Beroepslui in inligtingsekuriteit moet dikwels belegging in inligtingsekuriteitskontroles regverdig. Maar daar is steeds geen universele manier om assessering van die ekonomiese impak van inligtingsekuriteitsbesluite. ISO/IEC TR 27016:2014 het ten doel om dit op te los. ISO 27016 help organisasies om te besluit hoeveel om te belê in die beskerming van hul inligting. Beide inligtingsekuriteitspersoneel en algemene bestuurders kan ISO 27016 gebruik en verstaan. Die verslag sal jou help:
ISO 27016 help jou om na te dink oor hoe ekonomiese faktore met ander hulpbronne in wisselwerking is, insluitend:
U moet ook daarop let dat ISO 27016 'n tegniese verslag is, nie 'n standaard nie. 'n ISO-tegniese verslag gee leiding oor 'n onderwerp deur inligting van ander bronne verkry. Hierdie bronne sluit in:
Die Internasionale Organisasie vir Standaardisering (ISO) het ISO 27016 in 2014 gepubliseer. ISO het ISO 27016 geskep om leiding te gee aan beide inligtingsekuriteitskundiges en algemene bestuurders, om hulle te help:
ISO 27016 ondersteun ander ISO 27k standaarde. Die Tegniese Verslag gee jou leiding oor die ekonomie van inligtingsekuriteit, en wys jou hoe om ekonomiese of finansiële modelle op jou infosec-besluite toe te pas. Dit gee beskrywings en voorbeelde, insluitend:
Ekonomiese oorwegings moet lig al jou infosec-bestuur in besluite. Om deur die finansies te dink is veral belangrik wanneer jy besluit hoe jy:
Enige soort of grootte organisasie kan ISO/IEC TR 27016:2014 implementeer. Die tegniese verslag sal veral nuttig wees as jy 'n senior bestuurder verantwoordelik vir infosec-besluite.
Dit is gemik op:
Jy sal ISO 27016 nuttig vind wanneer jy:
ISO 27016 sal jou help om finansiële oorwegings in die infosec-besluitnemingsproses in te voer, skep 'n unieke sakesaak om infosec-belegging te regverdig.
Jou organisasie sal verstaan dat dit moet behandel inligtingsekuriteitsbeleide as waardevolle bates op sigself.
Om jou te help om die finansiële impak van infosec-besluite te verstaan en te verduidelik, sluit die dokument in:
Inligtingsekuriteitsbeleide benodig a wye reeks kontroles om doeltreffend te wees. Jou organisasie sal in daardie kontroles moet belê. ISO 27016 sal jou help om 'n duidelike finansiële saak vir elke kontrole te maak. Jy sal wys dat elkeen van hulle 'n duidelik gedefinieerde opbrengs op belegging skep.
Vra 'hoeveel kos infosec?' is soos om te vra 'hoe lank is 'n stuk tou?'. Die koste om jou inligting te beveilig sal afhang van jou organisasie se tipe en skaal. Om jou infosec-begroting te stel, sal jy moet deurdink:
ISO 27016 sal jou help om te verstaan hoeveel jou organisasie aan inligtingsekuriteit kan en moet spandeer.
ISO 27016 help jou om te besluit hoeveel jy wil belê om jou inligtingsbates te beskerm. Die verslag sal jou help om jou infosec-begroting te regverdig en infosec-beleggingsaanbevelings te maak.
Die verslag moedig jou aan om breë ekonomiese argumente te maak en wydlopende doelwitte te stel. Dit kan jou vra om te oorweeg om 'n ISO 27k inligtingsekuriteitbestuurstelsel (ISMS) op te stel, of om die potensiële politieke, sosiale en wetlike impak van jou infosec-keuses te ondersoek.
Die verslag sal jou ook deur die fyn detail van sy infosec-aanbevelings lei. Dit sal jou byvoorbeeld help:
ISO 27016 het agt klousules en vier bylaes. Klousule 1 tot 5 bepaal die standaard se konteks en verwysings. Klousule 6 definieer ekonomiese faktore om in ag te neem wanneer u inligtingsekuriteitskontroles implementeer. Jy sal moet deurdink:
Klousule 7 vertel jou watter ekonomiese doelwitte jou organisasie moet oorweeg en hoe om die waarde van jou inligtingsbates te skat. Klousule 8 vra jou om die koste van inligtingsekuriteit te balanseer met die potensiële voordele daarvan. Die verslag eindig met vier Bylaes wat jou help om deur die groter ekonomiese, sosiale en politieke prentjie te dink.
Hier is die volledige lys van alles wat ISO 27016 insluit:
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
Klousule 1: Bestek
Klousule 2: Normatiewe verwysings
Klousule 3: Terme en definisies
Klousule 4: Verkorte terme
Klousule 5: Struktuur van die dokument
Klousule 6: Inligtingssekerheid ekonomiese faktore
Klousule 7: Ekonomiese doelwitte
Klousule 8: Balansering van inligtingsekuriteitsekonomie vir ISM
Bylae A: Identifikasie van belanghebbendes en doelwitte vir die vasstelling van waardes
Bylae B: Ekonomiese besluite en sleutelbesluitfaktore
Bylae C: Ekonomiese modelle geskik vir inligtingsekuriteit
Bylae D: Besigheidsake-berekeningsvoorbeelde