ISO 27016

Informationssikkerhedsstyring – Organisationsøkonomi

Book en demo

kvinde, leder, mentor, underviser, hjælper, mandlig, praktikant, praktikant, ny, medarbejder

Hvad er ISO/IEC TR 27016:2014?

Informationssikkerhedsprofessionelle skal ofte retfærdiggøre investeringer i informationssikkerhedskontroller. Men der er stadig ingen universel måde at gøre det på vurdering af de økonomiske konsekvenser af beslutninger om informationssikkerhed. ISO/IEC TR 27016:2014 har til formål at løse dette. ISO 27016 hjælper organisationer med at beslutte, hvor meget de skal investere i at beskytte deres oplysninger. Både informationssikkerhedsprofessionelle og generelle ledere kan bruge og forstå ISO 27016. Rapporten vil hjælpe dig:

ISO 27016 hjælper dig med at tænke over, hvordan økonomiske faktorer interagerer med andre ressourcer, herunder:

  • Mennesker
  • Udstyr
  • Faciliteter
  • Materialer
  • økonomi

Du skal også bemærke, at ISO 27016 er en teknisk rapport, ikke en standard. En teknisk ISO-rapport giver vejledning om et emne ved hjælp af information indhentet fra andre kilder. Disse kilder omfatter:

  • Undersøgelser
  • Andre rapporter
  • Generelt tilgængelig information
Se vores platform i aktion
Find ud af mere

Hvad er historien om ISO/IEC TR 27016:2014?

Den Internationale Standardiseringsorganisation (ISO) udgav ISO 27016 i 2014. ISO oprettede ISO 27016 for at give vejledning til både informationssikkerhedsprofessionelle og generelle ledere og hjælpe dem:

  • Forstå, hvor de skal investere deres informationssikkerhedsbudget
  • Diskuter de økonomiske resultater af deres valg af informationssikkerhed

Hvordan forholder ISO 27016 sig til andre standarder?

ISO 27016 understøtter andre ISO 27k standarder. Den tekniske rapport giver dig vejledning om økonomien i informationssikkerhed, og viser dig, hvordan du anvender økonomiske eller finansielle modeller til dine infosec-beslutninger. Det giver beskrivelser og eksempler, herunder:

  • Cost-benefit opgørelser
  • Business cases
  • Foreslåede økonomiske målinger

Økonomiske overvejelser skal informere hele din infosec-ledelse beslutninger. At tænke økonomien igennem er særlig vigtig, når du beslutter dig for, hvordan du:

Hvem kan implementere ISO 27016?

Enhver form eller størrelse af organisation kan implementere ISO/IEC TR 27016:2014. Den tekniske rapport vil være særlig nyttig, hvis du er en senior manager ansvarlig for infosec beslutninger.

Det er rettet mod:

  • administrerende direktører (CEO'er)
  • Chief Information Officers (CIO'er)
  • Chief Information Security Officers (CISO'er)
  • Information Security Managers (ISM)

Du vil finde ISO 27016 nyttig, når du er:

Find ud af, hvor overkommelig dit ISMS kan være
Få dit tilbud

Hvorfor skal vi implementere ISO 27016?

ISO 27016 vil hjælpe dig med at indføre økonomiske overvejelser i infosec-beslutningsprocessen, skabe en unik business case for at retfærdiggøre infosec investering.

Din organisation vil forstå, at den skal behandle informationssikkerhedspolitikker som værdifulde aktiver i sig selv.

For at hjælpe dig med at forstå og forklare den økonomiske virkning af infosec-beslutninger indeholder dokumentet:

  • En generel udgangspunktramme
  • Eksempeltekst, som du kan tilpasse og bruge

Informationssikkerhedspolitikker har brug for en bred vifte af kontroller for at være effektive. Din organisation bliver nødt til at investere i disse kontroller. ISO 27016 hjælper dig med at lave en klar økonomisk sag for hver kontrol. Du vil vise, at hver af dem skaber et klart defineret investeringsafkast.

Hvor meget koster informationssikkerhed?

Spørger 'hvor meget koster infosec?' er som at spørge 'hvor lang er et stykke snor?'. Omkostningerne ved at sikre dine oplysninger vil afhænge af din organisations type og omfang. For at indstille dit infosec-budget skal du tænke igennem:

  • Hvor meget din organisation omsætter
  • Hvor dyrt kan et infosec-brud være

ISO 27016 hjælper dig med at forstå, hvor meget din organisation kan og bør bruge på informationssikkerhed.

