ISO / IEC 27004:2016 - ניטור, מדידה, הערכה והערכה, מציע קווים מנחים כיצד לקבוע את הביצועים של מסגרת ניהול אבטחת המידע ISO / IEC 27001:2013. ISO / IEC 27004:2016 מסביר כיצד להקים ולהפעיל מערכות הערכה, וכן סוקר ומתעד את ההשפעות של סדרה של אמצעי אבטחת מידע.
כפי שאומר הפתגם הישן "אם אתה לא יכול למדוד את זה אתה לא יכול לנהל את זה" אבל למה אנחנו צריכים למדוד את אבטחת המידע? ל להשתפר ללא הרף אילו שיטות, נהלים, מדיניות וכן הלאה קיימים כדי להגן על הארגון שלך. אבטחת מידע היא המפתח להצלחת כל ארגון, פרצת אבטחה שגויה אחת והמוניטין שלך כארגון רציני באבטחה נפגע.
אתה באמת לא יכול להיות ערני מדי בכל הנוגע לאבטחת מידע. התקפות סייבר הן מהאיומים המשמעותיים ביותר שחברה יכולה להתמודד איתם. ה אבטחת מידע אישי ומידע רגיש מסחרי הוא חיוני. אבל איך אתה יודע אם ISO / IEC 27001:2013 שלך מערכת ניהול אבטחת מידע (ISMS) עושה הבדל?
ISO / IEC 27004:2016 מציע קווים מנחים כיצד לקבוע את הביצועים של ISO 27001. הוא מתאר כיצד ליצור ולהפעיל מערכות הערכה וכיצד לנתח ולחשוף את ההשפעות של קבוצה של אבטחת מידע מדדים.
זו הסיבה ש-ISO / IEC 27004:2016 מציע עזרה קריטית ומציאותית לחברות הרבות המיישמות את ISO / IEC 27001:2013 כדי להגן על עצמן מהמגוון ההולך וגדל של התקפות אבטחה איתה החברה מתמודדת כיום.
מדדי אבטחה יכולים לספק תובנות לגבי יעילות ה-ISMS וככזה, תופסים את מרכז הבמה. אם אתה מהנדס או קבלן אחראי על אבטחה וניהול אנליזה, או מנהל שרוצה מידע טוב יותר על קבלת החלטות, מדדי אבטחה הפכו לכלי קריטי לתקשורת הסטטוס של מצב סיכוני הסייבר של ארגון.
ארגונים זקוקים לתמיכה כדי לפתור את הסוגיה של הארגון השקעה באבטחת מידע ההנהלה מצליחה, מתאימה להגיב, הגנה ותגובה לאקלים סיכון הסייבר המשתנה ללא הרף.
ISMS.online יחסוך לך זמן וכסף לקראת הסמכת ISO 27001 ויהפוך אותו לפשוט לתחזוקה.
מנהל אבטחת מידע, בריאות יערה
ISO 27004:2009 פורסם לראשונה בשנת 2009 כחלק מ- ISO 27000 משפחת התקנים, זה עודכן מאוחר יותר ב-2016 ונודע כ-ISO 27004:2016. שני התקנים הם קווים מנחים ולא דרישות, ולכן אינם הכרחיים או שניתן לאשר עליהם, אבל מה שהוא עושה טוב מאוד הוא עבודה עם תקני ISO 27000 האחרים, שאליהם נעבור.
ISO / IEC 27004:2016 מראה כיצד ליצור תוכנית מדידת אבטחת מידע, כיצד לבחור מה לחשב וכיצד להפעיל את תהליכי המדידה המתאימים.
הוא מספק תיאורים מפורטים של סוגים שונים של בקרות וכיצד ניתן למדוד את היעילות של בקרות אלה.
בין היתרונות הרבים לארגונים המשתמשים ב-ISO / IEC 27004:2016 הם כדלקמן:
ISO / IEC 27004:2016 החליף את מהדורת 2009 ושונתה כדי להתאים לגרסה המתוקנת של ISO / IEC 27001:2013 כדי להעניק לארגונים ערך מוסף מעולה ואמון.
ISO 27004 מורכב מ-8 סעיפים ו-3 נספחים. ISO 27004:2016 כולל 4 סעיפי מפתח:
יחד עם 3 פקדים נספח A שהם אינפורמטיביים:
סעיף 1: היקף
סעיף 2: הפניות נורמטיביות
סעיף 3: מונחים והגדרות
סעיף 4: מבנה וסקירה
סעיף 5: נימוק
סעיף 6: מאפיינים
סעיף 7: סוגי אמצעים
סעיף 8: תהליכים
נספח א': מודל מדידת אבטחת מידע
נספח ב': דוגמאות לבנות מדידה
נספח ג': דוגמה לבניית מדידת טופס בטקסט חופשי
ג.1 'יעילות אימון' – מבנה מדידת יעילות