Informatiebeveiligingsprofessionals moeten vaak investeringen in informatiebeveiligingscontroles rechtvaardigen. Maar er is nog steeds geen universele manier om dat te doen het beoordelen van de economische impact van beslissingen op het gebied van informatiebeveiliging. ISO/IEC TR 27016:2014 heeft tot doel dit op te lossen. ISO 27016 helpt organisaties beslissen hoeveel ze willen investeren in de bescherming van hun informatie. Zowel informatiebeveiligingsprofessionals als algemeen managers kunnen ISO 27016 gebruiken en begrijpen. Het rapport helpt u:
ISO 27016 helpt u na te denken over de manier waarop economische factoren interageren met andere hulpbronnen, waaronder:
Houd er ook rekening mee dat ISO 27016 een technisch rapport is en geen norm. Een technisch ISO-rapport geeft richtlijnen over een onderwerp met behulp van informatie verkregen uit andere bronnen. Deze bronnen omvatten:
De Internationale Organisatie voor Standaardisatie (ISO) publiceerde ISO 27016 in 2014. ISO creëerde ISO 27016 om richtlijnen te geven aan zowel informatiebeveiligingsprofessionals als algemene managers, en hen te helpen:
ISO 27016 ondersteunt andere ISO27k normen. Het Technisch Rapport geeft u advies over de economische aspecten van informatiebeveiliging en laat u zien hoe u economische of financiële modellen kunt toepassen op uw infosec-beslissingen. Het geeft beschrijvingen en voorbeelden, waaronder:
Economische overwegingen moeten dat doen informeer al uw infosec-management beslissingen. Het is vooral belangrijk om goed over de financiële zaken na te denken als u besluit hoe u:
Elke soort organisatie of omvang kan ISO/IEC TR 27016:2014 implementeren. Het technische rapport zal met name nuttig zijn als u een senior manager verantwoordelijk voor infosec-beslissingen.
Het is gericht op:
U zult ISO 27016 nuttig vinden als u:
ISO 27016 helpt u financiële overwegingen te introduceren in het besluitvormingsproces van infosec. het creëren van een unieke business case om de investering in infosec te rechtvaardigen.
Uw organisatie zal begrijpen dat zij moet behandelen informatiebeveiligingsbeleid als waardevolle bezittingen op zichzelf.
Om u te helpen de financiële impact van infosec-beslissingen te begrijpen en uit te leggen, bevat het document:
Informatiebeveiligingsbeleid heeft behoefte aan een breed scala aan controles om effectief te zijn. Uw organisatie zal in die controles moeten investeren. ISO 27016 helpt u bij het maken van een duidelijke financiële onderbouwing van elke controle. U zult laten zien dat elk van deze een duidelijk gedefinieerd rendement op uw investering oplevert.
Vragen 'hoeveel kost infosec?' is hetzelfde als vragen 'hoe lang is een touwtje?'. De kosten voor het beveiligen van uw gegevens zijn afhankelijk van het type en de schaal van uw organisatie. Om uw infosec-budget in te stellen, moet u nadenken over het volgende:
ISO 27016 helpt u te begrijpen hoeveel uw organisatie kan en moet uitgeven aan informatiebeveiliging.
ISO 27016 helpt u beslissen hoeveel u wilt investeren om uw informatiemiddelen te beschermen. Het rapport helpt u bij het rechtvaardigen van uw infosec-budget en het doen van infosec-investeringsaanbevelingen.
Het rapport moedigt u aan om brede economische argumenten aan te voeren en brede doelen te stellen. Het zou u kunnen vragen om te overwegen een ISO 27k informatiebeveiligingsbeheersysteem (ISMS) op te zetten, of de potentiële politieke, sociale en juridische gevolgen van uw infosec-keuzes te onderzoeken.
Het rapport begeleidt u ook door de fijne details van de infosec-aanbevelingen. Het helpt je bijvoorbeeld:
ISO 27016 kent acht clausules en vier bijlagen. In de artikelen 1 tot en met 5 worden de context en referenties van de standaard vastgelegd. In artikel 6 worden economische factoren gedefinieerd waarmee u rekening moet houden bij het implementeren van uw informatiebeveiligingsmaatregelen. Je moet nadenken over:
In artikel 7 leest u welke economische doelstellingen uw organisatie moet overwegen en hoe u de waarde van uw informatiemiddelen kunt inschatten. In artikel 8 wordt u gevraagd de kosten van informatiebeveiliging af te wegen tegen de potentiële voordelen ervan. Het rapport eindigt met vier bijlagen die u helpen na te denken over het grotere economische, sociale en politieke plaatje.
Hier is de volledige lijst met alles wat ISO 27016 omvat:
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Artikel 1: Toepassingsgebied
Hoofdstuk 2: Normatieve referenties
Artikel 3: Termen en definities
Artikel 4: Verkorte termen
Artikel 5: Structuur van het document
Artikel 6: Economische factoren op het gebied van informatiebeveiliging
Artikel 7: Economische doelstellingen
Clausule 8: Evenwicht tussen de informatiebeveiligingseconomie voor ISM
Bijlage A: Identificatie van belanghebbenden en doelstellingen voor het vaststellen van waarden
Bijlage B: Economische beslissingen en belangrijkste beslissingsfactoren
Bijlage C: Economische modellen passend voor informatiebeveiliging
Bijlage D: Rekenvoorbeelden van business cases