ISO 27004:2016

Überwachung, Messung, Beurteilung und Bewertung

Live-Demo buchen

die besten Ergebnisse erzielen.,zwei,zuversichtlich,jung,Männer,auf der Suche,auf,Laptop

Was ist ISO 27004?

ISO/IEC 27004:2016 – Überwachung, Messung, Bewertung und Bewertung bietet Richtlinien zur Bestimmung der Leistung des ISO/IEC 27001:2013 Informationssicherheitsmanagement-Frameworks. ISO/IEC 27004:2016 erklärt, wie Bewertungssysteme eingerichtet und betrieben werden, und überprüft und protokolliert auch die Auswirkungen einer Reihe von Maßnahmen zur Informationssicherheit.

So messen Sie Informationssicherheit

Wie das alte Sprichwort sagt: „Wenn man es nicht messen kann, kann man es nicht verwalten“, aber warum müssen wir die Informationssicherheit messen? Zu kontinuierlich verbessern welche Methoden, Verfahren, Richtlinien usw. zum Schutz Ihrer Organisation vorhanden sind. Informationssicherheit ist der Schlüssel zum Erfolg eines jeden Unternehmens. Eine falsche Sicherheitsverletzung und Ihr Ruf als sicherheitsbewusstes Unternehmen ist geschädigt.

Wenn es um Informationssicherheit geht, kann man wirklich nicht zu wachsam sein. Cyber-Angriffe gehören zu den größten Bedrohungen, denen ein Unternehmen ausgesetzt sein kann. Der Sicherheit personenbezogener Daten und wirtschaftlich sensible Informationen sind von wesentlicher Bedeutung. Aber wie erkennen Sie, ob Ihre ISO/IEC 27001:2013 Informationssicherheits-Managementsystem (ISMS) macht es einen Unterschied?

SO / IEC 27004:2016 ist hier, um Ihnen zu helfen.

ISO/IEC 27004:2016 bietet Richtlinien zur Bestimmung der Leistung von ISO 27001. Sie beschreibt, wie Bewertungssysteme erstellt und betrieben werden und wie die Auswirkungen einer Reihe von bewertet werden Informationssicherheit Metriken.

Deshalb bietet ISO/IEC 27004:2016 den vielen Unternehmen, die ISO/IEC 27001:2013 implementieren, entscheidende und realistische Hilfe, um sich vor der zunehmenden Vielfalt an Sicherheitsangriffen zu schützen, mit denen Unternehmen heute konfrontiert sind.

Sicherheitsmetriken können Aufschluss darüber geben Effizienz des ISMS und als solche im Mittelpunkt stehen. Wenn Sie Ingenieur oder Bauunternehmer sind verantwortlich für Sicherheit und Management Analyse oder eine Führungskraft, die bessere Informationen zur Entscheidungsfindung benötigt, sind Sicherheitsmetriken zu einem entscheidenden Instrument für die Kommunikation des Status der Cyber-Risikolage eines Unternehmens geworden.

Organisationen benötigen Unterstützung, um das Problem zu lösen, ob die Organisation Investition in Informationssicherheit Das Management ist erfolgreich und in der Lage, auf das sich ständig ändernde Cyber-Risikoklima zu reagieren, sich zu verteidigen und darauf zu reagieren.

Mit ISMS.online sparen Sie Zeit und Geld bei der ISO 27001-Zertifizierung und vereinfachen die Wartung.

Daniel Clements

Informationssicherheitsmanager, Honeysuckle Health

Live-Demo buchen

Die Geschichte von ISO/IEC 27004:2016

ISO 27004:2009 wurde erstmals 2009 im Rahmen der veröffentlicht ISO 27000 Diese Normenfamilie wurde später im Jahr 2016 überarbeitet und erhielt den Namen ISO 27004:2016. Bei beiden Standards handelt es sich um Richtlinien und nicht um Anforderungen, daher sind sie weder notwendig noch können sie zertifiziert werden. Sie funktionieren jedoch sehr gut mit den anderen ISO 27000-Standards, auf die wir näher eingehen werden.

ISO/IEC 27004:2016 kann verschiedene Vorteile bringen

ISO/IEC 27004:2016 zeigt, wie man ein Programm zur Messung der Informationssicherheit erstellt, wie man wählt, was berechnet werden soll und wie man die entsprechenden Messprozesse durchführt.

Es enthält detaillierte Beschreibungen verschiedener Arten von Kontrollen und wie die Effizienz dieser Kontrollen gemessen werden kann.

Zu den vielen Vorteilen für Organisationen, die ISO/IEC 27004:2016 nutzen, gehören:

  • Erhöhte Transparenz
  • Verbesserte Effizienz des Informationsmanagements und der ISMS-Prozesse
  • Nachweis der Konformität mit den Spezifikationen der ISO/IEC 27001:2013 sowie relevanten Regeln, Gesetzen und Vorschriften

ISO/IEC 27004:2016 ersetzte die Ausgabe 2009 und wurde an die überarbeitete Fassung von ISO/IEC 27001:2013 angepasst, um Organisationen einen hervorragenden Mehrwert und Vertrauen zu bieten.

