ISO 27004: כיצד למדוד אבטחת מידע

ISO 27004: 2016

ISO/IEC 27004:2016 מספק הנחיות כיצד לנטר, למדוד, לנתח ולהעריך את הביצועים של מערכת ניהול אבטחת מידע (ISMS) המבוססת על ISO/IEC 27001. זה עוזר לארגונים להעריך את האפקטיביות של בקרות האבטחה שלהם ולהניע שיפור מתמיד באבטחת מידע.

מהו ISO 27004?

ISO / IEC 27004:2016 - ניטור, מדידה, הערכה והערכה, מציע קווים מנחים כיצד לקבוע את הביצועים של מסגרת ניהול אבטחת המידע ISO / IEC 27001:2013. ISO / IEC 27004:2016 מסביר כיצד להקים ולהפעיל מערכות הערכה, וכן סוקר ומתעד את ההשפעות של סדרה של אמצעי אבטחת מידע.

כיצד למדוד אבטחת מידע

כפי שאומר הפתגם הישן "אם אתה לא יכול למדוד את זה אתה לא יכול לנהל את זה" אבל למה אנחנו צריכים למדוד את אבטחת המידע? ל להשתפר ללא הרף אילו שיטות, נהלים, מדיניות וכן הלאה קיימים כדי להגן על הארגון שלך. אבטחת מידע היא המפתח להצלחת כל ארגון, פרצת אבטחה שגויה אחת והמוניטין שלך כארגון רציני באבטחה נפגע.

אתה באמת לא יכול להיות ערני מדי בכל הנוגע לאבטחת מידע. התקפות סייבר הן מהאיומים המשמעותיים ביותר שחברה יכולה להתמודד איתם. ה אבטחת מידע אישי ומידע רגיש מסחרי הוא חיוני. אבל איך אתה יודע אם ISO / IEC 27001:2013 שלך מערכת ניהול אבטחת מידע (ISMS) עושה הבדל?

SO / IEC 27004:2016 כאן כדי לעזור לך.

ISO / IEC 27004:2016 מציע קווים מנחים כיצד לקבוע את הביצועים של ISO 27001. הוא מתאר כיצד ליצור ולהפעיל מערכות הערכה וכיצד לנתח ולחשוף את ההשפעות של קבוצה של אבטחת מידע מדדים.

זו הסיבה ש-ISO / IEC 27004:2016 מציע עזרה קריטית ומציאותית לחברות הרבות המיישמות את ISO / IEC 27001:2013 כדי להגן על עצמן מהמגוון ההולך וגדל של התקפות אבטחה איתה החברה מתמודדת כיום.

מדדי אבטחה יכולים לספק תובנות לגבי יעילות ה-ISMS וככזה, תופסים את מרכז הבמה. אם אתה מהנדס או קבלן אחראי על אבטחה וניהול אנליזה, או מנהל שרוצה מידע טוב יותר על קבלת החלטות, מדדי אבטחה הפכו לכלי קריטי לתקשורת הסטטוס של מצב סיכוני הסייבר של ארגון.

ארגונים זקוקים לתמיכה כדי לפתור את הסוגיה של הארגון השקעה באבטחת מידע ההנהלה מצליחה, מתאימה להגיב, הגנה ותגובה לאקלים סיכון הסייבר המשתנה ללא הרף.

ההיסטוריה של ISO/IEC 27004:2016

ISO 27004:2009 פורסם לראשונה בשנת 2009 כחלק מ- ISO 27000 משפחת התקנים, זה עודכן מאוחר יותר ב-2016 ונודע כ-ISO 27004:2016. שני התקנים הם קווים מנחים ולא דרישות, ולכן אינם הכרחיים או שניתן לאשר עליהם, אבל מה שהוא עושה טוב מאוד הוא עבודה עם תקני ISO 27000 האחרים, שאליהם נעבור.

ISO / IEC 27004:2016 יכול להביא יתרונות שונים

ISO / IEC 27004:2016 מראה כיצד ליצור תוכנית מדידת אבטחת מידע, כיצד לבחור מה לחשב וכיצד להפעיל את תהליכי המדידה המתאימים.

הוא מספק תיאורים מפורטים של סוגים שונים של בקרות וכיצד ניתן למדוד את היעילות של בקרות אלה.

בין היתרונות הרבים לארגונים המשתמשים ב-ISO / IEC 27004:2016 הם כדלקמן:

שקיפות מוגברת
יעילות משופרת של ניהול מידע ותהליכי ISMS
הוכחה להתאמה למפרטים של ISO / IEC 27001:2013, כמו גם לכללים, חקיקה ותקנות רלוונטיים

ISO / IEC 27004:2016 החליף את מהדורת 2009 ושונתה כדי להתאים לגרסה המתוקנת של ISO / IEC 27001:2013 כדי להעניק לארגונים ערך מוסף מעולה ואמון.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

אילו סעיפים יש ל-ISO 27004?

