ISO 27016

Bestuur van inligtingsekuriteit – Organisasie-ekonomie

Bespreek 'n demo

vroulik, bestuurder, mentor, onderrig, help, manlik, intern, leerling, nuwe, werknemer

Wat is ISO/IEC TR 27016:2014?

Beroepslui in inligtingsekuriteit moet dikwels belegging in inligtingsekuriteitskontroles regverdig. Maar daar is steeds geen universele manier om assessering van die ekonomiese impak van inligtingsekuriteitsbesluite. ISO/IEC TR 27016:2014 het ten doel om dit op te los. ISO 27016 help organisasies om te besluit hoeveel om te belê in die beskerming van hul inligting. Beide inligtingsekuriteitspersoneel en algemene bestuurders kan ISO 27016 gebruik en verstaan. Die verslag sal jou help:

ISO 27016 help jou om na te dink oor hoe ekonomiese faktore met ander hulpbronne in wisselwerking is, insluitend:

  • Mense
  • toerusting
  • Fasiliteite
  • Materiale
  • Finansies

U moet ook daarop let dat ISO 27016 'n tegniese verslag is, nie 'n standaard nie. 'n ISO-tegniese verslag gee leiding oor 'n onderwerp deur inligting van ander bronne verkry. Hierdie bronne sluit in:

  • Surveys
  • Ander verslae
  • Algemeen beskikbare inligting
Sien ons platform in aksie
Vind meer uit

Wat is die geskiedenis van ISO/IEC TR 27016:2014?

Die Internasionale Organisasie vir Standaardisering (ISO) het ISO 27016 in 2014 gepubliseer. ISO het ISO 27016 geskep om leiding te gee aan beide inligtingsekuriteitskundiges en algemene bestuurders, om hulle te help:

  • Verstaan ​​waar om hul inligtingsekuriteitbegroting te belê
  • Bespreek die finansiële uitkomste van hul inligtingsekuriteitskeuses

Hoe hou ISO 27016 verband met ander standaarde?

ISO 27016 ondersteun ander ISO 27k standaarde. Die Tegniese Verslag gee jou leiding oor die ekonomie van inligtingsekuriteit, en wys jou hoe om ekonomiese of finansiële modelle op jou infosec-besluite toe te pas. Dit gee beskrywings en voorbeelde, insluitend:

  • Koste-voordeel state
  • Besigheidsake
  • Voorgestelde finansiële maatstawwe

Ekonomiese oorwegings moet lig al jou infosec-bestuur in besluite. Om deur die finansies te dink is veral belangrik wanneer jy besluit hoe jy:

Wie kan ISO 27016 implementeer?

Enige soort of grootte organisasie kan ISO/IEC TR 27016:2014 implementeer. Die tegniese verslag sal veral nuttig wees as jy 'n senior bestuurder verantwoordelik vir infosec-besluite.

Dit is gemik op:

  • Hoof Uitvoerende Beamptes (HUB's)
  • Hoofinligtingsbeamptes (CIO's)
  • Hoofinligtingsekuriteitsbeamptes (CISO's)
  • Bestuurders van inligtingsekuriteit (ISM)

Jy sal ISO 27016 nuttig vind wanneer jy:

Vind uit hoe bekostigbaar jou ISMS kan wees
Kry jou kwotasie

Hoekom moet ons ISO 27016 implementeer?

ISO 27016 sal jou help om finansiële oorwegings in die infosec-besluitnemingsproses in te voer, skep 'n unieke sakesaak om infosec-belegging te regverdig.

Jou organisasie sal verstaan ​​dat dit moet behandel inligtingsekuriteitsbeleide as waardevolle bates op sigself.

Om jou te help om die finansiële impak van infosec-besluite te verstaan ​​en te verduidelik, sluit die dokument in:

  • 'n Algemene beginpuntraamwerk
  • Voorbeeldteks vir jou om aan te pas en te gebruik

Inligtingsekuriteitsbeleide benodig a wye reeks kontroles om doeltreffend te wees. Jou organisasie sal in daardie kontroles moet belê. ISO 27016 sal jou help om 'n duidelike finansiële saak vir elke kontrole te maak. Jy sal wys dat elkeen van hulle 'n duidelik gedefinieerde opbrengs op belegging skep.

Hoeveel kos inligtingsekuriteit?

Vra 'hoeveel kos infosec?' is soos om te vra 'hoe lank is 'n stuk tou?'. Die koste om jou inligting te beveilig sal afhang van jou organisasie se tipe en skaal. Om jou infosec-begroting te stel, sal jy moet deurdink:

  • Hoeveel jou organisasie omdraai
  • Hoe duur 'n infosec-oortreding kan wees

ISO 27016 sal jou help om te verstaan ​​hoeveel jou organisasie aan inligtingsekuriteit kan en moet spandeer.