Hvad er fordelene ved ISO 27016?

ISO 27016 hjælper dig med at beslutte, hvor meget du vil investere for at beskytte dine informationsaktiver. Rapporten hjælper dig med at retfærdiggøre dit infosec-budget og komme med infosec-investeringsanbefalinger.

Rapporten opfordrer dig til at komme med brede økonomiske argumenter og sætte vidtgående mål. Det kan bede dig om at overveje at opsætte et ISO 27k informationssikkerhedsstyringssystem (ISMS) eller at udforske de potentielle politiske, sociale og juridiske konsekvenser af dine infosec-valg.

Rapporten vil også guide dig gennem de fine detaljer i dens infosec-anbefalinger. For eksempel vil det hjælpe dig:

  • Brug det rigtige beløb på dit ISMS, ikke for lidt eller for meget
  • Vælg mellem at investere i informationsrisikostyring og sikkerhed kontrol
  • Vurder værdien af ​​dine informationsaktiver og de potentielle omkostninger ved trusler mod dem

Hvad er kravene til ISO 27016?

ISO 27016 har otte klausuler og fire bilag. Punkt 1 til 5 fastlægger standardens kontekst og referencer. Klausul 6 definerer økonomiske faktorer, der skal tages i betragtning, når du implementerer dine informationssikkerhedskontroller. Du skal tænke igennem:

Klausul 7 fortæller dig, hvilke økonomiske mål din organisation bør overveje, og hvordan du vurderer værdien af ​​dine informationsaktiver. Paragraf 8 beder dig om at balancere omkostningerne ved informationssikkerhed med de potentielle fordele. Rapporten slutter med fire bilag, der hjælper dig med at gennemtænke det større økonomiske, sociale og politiske billede.

Her er den fulde liste over alt, hvad ISO 27016 inkluderer:

Se vores platformfunktioner i aktion

En skræddersyet hands-on session baseret på dine behov og mål

Book din demo

ISO/IEC TR 27016:2014 klausuler

Punkt 1: Anvendelsesområde

Punkt 2: Normative referencer

Punkt 3: Begreber og definitioner

Punkt 4: Forkortede udtryk

Punkt 5: Dokumentets struktur

Punkt 6: Informationssikkerhed økonomiske faktorer

Punkt 7: Økonomiske mål

Punkt 8: Afbalancering af informationssikkerhedsøkonomi for ISM

  • 8.1 Indledning
  • 8.2 Økonomiske fordele
  • 8.3 Økonomiske omkostninger
  • 8.4 Anvendelse af økonomiske beregninger på ISM
    • 8.4.1 Oversigt
    • Vejledning i 8.4.2
    • 8.4.3 En Business Case baseret på en organisationsdækkende tilgang (Kategori A)
    • 8.4.4 En Business Case baseret på en del af organisationen (Kategori B)

ISO/IEC TR 27016:2014 bilagsklausuler

Bilag A: Identifikation af interessenter og mål for værdifastsættelse

  • A.1 Oversigt
  • A.2 Kritiske offentlige eller private sektorer
  • A.3 Folkesundhed og sikkerhed
  • A.4 Samfund og fællesskab
  • A.5 Personlige oplysninger
  • A.6 Miljø
  • A.7 Konkurrence

Bilag B: Økonomiske beslutninger og centrale beslutningsfaktorer

Bilag C: Økonomiske modeller passende til informationssikkerhed

  • C.1 Generel information
  • C.2 Grundlæggende værdimodel (BVM)
  • C.3 Negativ til positiv model
  • C.4 Generisk balanceinvestering til beskyttelsesomkostninger vs. værditeori
  • C.5 Generisk investeringsberegning — cost-benefit-beregning

Bilag D: Business cases beregningseksempler

  • D.1 Organisatorisk Business Case-beregningseksempel (Ref. A)
  • D.2 Delvis Organisatorisk Business Case beregningseksempel (Ref. B)
  • D.3 Asset/Control Case Eksempel (Ref. B)

Udforsk andre standarder inden for ISO 27k-familien

  • 1ISO 27000 familien
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27013

ISO 27017 »

Se ISMS.online platformen i aktion
Book din demo

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere