אנשי אבטחת מידע צריכים לעתים קרובות להצדיק השקעה בבקרות אבטחת מידע. אבל עדיין אין דרך אוניברסלית לעשות זאת הערכת ההשפעה הכלכלית של החלטות אבטחת מידע. ISO/IEC TR 27016:2014 נועד לפתור זאת. ISO 27016 עוזר לארגונים להחליט כמה להשקיע בהגנה על המידע שלהם. גם אנשי אבטחת מידע וגם מנהלים כלליים יכולים להשתמש ולהבין את ISO 27016. הדוח יעזור לך:
ISO 27016 עוזר לך לחשוב על האופן שבו גורמים כלכליים מתקשרים עם משאבים אחרים, כולל:
כדאי גם לשים לב ש-ISO 27016 הוא דוח טכני, לא תקן. דוח טכני של ISO נותן הנחיות בנושא תוך שימוש במידע שהתקבל ממקורות אחרים. מקורות אלה כוללים:
ארגון התקינה הבינלאומי (ISO) פרסם את ISO 27016 בשנת 2014. ISO יצר את ISO 27016 כדי לתת הנחיות הן לאנשי מקצוע בתחום אבטחת המידע והן למנהלים כלליים, לעזור להם:
ISO 27016 תומך באחרים ISO 27k תקנים. הדוח הטכני נותן לך הנחיות לגבי הכלכלה של אבטחת מידע, ומראה לך כיצד ליישם מודלים כלכליים או פיננסיים על החלטות המידע שלך. הוא נותן תיאורים ודוגמאות, כולל:
שיקולים כלכליים חייבים ליידע את כל הנהלת ה-infosec שלך החלטות. חשוב במיוחד לחשוב על הכספים כאשר מחליטים כיצד:
כל סוג או גודל של ארגון יכול ליישם את ISO/IEC TR 27016:2014. הדוח הטכני יעזור במיוחד אם אתה א מנהל בכיר האחראי על החלטות infosec.
זה מכוון ל:
תמצא את ISO 27016 שימושי כאשר אתה:
ISO 27016 יעזור לך להכניס שיקולים פיננסיים לתהליך קבלת ההחלטות של infosec, יצירת מקרה עסקי ייחודי כדי להצדיק השקעה ב-infosec.
הארגון שלך יבין שהוא צריך לטפל מדיניות אבטחת מידע כנכסים יקרי ערך בפני עצמם.
כדי לעזור לך להבין ולהסביר את ההשפעה הכספית של החלטות infosec, המסמך כולל:
מדיניות אבטחת מידע צריכה א מגוון רחב של בקרות כדי להיות יעילים. הארגון שלך יצטרך להשקיע בבקרות הללו. ISO 27016 יעזור לך להמציא מקרה פיננסי ברור עבור כל בקרה. תראה שכל אחד מהם יוצר החזר מוגדר בבירור על ההשקעה.
שואל 'כמה עולה infosec?' זה כמו לשאול 'כמה זמן חוט?'. עלות אבטחת המידע שלך תהיה תלויה בסוג הארגון שלך ובקנה מידה. כדי להגדיר את תקציב ה-infosec שלך, תצטרך לחשוב היטב:
ISO 27016 יעזור לך להבין כמה הארגון שלך יכול וצריך להוציא על אבטחת מידע.
ISO 27016 עוזר לך להחליט כמה אתה רוצה להשקיע כדי להגן על נכסי המידע שלך. הדוח יעזור לך להצדיק את תקציב ה-infosec שלך ולהציע המלצות להשקעה ב-infosec.
הדוח מעודד אותך להעלות טיעונים כלכליים רחבים ולהציב יעדים רחבי היקף. זה עשוי לבקש ממך לשקול הקמת מערכת ניהול אבטחת מידע ISO 27k (ISMS), או לחקור את ההשפעות הפוליטיות, החברתיות והמשפטיות הפוטנציאליות של הבחירות שלך ב-infosec.
הדו"ח גם ידריך אותך בפרטים הקטנים של המלצות ה-infosec שלו. לדוגמה, זה יעזור לך:
לתקן ISO 27016 יש שמונה סעיפים וארבעה נספחים. סעיפים 1 עד 5 קובעים את ההקשר וההתייחסויות של התקן. סעיף 6 מגדיר גורמים כלכליים שיש לקחת בחשבון בעת יישום בקרות אבטחת המידע שלך. תצטרך לחשוב לעומק:
סעיף 7 אומר לך אילו יעדים כלכליים הארגון שלך צריך לשקול וכיצד להעריך את הערך של נכסי המידע שלך. סעיף 8 מבקש מכם לאזן בין עלויות אבטחת המידע לבין היתרונות הפוטנציאליים שלה. הדו"ח מסתיים בארבעה נספחים שעוזרים לך לחשוב על התמונה הכלכלית, החברתית והפוליטית הגדולה יותר.
הנה הרשימה המלאה של כל מה ש-ISO 27016 כולל:
סעיף 1: היקף
סעיף 2: הפניות נורמטיביות
סעיף 3: מונחים והגדרות
סעיף 4: מונחים מקוצרים
סעיף 5: מבנה המסמך
סעיף 6: גורמים כלכליים אבטחת מידע
סעיף 7: יעדים כלכליים
סעיף 8: איזון כלכלת אבטחת מידע עבור ISM
נספח א': זיהוי בעלי עניין ויעדים לקביעת ערכים
נספח ב': החלטות כלכליות וגורמי החלטה מרכזיים
נספח ג': מודלים כלכליים המתאימים לאבטחת מידע
נספח ד': דוגמאות לחישוב מקרים עסקיים