ISO 27004: Informatiebeveiliging meten

ISO 27004:2016

ISO/IEC 27004:2016 biedt richtlijnen voor het monitoren, meten, analyseren en evalueren van de prestaties van een Information Security Management System (ISMS) op basis van ISO/IEC 27001. Het helpt organisaties bij het beoordelen van de effectiviteit van hun beveiligingsmaatregelen en het stimuleren van voortdurende verbetering van de informatiebeveiliging.

Wat is ISO 27004?

ISO / IEC 27004:2016 – Monitoring, meting, beoordeling en evaluatie, biedt richtlijnen voor het bepalen van de prestaties van het ISO / IEC 27001:2013 raamwerk voor informatiebeveiligingsbeheer. ISO / IEC 27004:2016 legt uit hoe beoordelingssystemen moeten worden opgezet en beheerd, en beoordeelt en registreert ook de effecten van een reeks van informatiebeveiligingsmaatregelen.

Hoe informatiebeveiliging te meten

Zoals het oude gezegde luidt: “Als je het niet kunt meten, kun je het niet beheren”, maar waarom moeten we informatiebeveiliging meten? Naar voortdurend verbeteren welke methoden, procedures, beleid enzovoorts er zijn om uw organisatie te beschermen. Informatiebeveiliging is de sleutel tot het succes van elke organisatie, één verkeerde inbreuk op de beveiliging en uw reputatie als een organisatie die serieus is op het gebied van beveiliging is beschadigd.

Je kunt echt niet waakzaam genoeg zijn als het gaat om informatiebeveiliging. Cyberaanvallen behoren tot de grootste bedreigingen waarmee een bedrijf te maken kan krijgen. De beveiliging van persoonlijke gegevens en commercieel gevoelige informatie is essentieel. Maar hoe weet u of uw ISO/IEC 27001:2013 Informatiebeveiligingsbeheersysteem (ISMS) maakt een verschil?

SO / IEC 27004:2016 is er om u te helpen.

ISO / IEC 27004:2016 biedt richtlijnen voor het bepalen van de prestaties van ISO 27001. Het beschrijft hoe evaluatiesystemen moeten worden gecreëerd en beheerd en hoe de effecten van een reeks van informatiebeveiliging statistieken.

Daarom biedt ISO/IEC 27004:2016 kritische en realistische hulp aan de vele bedrijven die ISO/IEC 27001:2013 implementeren om zichzelf te beschermen tegen de toenemende diversiteit aan beveiligingsaanvallen waarmee het bedrijf vandaag de dag wordt geconfronteerd.

Beveiligingsstatistieken kunnen inzicht geven in de efficiëntie van het ISMS en als zodanig centraal staan. Als u ingenieur of aannemer bent verantwoordelijk voor de beveiliging en het beheer analyse, of een leidinggevende die betere besluitvormingsinformatie wil, zijn beveiligingsstatistieken een cruciaal instrument geworden voor het communiceren van de status van de cyberrisicopositie van een organisatie.

Organisaties hebben ondersteuning nodig bij het oplossen van de vraag of de organisatie wel of niet investeringen in informatiebeveiliging Het management is succesvol en geschikt om te reageren op, te verdedigen en te reageren op het steeds veranderende cyberrisicoklimaat.

De geschiedenis van ISO/IEC 27004:2016

ISO 27004:2009 werd voor het eerst gepubliceerd in 2009 als onderdeel van de ISO 27000 familie van normen, deze werd later in 2016 herzien en werd bekend als ISO 27004:2016. Beide standaarden zijn richtlijnen en geen vereisten, daarom zijn ze niet noodzakelijk of kunnen ze niet worden gecertificeerd. Maar wat ze wel heel goed doen, is samenwerken met de andere ISO 27000-standaarden, waar we verder op in zullen gaan.

ISO / IEC 27004:2016 kan verschillende voordelen met zich meebrengen

ISO / IEC 27004:2016 laat zien hoe u een meetprogramma voor informatiebeveiliging kunt maken, hoe u kunt kiezen wat u wilt berekenen en hoe u de juiste meetprocessen kunt uitvoeren.

Het biedt gedetailleerde beschrijvingen van verschillende soorten controles en hoe de efficiëntie van die controles kan worden gemeten.

Een van de vele voordelen voor organisaties die ISO / IEC 27004:2016 gebruiken, zijn de volgende:

Verhoogde transparantie
Verbeterde efficiëntie van informatiebeheer en ISMS-processen
Bewijs van conformiteit met de specificaties van ISO/IEC 27001:2013, alsmede relevante wet- en regelgeving

ISO/IEC 27004:2016 verving de editie van 2009 en werd aangepast om te voldoen aan de herziene versie van ISO/IEC 27001:2013 om organisaties een uitstekende toegevoegde waarde en vertrouwen te bieden.

