Informationssikkerhedsprofessionelle skal ofte retfærdiggøre investeringer i informationssikkerhedskontroller. Men der er stadig ingen universel måde at gøre det på vurdering af de økonomiske konsekvenser af beslutninger om informationssikkerhed. ISO/IEC TR 27016:2014 har til formål at løse dette. ISO 27016 hjælper organisationer med at beslutte, hvor meget de skal investere i at beskytte deres oplysninger. Både informationssikkerhedsprofessionelle og generelle ledere kan bruge og forstå ISO 27016. Rapporten vil hjælpe dig:
ISO 27016 hjælper dig med at tænke over, hvordan økonomiske faktorer interagerer med andre ressourcer, herunder:
Du skal også bemærke, at ISO 27016 er en teknisk rapport, ikke en standard. En teknisk ISO-rapport giver vejledning om et emne ved hjælp af information indhentet fra andre kilder. Disse kilder omfatter:
Den Internationale Standardiseringsorganisation (ISO) udgav ISO 27016 i 2014. ISO oprettede ISO 27016 for at give vejledning til både informationssikkerhedsprofessionelle og generelle ledere og hjælpe dem:
ISO 27016 understøtter andre ISO 27k standarder. Den tekniske rapport giver dig vejledning om økonomien i informationssikkerhed, og viser dig, hvordan du anvender økonomiske eller finansielle modeller til dine infosec-beslutninger. Det giver beskrivelser og eksempler, herunder:
Økonomiske overvejelser skal informere hele din infosec-ledelse beslutninger. At tænke økonomien igennem er særlig vigtig, når du beslutter dig for, hvordan du:
Enhver form eller størrelse af organisation kan implementere ISO/IEC TR 27016:2014. Den tekniske rapport vil være særlig nyttig, hvis du er en senior manager ansvarlig for infosec beslutninger.
Det er rettet mod:
Du vil finde ISO 27016 nyttig, når du er:
ISO 27016 vil hjælpe dig med at indføre økonomiske overvejelser i infosec-beslutningsprocessen, skabe en unik business case for at retfærdiggøre infosec investering.
Din organisation vil forstå, at den skal behandle informationssikkerhedspolitikker som værdifulde aktiver i sig selv.
For at hjælpe dig med at forstå og forklare den økonomiske virkning af infosec-beslutninger indeholder dokumentet:
Informationssikkerhedspolitikker har brug for en bred vifte af kontroller for at være effektive. Din organisation bliver nødt til at investere i disse kontroller. ISO 27016 hjælper dig med at lave en klar økonomisk sag for hver kontrol. Du vil vise, at hver af dem skaber et klart defineret investeringsafkast.
Spørger 'hvor meget koster infosec?' er som at spørge 'hvor lang er et stykke snor?'. Omkostningerne ved at sikre dine oplysninger vil afhænge af din organisations type og omfang. For at indstille dit infosec-budget skal du tænke igennem:
ISO 27016 hjælper dig med at forstå, hvor meget din organisation kan og bør bruge på informationssikkerhed.
ISO 27016 hjælper dig med at beslutte, hvor meget du vil investere for at beskytte dine informationsaktiver. Rapporten hjælper dig med at retfærdiggøre dit infosec-budget og komme med infosec-investeringsanbefalinger.
Rapporten opfordrer dig til at komme med brede økonomiske argumenter og sætte vidtgående mål. Det kan bede dig om at overveje at opsætte et ISO 27k informationssikkerhedsstyringssystem (ISMS) eller at udforske de potentielle politiske, sociale og juridiske konsekvenser af dine infosec-valg.
Rapporten vil også guide dig gennem de fine detaljer i dens infosec-anbefalinger. For eksempel vil det hjælpe dig:
ISO 27016 har otte klausuler og fire bilag. Punkt 1 til 5 fastlægger standardens kontekst og referencer. Klausul 6 definerer økonomiske faktorer, der skal tages i betragtning, når du implementerer dine informationssikkerhedskontroller. Du skal tænke igennem:
Klausul 7 fortæller dig, hvilke økonomiske mål din organisation bør overveje, og hvordan du vurderer værdien af dine informationsaktiver. Paragraf 8 beder dig om at balancere omkostningerne ved informationssikkerhed med de potentielle fordele. Rapporten slutter med fire bilag, der hjælper dig med at gennemtænke det større økonomiske, sociale og politiske billede.
Her er den fulde liste over alt, hvad ISO 27016 inkluderer:
En skræddersyet hands-on session baseret på dine behov og mål
Punkt 1: Anvendelsesområde
Punkt 2: Normative referencer
Punkt 3: Begreber og definitioner
Punkt 4: Forkortede udtryk
Punkt 5: Dokumentets struktur
Punkt 6: Informationssikkerhed økonomiske faktorer
Punkt 7: Økonomiske mål
Punkt 8: Afbalancering af informationssikkerhedsøkonomi for ISM
Bilag A: Identifikation af interessenter og mål for værdifastsættelse
Bilag B: Økonomiske beslutninger og centrale beslutningsfaktorer
Bilag C: Økonomiske modeller passende til informationssikkerhed
Bilag D: Business cases beregningseksempler