ISO 27004:2016

ISO/IEC 27004:2016 bietet Anleitungen zum Überwachen, Messen, Analysieren und Bewerten der Leistung eines Informationssicherheits-Managementsystems (ISMS) auf Grundlage von ISO/IEC 27001. Es unterstützt Unternehmen dabei, die Wirksamkeit ihrer Sicherheitskontrollen zu beurteilen und die Informationssicherheit kontinuierlich zu verbessern.

Beratung buchen
Autor
Mark Sharron
Aktualisiert am 1. April 2025
LinkedIn Twitter Twitter

Was ist ISO 27004?

ISO/IEC 27004:2016 – Überwachung, Messung, Bewertung und Bewertung bietet Richtlinien zur Bestimmung der Leistung des ISO/IEC 27001:2013 Informationssicherheitsmanagement-Frameworks. ISO/IEC 27004:2016 erklärt, wie Bewertungssysteme eingerichtet und betrieben werden, und überprüft und protokolliert auch die Auswirkungen einer Reihe von Maßnahmen zur Informationssicherheit.

So messen Sie Informationssicherheit

Wie das alte Sprichwort sagt: „Wenn man es nicht messen kann, kann man es nicht verwalten“, aber warum müssen wir die Informationssicherheit messen? Zu kontinuierlich verbessern Welche Methoden, Verfahren, Richtlinien usw. werden zum Schutz Ihres Unternehmens eingesetzt? Informationssicherheit ist der Schlüssel zum Erfolg jedes Unternehmens. Schon eine einzige Sicherheitsverletzung kann Ihrem Ruf als sicherheitsbewusstes Unternehmen schaden.

Wenn es um Informationssicherheit geht, kann man wirklich nicht zu wachsam sein. Cyber-Angriffe gehören zu den größten Bedrohungen, denen ein Unternehmen ausgesetzt sein kann. Der Sicherheit personenbezogener Daten und wirtschaftlich sensible Informationen sind von wesentlicher Bedeutung. Aber wie erkennen Sie, ob Ihre ISO/IEC 27001:2013 Informationssicherheits-Managementsystem (ISMS) macht es einen Unterschied?

SO / IEC 27004:2016 ist hier, um Ihnen zu helfen.

ISO/IEC 27004:2016 bietet Richtlinien zur Bestimmung der Leistung von ISO 27001. Sie beschreibt, wie Bewertungssysteme erstellt und betrieben werden und wie die Auswirkungen einer Reihe von bewertet werden Informationssicherheit Metriken.

Deshalb bietet ISO/IEC 27004:2016 den vielen Unternehmen, die ISO/IEC 27001:2013 implementieren, entscheidende und realistische Hilfe, um sich vor der zunehmenden Vielfalt an Sicherheitsangriffen zu schützen, mit denen Unternehmen heute konfrontiert sind.

Sicherheitsmetriken können Aufschluss darüber geben Effizienz des ISMS und als solche im Mittelpunkt stehen. Wenn Sie Ingenieur oder Bauunternehmer sind verantwortlich für Sicherheit und Management Analyse oder eine Führungskraft, die bessere Informationen zur Entscheidungsfindung benötigt, sind Sicherheitsmetriken zu einem entscheidenden Instrument für die Kommunikation des Status der Cyber-Risikolage eines Unternehmens geworden.

Organisationen benötigen Unterstützung, um das Problem zu lösen, ob die Organisation Investition in Informationssicherheit Das Management ist erfolgreich und in der Lage, auf das sich ständig ändernde Cyber-Risikoklima zu reagieren, sich zu verteidigen und darauf zu reagieren.

Die Geschichte von ISO/IEC 27004:2016

ISO 27004:2009 wurde erstmals 2009 im Rahmen der veröffentlicht ISO 27000 Diese Normenfamilie wurde später im Jahr 2016 überarbeitet und erhielt den Namen ISO 27004:2016. Bei beiden Standards handelt es sich um Richtlinien und nicht um Anforderungen, daher sind sie weder notwendig noch können sie zertifiziert werden. Sie funktionieren jedoch sehr gut mit den anderen ISO 27000-Standards, auf die wir näher eingehen werden.

