Fachleute für Informationssicherheit müssen häufig Investitionen in Informationssicherheitskontrollen rechtfertigen. Aber es gibt immer noch keinen universellen Weg Bewertung der wirtschaftlichen Auswirkungen von Entscheidungen zur Informationssicherheit. ISO/IEC TR 27016:2014 zielt darauf ab, dieses Problem zu lösen. ISO 27016 hilft Unternehmen bei der Entscheidung, wie viel sie in den Schutz ihrer Informationen investieren. Sowohl Informationssicherheitsexperten als auch Geschäftsführer können ISO 27016 nutzen und verstehen. Der Bericht hilft Ihnen dabei:
ISO 27016 hilft Ihnen, darüber nachzudenken, wie wirtschaftliche Faktoren mit anderen Ressourcen interagieren, darunter:
Sie sollten auch beachten, dass es sich bei ISO 27016 um einen technischen Bericht und nicht um einen Standard handelt. Ein technischer ISO-Bericht bietet Orientierungshilfen zu einem Thema unter Verwendung von Informationen aus anderen Quellen. Zu diesen Quellen gehören:
Die Internationale Organisation für Normung (ISO) veröffentlichte ISO 27016 im Jahr 2014. ISO hat ISO 27016 erstellt, um sowohl Fachleuten für Informationssicherheit als auch Geschäftsführern Orientierung zu geben und ihnen dabei zu helfen:
ISO 27016 unterstützt andere ISO 27k Standards. Der Technische Bericht gibt Ihnen Hinweise zur Ökonomie der Informationssicherheit und zeigt Ihnen, wie Sie Wirtschafts- oder Finanzmodelle auf Ihre Entscheidungen im Bereich Informationssicherheit anwenden können. Es enthält Beschreibungen und Beispiele, darunter:
Wirtschaftliche Überlegungen müssen Informieren Sie Ihr gesamtes Infosec-Management Entscheidungen. Das Durchdenken der Finanzdaten ist besonders wichtig, wenn Sie entscheiden, wie Sie:
Jede Art und Größe von Organisationen kann ISO/IEC TR 27016:2014 implementieren. Der technische Bericht wird besonders hilfreich sein, wenn Sie ein Senior Manager, verantwortlich für Infosec-Entscheidungen.
Es richtet sich an:
Sie werden ISO 27016 nützlich finden, wenn Sie:
ISO 27016 hilft Ihnen dabei, finanzielle Überlegungen in den Entscheidungsprozess im Bereich Informationssicherheit einzubeziehen. Erstellen eines einzigartigen Geschäftsszenarios, um Investitionen in die Informationssicherheit zu rechtfertigen.
Ihre Organisation wird verstehen, was sie behandeln sollte Informationssicherheitsrichtlinien als wertvolle Vermögenswerte an sich.
Um Ihnen zu helfen, die finanziellen Auswirkungen von Infosec-Entscheidungen zu verstehen und zu erklären, enthält das Dokument Folgendes:
Informationssicherheitsrichtlinien benötigen eine eine breite Palette von Kontrollen, um effektiv zu sein. Ihre Organisation muss in diese Kontrollen investieren. ISO 27016 hilft Ihnen dabei, für jede Kontrolle eine klare finanzielle Begründung zu erstellen. Sie werden zeigen, dass jeder von ihnen einen klar definierten Return on Investment schafft.
Auf die Frage „Wie viel kostet Infosec?“ ist wie die Frage „Wie lang ist ein Stück Schnur?“. Die Kosten für die Sicherung Ihrer Daten hängen von der Art und Größe Ihrer Organisation ab. Um Ihr Infosec-Budget festzulegen, müssen Sie Folgendes durchdenken:
ISO 27016 hilft Ihnen zu verstehen, wie viel Ihr Unternehmen für die Informationssicherheit ausgeben kann und sollte.
ISO 27016 hilft Ihnen bei der Entscheidung, wie viel Sie in den Schutz Ihrer Informationsbestände investieren möchten. Der Bericht hilft Ihnen dabei, Ihr Infosec-Budget zu begründen und Infosec-Investitionsempfehlungen abzugeben.
Der Bericht ermutigt Sie, umfassende wirtschaftliche Argumente vorzubringen und weitreichende Ziele zu setzen. Möglicherweise werden Sie dazu aufgefordert, die Einrichtung eines ISO 27k-Informationssicherheitsmanagementsystems (ISMS) in Betracht zu ziehen oder die potenziellen politischen, sozialen und rechtlichen Auswirkungen Ihrer Entscheidungen im Bereich Informationssicherheit zu untersuchen.
Der Bericht führt Sie auch durch die Details der Infosec-Empfehlungen. Es hilft Ihnen zum Beispiel:
ISO 27016 besteht aus acht Abschnitten und vier Anhängen. Die Abschnitte 1 bis 5 legen den Kontext und die Referenzen der Norm fest. Abschnitt 6 definiert wirtschaftliche Faktoren, die bei der Implementierung Ihrer Informationssicherheitskontrollen zu berücksichtigen sind. Sie müssen Folgendes durchdenken:
In Abschnitt 7 erfahren Sie, welche wirtschaftlichen Ziele Ihre Organisation berücksichtigen sollte und wie Sie den Wert Ihrer Informationsressourcen einschätzen können. In Abschnitt 8 werden Sie aufgefordert, die Kosten der Informationssicherheit mit ihren potenziellen Vorteilen abzuwägen. Der Bericht endet mit vier Anhängen, die Ihnen helfen, das größere wirtschaftliche, soziale und politische Bild zu durchdenken.
Hier ist die vollständige Liste aller Inhalte der ISO 27016:
Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen
Klausel 1: Geltungsbereich
Abschnitt 2: Normative Verweise
Klausel 3: Begriffe und Definitionen
Klausel 4: Kurzbegriffe
Abschnitt 5: Struktur des Dokuments
Abschnitt 6: Wirtschaftsfaktoren der Informationssicherheit
Klausel 7: Wirtschaftliche Ziele
Klausel 8: Abwägung der Informationssicherheitsökonomie für ISM
Anhang A: Identifizierung von Stakeholdern und Zielen für die Festlegung von Werten
Anhang B: Wirtschaftliche Entscheidungen und wichtige Entscheidungsfaktoren
Anhang C: Für die Informationssicherheit geeignete Wirtschaftsmodelle
Anhang D: Beispiele für die Berechnung von Geschäftsfällen