Sehen Sie unsere Plattformfunktionen in Aktion

Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen

Buchen Sie Ihre Demo

Halten Sie Ihre ISO 27001-Frist ein

Welche Klauseln enthält ISO 27004?

ISO 27004 besteht aus 8 Abschnitten und 3 Anhängen. ISO 27004:2016 enthält vier Schlüsselabschnitte:

  • Begründung (Absatz 5)
  • Merkmale (Abschnitt 6)
  • Arten von Maßnahmen (Ziffer 7)
  • Prozesse (Ziffer 8)

Zusammen mit 3 Anhang A-Kontrollen, die informativ sind:

  • Ein Modell zur Messung der Informationssicherheit
  • Beispiele für Messkonstrukte
  • Ein Beispiel für die Konstruktion von Messungen in Freitextform

ISO/IEC 27004:2016-Klauseln

Klausel 1: Geltungsbereich

Abschnitt 2: Normative Verweise

Klausel 3: Begriffe und Definitionen

Abschnitt 4: Struktur und Überblick

Klausel 5: Begründung

  • 5.1 Die Notwendigkeit einer Messung
  • 5.2 Erfüllung der ISO/IEC 27001-Anforderungen
  • 5.3 Gültigkeit der Ergebnisse
  • 5.4 Vorteile

Abschnitt 6: Eigenschaften

  • Allgemeine 6.1
  • 6.2 Was zu überwachen ist
  • 6.3 Was zu messen ist
  • 6.4 Wann ist zu überwachen, zu messen, zu analysieren und auszuwerten?
  • 6.5 Wer überwacht, misst, analysiert und bewertet?

Abschnitt 7: Arten von Maßnahmen

  • Allgemeine 7.1
  • 7.2 Leistungskennzahlen
  • 7.3 Wirksamkeitsmaße

Klausel 8: Prozesse

  • Allgemeine 8.1
  • 8.2 Informationsbedarf ermitteln
  • 8.3 Maßnahmen erstellen und pflegen
  • 8.4 Verfahren festlegen
  • 8.5 Überwachen und messen
  • 8.6 Ergebnisse analysieren
  • 8.7 Bewerten Sie die Leistung der Informationssicherheit und die Wirksamkeit des ISMS
  • 8.8 Überwachungs-, Mess-, Analyse- und Bewertungsprozesse überprüfen und verbessern
  • 8.9 Dokumentierte Informationen aufbewahren und weitergeben

Anhangsklauseln der ISO/IEC 27004:2016

Anhang A: Ein Modell zur Messung der Informationssicherheit

Anhang B: Beispiele für Messkonstrukte

  • B.1 Allgemeines
  • B.2 Ressourcenzuweisung
  • B.3 Richtlinienüberprüfung
  • B.4 Engagement des Managements
  • B.5 Risikoexposition
  • B.6 Auditprogramm
  • B.7 Verbesserungsmaßnahmen
  • B.8 Kosten für Sicherheitsvorfälle
  • B.9 Aus Informationssicherheitsvorfällen lernen
  • B.10 Umsetzung von Korrekturmaßnahmen
  • B.11 ISMS-Schulung oder ISMS-Bewusstsein
  • B.12 Informationssicherheitsschulung
  • B.13 Einhaltung des Informationssicherheitsbewusstseins
  • B.14 Wirksamkeit von ISMS-Sensibilisierungskampagnen
  • B.15 Vorbereitung auf Social Engineering
  • B.16 Passwortqualität – manuell
  • B.17 Passwortqualität – automatisiert
  • B.18 Überprüfung der Benutzerzugriffsrechte
  • B.19 Bewertung des Systems zur physischen Zugangskontrolle
  • B.20 Der physische Zutritt kontrolliert die Wirksamkeit
  • B.21 Verwaltung der regelmäßigen Wartung
  • B.22 Änderungsmanagement
  • B.23 Schutz vor Schadcode
  • B.24 Anti-Malware
  • B.25 Gesamtverfügbarkeit
  • B.26 Firewall-Regeln
  • B.27 Überprüfung der Protokolldateien
  • B.28 Gerätekonfiguration
  • B.29 Pentest und Schwachstellenbewertung
  • B.30 Schwachstellenlandschaft
  • B.31 Sicherheit in Verträgen mit Dritten – a
  • B.32 Sicherheit in Verträgen mit Dritten – B
  • B.33 Wirksamkeit des Managements von Informationssicherheitsvorfällen
  • B.34 Trend zu SicherheitsvorfällenB.35 Meldung von Sicherheitsereignissen
  • B.36 ISMS-ÜberprüfungsprozessB.37 Schwachstellenabdeckung

Anhang C: Ein Beispiel für die Freitextform-Messkonstruktion
C.1 „Trainingseffektivität“ – Effektivitätsmessungskonstrukt

Entdecken Sie andere Standards innerhalb der ISO 27k-Familie

  • 1Die ISO 27000-Familie
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102
Halten Sie Ihre ISO 27001-Frist ein.

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.