ISO/IEC 27004:2016 kann verschiedene Vorteile bringen

ISO/IEC 27004:2016 zeigt, wie man ein Programm zur Messung der Informationssicherheit erstellt, wie man wählt, was berechnet werden soll und wie man die entsprechenden Messprozesse durchführt.

Es enthält detaillierte Beschreibungen verschiedener Arten von Kontrollen und wie die Effizienz dieser Kontrollen gemessen werden kann.

Zu den vielen Vorteilen für Organisationen, die ISO/IEC 27004:2016 nutzen, gehören:

  • Erhöhte Transparenz
  • Verbesserte Effizienz des Informationsmanagements und der ISMS-Prozesse
  • Nachweis der Konformität mit den Spezifikationen der ISO/IEC 27001:2013 sowie relevanten Regeln, Gesetzen und Vorschriften

ISO/IEC 27004:2016 ersetzte die Ausgabe 2009 und wurde an die überarbeitete Fassung von ISO/IEC 27001:2013 angepasst, um Organisationen einen hervorragenden Mehrwert und Vertrauen zu bieten.



Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.

Beratung buchen


Welche Klauseln enthält ISO 27004?

ISO 27004 besteht aus 8 Abschnitten und 3 Anhängen. ISO 27004:2016 enthält vier Schlüsselabschnitte:

  • Begründung (Absatz 5)
  • Merkmale (Abschnitt 6)
  • Arten von Maßnahmen (Ziffer 7)
  • Prozesse (Ziffer 8)

Zusammen mit 3 Anhang A-Kontrollen, die informativ sind:

  • Ein Modell zur Messung der Informationssicherheit
  • Beispiele für Messkonstrukte
  • Ein Beispiel für die Konstruktion von Messungen in Freitextform

ISO/IEC 27004:2016-Klauseln

Klausel 1: Geltungsbereich

Abschnitt 2: Normative Verweise

Klausel 3: Begriffe und Definitionen

Abschnitt 4: Struktur und Überblick

Klausel 5: Begründung

  • 5.1 Die Notwendigkeit einer Messung
  • 5.2 Erfüllung der ISO/IEC 27001-Anforderungen
  • 5.3 Gültigkeit der Ergebnisse
  • 5.4 Vorteile

Abschnitt 6: Eigenschaften

  • Allgemeine 6.1
  • 6.2 Was zu überwachen ist
  • 6.3 Was zu messen ist
  • 6.4 Wann ist zu überwachen, zu messen, zu analysieren und auszuwerten?
  • 6.5 Wer überwacht, misst, analysiert und bewertet?

Abschnitt 7: Arten von Maßnahmen

  • Allgemeine 7.1
  • 7.2 Leistungskennzahlen
  • 7.3 Wirksamkeitsmaße

Klausel 8: Prozesse

  • Allgemeine 8.1
  • 8.2 Informationsbedarf ermitteln
  • 8.3 Maßnahmen erstellen und pflegen
  • 8.4 Verfahren festlegen
  • 8.5 Überwachen und messen
  • 8.6 Ergebnisse analysieren
  • 8.7 Bewerten Sie die Leistung der Informationssicherheit und die Wirksamkeit des ISMS
  • 8.8 Überwachungs-, Mess-, Analyse- und Bewertungsprozesse überprüfen und verbessern
  • 8.9 Dokumentierte Informationen aufbewahren und weitergeben

