline
Book din demo

Hvilke klausuler har ISO 27004?

ISO 27004 består af 8 paragraffer og 3 bilag. ISO 27004:2016 har 4 nøgleklausuler:

  • Begrundelse (klausul 5)
  • Karakteristika (klausul 6)
  • Typer af foranstaltninger (klausul 7)
  • Processer (klausul 8)

Sammen med 3 bilag A kontroller, som er informative:

  • En model for måling af informationssikkerhed
  • Målekonstruktionseksempler
  • Et eksempel på fritekstformmålingskonstruktion

ISO/IEC 27004:2016 klausuler

Punkt 1: Anvendelsesområde

Punkt 2: Normative referencer

Punkt 3: Begreber og definitioner

Punkt 4: Struktur og overblik

Punkt 5: Begrundelse

  • 5.1 Behovet for måling
  • 5.2 Opfyldelse af ISO/IEC 27001-kravene
  • 5.3 Resultaternes gyldighed
  • 5.4 Fordele

Punkt 6: Karakteristika

  • 6.1 Generelt
  • 6.2 Hvad skal overvåges
  • 6.3 Hvad skal måles
  • 6.4 Hvornår skal overvåges, måles, analyseres og evalueres
  • 6.5 Hvem skal overvåge, måle, analysere og evaluere

Punkt 7: Typer af foranstaltninger

  • 7.1 Generelt
  • 7.2 Præstationsmål
  • 7.3 Effektivitetstiltag

Punkt 8: Processer

  • 8.1 Generelt
  • 8.2 Identificer informationsbehov
  • 8.3 Opret og vedligehold foranstaltninger
  • 8.4 Etabler procedurer
  • 8.5 Overvåg og mål
  • 8.6 Analyser resultater
  • 8.7 Evaluer informationssikkerhedens ydeevne og ISMS-effektiviteten
  • 8.8 Gennemgå og forbedre overvågnings-, målings-, analyse- og evalueringsprocesser
  • 8.9 Opbevare og kommunikere dokumenteret information

ISO/IEC 27004:2016 bilagsklausuler

Bilag A: En model for måling af informationssikkerhed

Bilag B: Målekonstruktionseksempler

  • B.1 Generelt
  • B.2 Ressourceallokering
  • B.3 Politikgennemgang
  • B.4 Ledelsens engagement
  • B.5 Risikoeksponering
  • B.6 Revisionsprogram
  • B.7 Forbedringsforanstaltninger
  • B.8 Udgifter til sikkerhedshændelser
  • B.9 At lære af informationssikkerhedshændelser
  • B.10 Implementering af korrigerende handlinger
  • B.11 ISMS-træning eller ISMS-bevidsthed
  • B.12 Informationssikkerhedsuddannelse
  • B.13 Overholdelse af informationssikkerhedsbevidsthed
  • B.14 ISMS-oplysningskampagners effektivitet
  • B.15 Socialteknisk beredskab
  • B.16 Adgangskodekvalitet – manual
  • B.17 Adgangskodekvalitet – automatiseret
  • B.18 Gennemgang af brugeradgangsrettigheder
  • B.19 Evaluering af fysiske adgangskontrolsystemer
  • B.20 Fysisk adgang kontrollerer effektiviteten
  • B.21 Styring af periodisk vedligeholdelse
  • B.22 Forandringsledelse
  • B.23 Beskyttelse mod ondsindet kode
  • B.24 Anti-malware
  • B.25 Samlet tilgængelighed
  • B.26 Firewall-regler
  • B.27 Gennemgang af logfiler
  • B.28 Enhedskonfiguration
  • B.29 Pentest og sårbarhedsvurdering
  • B.30 Sårbarhedslandskab
  • B.31 Sikkerhed i tredjepartsaftaler – a
  • B.32 Sikkerhed i tredjepartsaftaler – B
  • B.33 Effektivitet i håndtering af informationssikkerhedshændelser
  • B.34 Sikkerhedshændelser trendB.35 Rapportering af sikkerhedshændelser
  • B.36 ISMS-gennemgangsprocesB.37 Sårbarhedsdækning

Bilag C: Et eksempel på fritekstformmålingskonstruktion
C.1 'Træningseffektivitet' – effektivitetsmålingskonstruktion

Udforsk andre standarder inden for ISO 27k-familien

  • 1ISO 27000 familien
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27003

ISO 27005 »

Ram din ISO 27001 deadline.
Få dit tilbud

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere