Tietoturva-ammattilaisten on usein perusteltava investointi tietoturvan valvontaan. Mutta ei vieläkään ole universaalia tapaa tietoturvapäätösten taloudellisten vaikutusten arviointi. ISO/IEC TR 27016:2014 pyrkii ratkaisemaan tämän. ISO 27016 auttaa organisaatioita päättämään, kuinka paljon investoida tietojensa suojaamiseen. Sekä tietoturva-ammattilaiset että johtajat voivat käyttää ja ymmärtää ISO 27016:ta. Raportti auttaa sinua:
ISO 27016 auttaa sinua miettimään, kuinka taloudelliset tekijät ovat vuorovaikutuksessa muiden resurssien kanssa, mukaan lukien:
Huomaa myös, että ISO 27016 on tekninen raportti, ei standardi. ISO tekninen raportti antaa opastusta aiheesta käyttämällä muista lähteistä saatuja tietoja. Näitä lähteitä ovat:
Kansainvälinen standardointijärjestö (ISO) julkaisi ISO 27016:n vuonna 2014. ISO loi ISO 27016:n antamaan ohjeita sekä tietoturva-ammattilaisille että pääjohtajille ja auttamaan heitä:
ISO 27016 tukee muita ISO 27k standardit. Tekninen raportti antaa sinulle opastusta tietoturvan taloudesta ja näyttää, kuinka voit soveltaa taloudellisia tai rahoitusmalleja tietoturvapäätöksiisi. Siinä on kuvauksia ja esimerkkejä, mukaan lukien:
Taloudelliset näkökohdat on otettava huomioon ilmoita kaikille infosec-johdollesi päätökset. Talousasioiden pohtiminen on erityisen tärkeää, kun päätät, miten:
Mikä tahansa tai kokoinen organisaatio voi ottaa käyttöön ISO/IEC TR 27016:2014 -standardin. Tekninen raportti on erityisen hyödyllinen, jos olet a Infosec-päätöksistä vastaava ylin johtaja.
Se on suunnattu:
ISO 27016 on hyödyllinen, kun:
ISO 27016 auttaa sinua tuomaan taloudelliset näkökohdat infosec-päätöksentekoprosessiin, luoda ainutlaatuinen liiketoimintatapa oikeuttaakseen infosec-investoinnin.
Organisaatiosi ymmärtää, että sen pitäisi käsitellä tietoturvakäytännöt sinänsä arvokkaana omaisuutena.
Auttaakseen sinua ymmärtämään ja selittämään infosec-päätösten taloudellisia vaikutuksia, asiakirja sisältää:
Tietoturvapolitiikka tarvitsee a laaja valikoima ohjaimia ollakseen tehokkaita. Organisaatiosi on investoitava näihin ohjaimiin. ISO 27016 auttaa sinua tekemään selkeän taloudellisen perustelun jokaiselle kontrollille. Näet, että jokainen niistä luo selkeästi määritellyn sijoitetun pääoman tuoton.
Kysymys "paljonko infosec maksaa?" on kuin kysyisi "kuinka pitkä on narun pala?". Tietojesi turvaamisen kustannukset riippuvat organisaatiosi tyypistä ja laajuudesta. Jotta voit määrittää infosec-budjettisi, sinun on mietittävä:
ISO 27016 auttaa sinua ymmärtämään, kuinka paljon organisaatiosi voi ja pitäisi käyttää tietoturvaan.
ISO 27016 auttaa sinua päättämään, kuinka paljon haluat investoida tietoresurssien suojaamiseen. Raportti auttaa sinua perustelemaan infosec-budjettisi ja antamaan infosec-sijoitussuosituksia.
Raportti rohkaisee esittämään laajoja taloudellisia argumentteja ja asettamaan laaja-alaisia tavoitteita. Se saattaa pyytää sinua harkitsemaan ISO 27k -tietoturvan hallintajärjestelmän (ISMS) perustamista tai selvittämään infosec-valintoidesi mahdollisia poliittisia, sosiaalisia ja oikeudellisia vaikutuksia.
Raportti opastaa sinua myös infosec-suositusten yksityiskohtien läpi. Se auttaa sinua esimerkiksi:
ISO 27016 sisältää kahdeksan lauseketta ja neljä liitettä. Kohdat 1-5 määrittelevät standardin kontekstin ja viittaukset. Kohdassa 6 määritellään taloudelliset tekijät, jotka on otettava huomioon tietoturvaohjauksen toteuttamisessa. Sinun on mietittävä:
Kohdassa 7 kerrotaan, mitä taloudellisia tavoitteita organisaatiosi tulee harkita ja kuinka arvioida tietoomaisuutesi arvo. Lauseke 8 pyytää sinua tasapainottamaan tietoturvan kustannukset sen mahdollisten hyötyjen kanssa. Raportti päättyy neljään liitteeseen, jotka auttavat ajattelemaan laajempaa taloudellista, sosiaalista ja poliittista kuvaa.
Tässä on täydellinen luettelo kaikesta, mitä ISO 27016 sisältää:
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
Lauseke 1: Soveltamisala
Kohta 2: Normatiiviset viittaukset
Lauseke 3: Termit ja määritelmät
Lauseke 4: Lyhennetyt termit
Lauseke 5: Asiakirjan rakenne
Lause 6: Tietoturvan taloudelliset tekijät
Lauseke 7: Taloudelliset tavoitteet
Lause 8: Tietoturvatalouden tasapainottaminen ISM:lle
Liite A: Sidosryhmien tunnistaminen ja arvojen asettamisen tavoitteet
Liite B: Taloudelliset päätökset ja keskeiset päätöksentekijät
Liite C: Tietoturvaan soveltuvat taloudelliset mallit
Liite D: Liiketoimintatapausten laskentaesimerkkejä