Anhangsklauseln der ISO/IEC 27004:2016

Anhang A: Ein Modell zur Messung der Informationssicherheit

Anhang B: Beispiele für Messkonstrukte

  • B.1 Allgemeines
  • B.2 Ressourcenzuweisung
  • B.3 Richtlinienüberprüfung
  • B.4 Engagement des Managements
  • B.5 Risikoexposition
  • B.6 Auditprogramm
  • B.7 Verbesserungsmaßnahmen
  • B.8 Kosten für Sicherheitsvorfälle
  • B.9 Aus Informationssicherheitsvorfällen lernen
  • B.10 Umsetzung von Korrekturmaßnahmen
  • B.11 ISMS-Schulung oder ISMS-Bewusstsein
  • B.12 Informationssicherheitsschulung
  • B.13 Einhaltung des Informationssicherheitsbewusstseins
  • B.14 Wirksamkeit von ISMS-Sensibilisierungskampagnen
  • B.15 Vorbereitung auf Social Engineering
  • B.16 Passwortqualität – manuell
  • B.17 Passwortqualität – automatisiert
  • B.18 Überprüfung der Benutzerzugriffsrechte
  • B.19 Bewertung des Systems zur physischen Zugangskontrolle
  • B.20 Der physische Zutritt kontrolliert die Wirksamkeit
  • B.21 Verwaltung der regelmäßigen Wartung
  • B.22 Änderungsmanagement
  • B.23 Schutz vor Schadcode
  • B.24 Anti-Malware
  • B.25 Gesamtverfügbarkeit
  • B.26 Firewall-Regeln
  • B.27 Überprüfung der Protokolldateien
  • B.28 Gerätekonfiguration
  • B.29 Pentest und Schwachstellenbewertung
  • B.30 Schwachstellenlandschaft
  • B.31 Sicherheit in Verträgen mit Dritten – a
  • B.32 Sicherheit in Verträgen mit Dritten – B
  • B.33 Wirksamkeit des Managements von Informationssicherheitsvorfällen
  • B.34 Entwicklung der Sicherheitsvorfälle
  • B.35 Meldung von Sicherheitsereignissen
  • B.36 ISMS-Überprüfungsprozess
  • B.37 Abdeckung von Schwachstellen

Anhang C: Ein Beispiel für die Freitextform-Messkonstruktion

  • C.1 „Trainingseffektivität“ – Effektivitätsmessungskonstrukt

Zum Thema springen

Mark Sharron

Mark ist Leiter der Such- und generativen KI-Strategie bei ISMS.online, wo er Generative Engine Optimised (GEO)-Inhalte entwickelt, Eingabeaufforderungen und agentenbasierte Workflows entwickelt, um Suche, Entdeckung und strukturierte Wissenssysteme zu verbessern. Mit seiner Expertise in mehreren Compliance-Frameworks, SEO, NLP und generativer KI entwirft er Sucharchitekturen, die strukturierte Daten mit narrativer Intelligenz verbinden.

Twitter

Entdecken Sie andere Standards innerhalb der ISO 27k-Familie

  1. Die ISO 27000-Familie
  2. ISO 27001
  3. ISO 27002
  4. ISO 27003
  5. ISO 27004
  6. ISO 27005
  7. ISO 27008
  8. ISO 27009
  9. ISO 27010
  10. ISO 27013
  11. ISO 27014
  12. ISO 27016
  13. ISO 27017
  14. ISO 27018
  15. ISO 27019
  16. ISO 27038
  17. ISO 27039
  18. ISO 27040
  19. ISO 27050
  20. ISO 27102
ISMS-Plattform-Tour

Interessiert an einem ISMS.online-Plattformrundgang?

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und erleben Sie die Magie von ISMS.online in Aktion!

Probieren Sie es kostenlos aus

Wir sind führend auf unserem Gebiet

Benutzer lieben uns
Grid Leader – Frühjahr 2025
Momentum Leader – Frühjahr 2025
Regionalleiter – Frühjahr 2025, Großbritannien
Regionalleiter – Frühjahr 2025 EU
Beste Schätzung. ROI Enterprise – Frühjahr 2025
Empfiehlt Enterprise am ehesten weiter – Frühjahr 2025

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

-Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

-Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

-Ben H.

SOC 2 ist da! Stärken Sie Ihre Sicherheit und gewinnen Sie Kundenvertrauen mit unserer leistungsstarken Compliance-Lösung!