Wat is die voordele van ISO 27016?

ISO 27016 help jou om te besluit hoeveel jy wil belê om jou inligtingsbates te beskerm. Die verslag sal jou help om jou infosec-begroting te regverdig en infosec-beleggingsaanbevelings te maak.

Die verslag moedig jou aan om breë ekonomiese argumente te maak en wydlopende doelwitte te stel. Dit kan jou vra om te oorweeg om 'n ISO 27k inligtingsekuriteitbestuurstelsel (ISMS) op te stel, of om die potensiële politieke, sosiale en wetlike impak van jou infosec-keuses te ondersoek.

Die verslag sal jou ook deur die fyn detail van sy infosec-aanbevelings lei. Dit sal jou byvoorbeeld help:

  • Spandeer die regte bedrag op jou ISMS, nie te min of te veel nie
  • Kies tussen belegging in inligtingsrisikobestuur en sekuriteit beheer
  • Evalueer die waarde van u inligtingsbates en die potensiële koste van bedreigings vir hulle

Wat is die vereistes vir ISO 27016?

ISO 27016 het agt klousules en vier bylaes. Klousule 1 tot 5 bepaal die standaard se konteks en verwysings. Klousule 6 definieer ekonomiese faktore om in ag te neem wanneer u inligtingsekuriteitskontroles implementeer. Jy sal moet deurdink:

Klousule 7 vertel jou watter ekonomiese doelwitte jou organisasie moet oorweeg en hoe om die waarde van jou inligtingsbates te skat. Klousule 8 vra jou om die koste van inligtingsekuriteit te balanseer met die potensiële voordele daarvan. Die verslag eindig met vier Bylaes wat jou help om deur die groter ekonomiese, sosiale en politieke prentjie te dink.

Hier is die volledige lys van alles wat ISO 27016 insluit:

Sien ons platformkenmerke in aksie

'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte

Bespreek jou demo

ISO/IEC TR 27016:2014 klousules

Klousule 1: Bestek

Klousule 2: Normatiewe verwysings

Klousule 3: Terme en definisies

Klousule 4: Verkorte terme

Klousule 5: Struktuur van die dokument

Klousule 6: Inligtingssekerheid ekonomiese faktore

Klousule 7: Ekonomiese doelwitte

Klousule 8: Balansering van inligtingsekuriteitsekonomie vir ISM

  • 8.1 Inleiding
  • 8.2 Ekonomiese voordele
  • 8.3 Ekonomiese koste
  • 8.4 Toepassing van ekonomiese berekeninge op ISM
    • 8.4.1 Oorsig
    • 8.4.2 Leiding
    • 8.4.3 'n Besigheidsgeval gebaseer op 'n organisasiewye benadering (Kategorie A)
    • 8.4.4 'n Besigheidsgeval gebaseer op 'n deel van die organisasie (Kategorie B)

ISO/IEC TR 27016:2014 bylae klousules

Bylae A: Identifikasie van belanghebbendes en doelwitte vir die vasstelling van waardes

  • A.1 Oorsig
  • A.2 Kritiese openbare of private sektore
  • A.3 Openbare Gesondheid en Veiligheid
  • A.4 Samelewing en gemeenskap
  • A.5 Persoonlike inligting
  • A.6 Omgewing
  • A.7 Kompetisie

Bylae B: Ekonomiese besluite en sleutelbesluitfaktore

Bylae C: Ekonomiese modelle geskik vir inligtingsekuriteit

  • C.1 Algemene inligting
  • C.2 Basiese Waarde Model (BVM)
  • C.3 Negatief tot Positiewe Model
  • C.4 Generiese balansbelegging vir beskermingskoste vs. waardeteorie
  • C.5 Generiese Beleggingsberekening — Kostevoordeelberekening

Bylae D: Besigheidsake-berekeningsvoorbeelde

  • D.1 Organisatoriese besigheidsgeval-berekeningsvoorbeeld (Verw. A)
  • D.2 Gedeeltelike Organisatoriese Besigheidsgeval Berekeningsvoorbeeld (Verw. B)
  • D.3 Bate/Beheer geval Voorbeeld (Verw. B)

Verken ander standaarde binne die ISO 27k-familie

  • 1Die ISO 27000-familie
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27013

ISO 27017 »

Sien die ISMS.online platform in aksie
Bespreek jou demo

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind