ISO/IEC 27004:2016 – Überwachung, Messung, Bewertung und Bewertung bietet Richtlinien zur Bestimmung der Leistung des ISO/IEC 27001:2013 Informationssicherheitsmanagement-Frameworks. ISO/IEC 27004:2016 erklärt, wie Bewertungssysteme eingerichtet und betrieben werden, und überprüft und protokolliert auch die Auswirkungen einer Reihe von Maßnahmen zur Informationssicherheit.
Wie das alte Sprichwort sagt: „Wenn man es nicht messen kann, kann man es nicht verwalten“, aber warum müssen wir die Informationssicherheit messen? Zu kontinuierlich verbessern welche Methoden, Verfahren, Richtlinien usw. zum Schutz Ihrer Organisation vorhanden sind. Informationssicherheit ist der Schlüssel zum Erfolg eines jeden Unternehmens. Eine falsche Sicherheitsverletzung und Ihr Ruf als sicherheitsbewusstes Unternehmen ist geschädigt.
Wenn es um Informationssicherheit geht, kann man wirklich nicht zu wachsam sein. Cyber-Angriffe gehören zu den größten Bedrohungen, denen ein Unternehmen ausgesetzt sein kann. Der Sicherheit personenbezogener Daten und wirtschaftlich sensible Informationen sind von wesentlicher Bedeutung. Aber wie erkennen Sie, ob Ihre ISO/IEC 27001:2013 Informationssicherheits-Managementsystem (ISMS) macht es einen Unterschied?
ISO/IEC 27004:2016 bietet Richtlinien zur Bestimmung der Leistung von ISO 27001. Sie beschreibt, wie Bewertungssysteme erstellt und betrieben werden und wie die Auswirkungen einer Reihe von bewertet werden Informationssicherheit Metriken.
Deshalb bietet ISO/IEC 27004:2016 den vielen Unternehmen, die ISO/IEC 27001:2013 implementieren, entscheidende und realistische Hilfe, um sich vor der zunehmenden Vielfalt an Sicherheitsangriffen zu schützen, mit denen Unternehmen heute konfrontiert sind.
Sicherheitsmetriken können Aufschluss darüber geben Effizienz des ISMS und als solche im Mittelpunkt stehen. Wenn Sie Ingenieur oder Bauunternehmer sind verantwortlich für Sicherheit und Management Analyse oder eine Führungskraft, die bessere Informationen zur Entscheidungsfindung benötigt, sind Sicherheitsmetriken zu einem entscheidenden Instrument für die Kommunikation des Status der Cyber-Risikolage eines Unternehmens geworden.
Organisationen benötigen Unterstützung, um das Problem zu lösen, ob die Organisation Investition in Informationssicherheit Das Management ist erfolgreich und in der Lage, auf das sich ständig ändernde Cyber-Risikoklima zu reagieren, sich zu verteidigen und darauf zu reagieren.
Mit ISMS.online sparen Sie Zeit und Geld bei der ISO 27001-Zertifizierung und vereinfachen die Wartung.
Informationssicherheitsmanager, Honeysuckle Health
ISO 27004:2009 wurde erstmals 2009 im Rahmen der veröffentlicht ISO 27000 Diese Normenfamilie wurde später im Jahr 2016 überarbeitet und erhielt den Namen ISO 27004:2016. Bei beiden Standards handelt es sich um Richtlinien und nicht um Anforderungen, daher sind sie weder notwendig noch können sie zertifiziert werden. Sie funktionieren jedoch sehr gut mit den anderen ISO 27000-Standards, auf die wir näher eingehen werden.
ISO/IEC 27004:2016 zeigt, wie man ein Programm zur Messung der Informationssicherheit erstellt, wie man wählt, was berechnet werden soll und wie man die entsprechenden Messprozesse durchführt.
Es enthält detaillierte Beschreibungen verschiedener Arten von Kontrollen und wie die Effizienz dieser Kontrollen gemessen werden kann.
Zu den vielen Vorteilen für Organisationen, die ISO/IEC 27004:2016 nutzen, gehören:
ISO/IEC 27004:2016 ersetzte die Ausgabe 2009 und wurde an die überarbeitete Fassung von ISO/IEC 27001:2013 angepasst, um Organisationen einen hervorragenden Mehrwert und Vertrauen zu bieten.
Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen
ISO 27004 besteht aus 8 Abschnitten und 3 Anhängen. ISO 27004:2016 enthält vier Schlüsselabschnitte:
Zusammen mit 3 Anhang A-Kontrollen, die informativ sind:
Klausel 1: Geltungsbereich
Abschnitt 2: Normative Verweise
Klausel 3: Begriffe und Definitionen
Abschnitt 4: Struktur und Überblick
Klausel 5: Begründung
Abschnitt 6: Eigenschaften
Abschnitt 7: Arten von Maßnahmen
Klausel 8: Prozesse
Anhang A: Ein Modell zur Messung der Informationssicherheit
Anhang B: Beispiele für Messkonstrukte
Anhang C: Ein Beispiel für die Freitextform-Messkonstruktion
C.1 „Trainingseffektivität“ – Effektivitätsmessungskonstrukt