ISO 27004 מורכב מ-8 סעיפים ו-3 נספחים. ISO 27004:2016 כולל 4 סעיפי מפתח:

נימוק (סעיף 5)
מאפיינים (סעיף 6)
סוגי אמצעים (סעיף 7)
תהליכים (סעיף 8)

יחד עם 3 פקדים נספח A שהם אינפורמטיביים:

מודל מדידת אבטחת מידע
דוגמאות לבנות מדידה
דוגמה לבניית מדידת טופס טקסט חופשי

ISO/IEC 27004:2016 סעיפים

סעיף 1: היקף

סעיף 2: הפניות נורמטיביות

סעיף 3: מונחים והגדרות

סעיף 4: מבנה וסקירה

סעיף 5: נימוק

5.1 הצורך במדידה
5.2 עמידה בדרישות ISO/IEC 27001
5.3 תוקף התוצאות
יתרונות 5.4

סעיף 6: מאפיינים

6.1 כללי
6.2 מה לפקח
6.3 מה למדוד
6.4 מתי לנטר, למדוד, לנתח ולהעריך
6.5 מי יפקח, ימדוד, ינתח ויעריך

סעיף 7: סוגי אמצעים

7.1 כללי
7.2 מדדי ביצוע
7.3 אמצעי יעילות

סעיף 8: תהליכים

8.1 כללי
8.2 זיהוי צרכי מידע
8.3 יצירה ותחזוקה של אמצעים
8.4 קביעת נהלים
8.5 לפקח ולמדוד
8.6 נתח תוצאות
8.7 הערכת ביצועי אבטחת מידע ויעילות ISMS
8.8 סקירה ושיפור תהליכי ניטור, מדידה, ניתוח והערכה
8.9 לשמור ולהעביר מידע מתועד

סעיפי נספח ISO/IEC 27004:2016

נספח א': מודל מדידת אבטחת מידע

נספח ב': דוגמאות לבנות מדידה

ב.1 כללי
ב .2 הקצאת משאבים
ב.3 סקירת מדיניות
ב.4 מחויבות ההנהלה
ב.5 חשיפה לסיכון
ב.6 תוכנית ביקורת
ב.7 פעולות שיפור
ב.8 עלות אירוע אבטחה
ב.9 למידה מאירועי אבטחת מידע
ב.10 יישום פעולת תיקון
B.11 הכשרת ISMS או מודעות ל-ISMS
B.12 הכשרה לאבטחת מידע
ב.13 מודעות לאבטחת מידע הענות
B.14 יעילות קמפיינים למודעות ISMS
ב.15 מוכנות הנדסית חברתית
B.16 איכות סיסמה – ידנית
B.17 איכות סיסמה – אוטומטית
B.18 סקירה של זכויות גישה למשתמש
B.19 הערכת מערכת בקרות כניסה פיזית
B.20 כניסה פיזית שולטת ביעילות
ב.21 ניהול תחזוקה תקופתית
ב.22 ניהול שינויים
B.23 הגנה מפני קוד זדוני
B.24 נגד תוכנות זדוניות
B.25 זמינות כוללת
B.26 כללי חומת אש
B.27 סקירת קובצי יומן
B.28 תצורת התקן
B.29 הערכת פנטסט ופגיעות
B.30 נוף פגיעות
ב.31 אבטחה בהסכמי צד ג' – א
ב.32 אבטחה בהסכמי צד ג' – ב
B.33 יעילות ניהול אירועי אבטחת מידע
B.34 מגמת אירועי ביטחון
B.35 דיווח על אירועי אבטחה
B.36 תהליך סקירת ISMS
B.37 כיסוי פגיעות

נספח ג': דוגמה לבניית מדידת טופס בטקסט חופשי

ג.1 'יעילות אימון' – מבנה מדידת יעילות

מייק ג'נינגס

מייק הוא מנהל מערכת הניהול המשולבת (IMS) כאן ב-ISMS.online. בנוסף לאחריותו היומיומית להבטיח שניהול אירועי אבטחה של IMS, מודיעין איומים, פעולות מתקנות, הערכות סיכונים וביקורות מנוהלים ביעילות ומתעדכנים, מייק הוא מבקר ראשי מוסמך עבור ISO 27001 וממשיך לשפר את כישוריו האחרים בתקנים ובמסגרות של אבטחת מידע וניהול פרטיות כולל Cyber Essentials, ISO 27001 ועוד רבים אחרים.

אנחנו מובילים בתחומנו