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo

Welke clausules bevat ISO 27004?

ISO 27004 bestaat uit 8 clausules en 3 bijlagen. ISO 27004:2016 kent vier belangrijke clausules:

Reden (clausule 5)
Kenmerken (clausule 6)
Soorten maatregelen (clausule 7)
Processen (artikel 8)

Samen met 3 bijlage A-controles die informatief zijn:

Een meetmodel voor informatiebeveiliging
Voorbeelden van meetconstructies
Een voorbeeld van de constructie van vrije-tekstvormmetingen

ISO/IEC 27004:2016-clausules

Artikel 1: Toepassingsgebied

Hoofdstuk 2: Normatieve referenties

Artikel 3: Termen en definities

Artikel 4: Structuur en overzicht

Artikel 5: Reden

5.1 De noodzaak van meten
5.2 Voldoen aan de eisen van ISO/IEC 27001
5.3 Geldigheid van resultaten
5.4 voordelen

Artikel 6: Kenmerken

6.1 Algemeen
6.2 Wat u moet controleren
6.3 Wat te meten
6.4 Wanneer monitoren, meten, analyseren en evalueren
6.5 Wie gaat monitoren, meten, analyseren en evalueren

Artikel 7: Soorten maatregelen

7.1 Algemeen
7.2 Prestatiemaatstaven
7.3 Effectiviteitsmaatregelen

Artikel 8: Processen

8.1 Algemeen
8.2 Identificeer informatiebehoeften
8.3 Maatregelen creëren en onderhouden
8.4 Stel procedures vast
8.5 Monitoren en meten
8.6 Resultaten analyseren
8.7 Evalueer de informatiebeveiligingsprestaties en de effectiviteit van ISMS
8.8 Beoordelen en verbeteren van monitoring-, meet-, analyse- en evaluatieprocessen
8.9 Gedocumenteerde informatie bewaren en communiceren

ISO/IEC 27004:2016 bijlageclausules

Bijlage A: Een meetmodel voor informatiebeveiliging

Bijlage B: Voorbeelden van meetconstructies

B.1 Algemeen
geb.2 toewijzing van middelen
B.3 Beleidsdoorlichting
B.4 Managementbetrokkenheid
B.5 Blootstelling aan risico's
B.6 Auditprogramma
B.7 Verbeteracties
B.8 Kosten van beveiligingsincidenten
B.9 Leren van informatiebeveiligingsincidenten
B.10 Implementatie van corrigerende maatregelen
B.11 ISMS-training of ISMS-bewustzijn
B.12 Informatiebeveiligingstraining
B.13 Informatiebeveiligingsbewustzijn nakoming
B.14 Effectiviteit van ISMS-bewustmakingscampagnes
B.15 Voorbereiding op social engineering
B.16 Wachtwoordkwaliteit – handleiding
B.17 Wachtwoordkwaliteit – geautomatiseerd
B.18 Beoordeling van toegangsrechten van gebruikers
B.19 Evaluatie van het fysieke toegangscontrolesysteem
B.20 Effectiviteit van fysieke toegangscontroles
B.21 Beheer van periodiek onderhoud
B.22 Verandermanagement
B.23 Bescherming tegen kwaadaardige code
B.24 Anti-malware
B.25 Totale beschikbaarheid
B.26 Firewallregels
B.27 Beoordeling van logbestanden
B.28 Apparaatconfiguratie
B.29 Pentest en kwetsbaarheidsbeoordeling
B.30 Kwetsbaarheidslandschap
B.31 Zekerheid in overeenkomsten met derden –
B.32 Zekerheden in overeenkomsten met derden – B
B.33 Effectiviteit van het beheer van informatiebeveiligingsincidenten
B.34 Trend van beveiligingsincidenten
B.35 Rapportage van beveiligingsgebeurtenissen
B.36 ISMS-beoordelingsproces
B.37 Kwetsbaarheidsdekking

Bijlage C: Een voorbeeld van een vrije-tekstformuliermetingsconstructie

C.1 'Trainingseffectiviteit' – effectiviteitsmetingsconstruct

Mike Jennings

Mike is de Integrated Management System (IMS) Manager hier bij ISMS.online. Naast zijn dagelijkse verantwoordelijkheden om ervoor te zorgen dat het IMS-beveiligingsincidentbeheer, dreigingsinformatie, corrigerende maatregelen, risicobeoordelingen en audits effectief worden beheerd en up-to-date worden gehouden, is Mike een gecertificeerde hoofdauditor voor ISO 27001 en blijft hij zijn andere vaardigheden op het gebied van normen en raamwerken voor informatiebeveiliging en privacybeheer verbeteren, waaronder Cyber Essentials, ISO 27001 en nog veel meer.

Wij zijn een leider in ons vakgebied