Kako izmeriti učinkovitost informacijske varnosti

Povzela in pripravila: Enisa Šmrković, Kontaktna točka SIST

V današnjem načinu življenja nismo nikdar dovolj previdni, ko gre za varnost informacij. Varovanje osebnih zapisov in poslovno občutljivih informacij je ključnega pomena. Vendar, kako naj vemo, da naš sistem upravljanja informacijske varnosti izpolnjuje svojo nalogo? Nov mednarodni standard ISO/IEC 27004:2016 nam lahko pomaga.

Pred kratkim posodobljen standard ISO/IEC 27004:2016, Informacijska tehnologija – Varnostne tehnike – Upravljanje informacijske varnosti – Spremljanje, merjenje, analiziranje in ocenjevanje, daje napotke o tem, kako ocenjevati uspešnost poslovanja, urejenega po ISO/IEC 27001. Pojasnjuje, kako razviti in upravljati merjenje procesov ter kako oceniti in poročati o rezultatih meritev informacijske varnosti.

Skupina, ki je razvijala ta standard, je mnenja, da kibernetski napadi sodijo med največja tveganja za organizacije. Zato precej izboljšana verzija ISO/IEC 27004:2016 zagotavlja osnovno in praktično podporo številnim organizacijam, ki se pri zaščiti pred naraščajočimi spletnimi napadi ravnajo po standardu ISO/IEC 27001.

Standard ISO/IEC 27004:2016 določa, kako izdelati program za merjenje informacijske varnosti, kako izbrati predmet merjenja in kako upravljati potrebne merilne procese. Vključuje obsežne primere različnih vrst ukrepov in načine, kako je mogoče oceniti učinkovitost teh ukrepov.

Med številnimi koristmi za organizacije z uporabo ISO/IEC 27004:2016 so:

  • povečana odgovornost,
  • izboljšana informacijskovarnostna zmogljivost,
  • dokazila o izpolnjevanju zahtev standarda ISO/IEC 27001 in tudi veljavnih zakonov, pravil in predpisov.

Standard ISO/IEC 27004:2016 nadomešča izdajo iz leta 2009; je posodobljen in razširjen ter usklajen s spremenjeno različico ISO/IEC 27001:2013 za zagotovitev organizacije z večjo dodano vrednostjo in zaupanjem.

Standard lahko naročite po elektronski pošti: prodaja@sist.si, ali po telefonu: 01/478-3061.