Norm [AKTUELL]
ISO/IEC 27004:2016-12
Informationstechnik - Sicherheitsverfahren - Informationssicherheits-Management - Überwachung, Messung, Analyse und Evaluation
- Englischer Titel
- Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation
- Ausgabedatum
- 2016-12
- Originalsprachen
- Englisch
- Seiten
- 58
- Ausgabedatum
- 2016-12
- Originalsprachen
- Englisch
- Seiten
- 58
Produktinformationen auf dieser Seite:
Schnelle Zustellung per Download oder Versand
Jederzeit verschlüsselte Datenübertragung
Über dieses Produkt
Was ist ISO/IEC 27004:2016?
ISO/IEC 27004:2016 „Information security management – Monitoring, measurement, analysis and evaluation“ ist die internationale Norm zur Messung, Überwachung und Bewertung der Informationssicherheitsleistung innerhalb eines Informationssicherheits-Managementsystems (ISMS).
Die Norm ergänzt ISO/IEC 27001 und konkretisiert insbesondere Abschnitt 9.1 „Monitoring, Measurement, Analysis and Evaluation“.
Ziel ist es, Informationssicherheit messbar, steuerbar und auditfähig zu machen – durch strukturierte Kennzahlen, KPIs und Risikometriken.
Vorteile von ISO/IEC 27004:2016
Mit ISO/IEC 27004:2016 schaffen Organisationen ein belastbares System zur Messung der ISMS-Wirksamkeit.
- Aufbau eines KPI- und KRI-Systems für Informationssicherheit
- Messung von ISMS-Performance und Kontrollwirksamkeit
- Nachweis von ISO-27001-Compliance
- Bessere Management- und Risikoentscheidungen
- Unterstützung von Audits und Zertifizierungen
- Transparente Steuerung von Sicherheitsprozessen
Inhalte der ISO/IEC 27004:2016 im Überblick
ISO/IEC 27004:2016 beschreibt ein strukturiertes Vorgehen zur Messung und Bewertung der Informationssicherheitsleistung im ISMS und liefert methodische Grundlagen sowie praktische Ansätze für Kennzahlen.
- Grundlagen der Informationssicherheitsmessung (Zweck, Nutzen, Anforderungen)
- Ableitung von Messgrößen aus Zielen, Risiken und Compliance
- Performance Measures (Prozess- und Kontrollleistung)
- Effectiveness Measures (Wirksamkeit der Sicherheitsziele)
- Monitoring, Analyse und Bewertung von Kennzahlen
- Anforderungen an Definition, Verantwortlichkeiten und Reporting
Beispiele für ISMS-Kennzahlen (KPIs & KRIs)
- Incident Management: Anzahl und Reaktionszeiten (MTTD/MTTR)
- Vulnerability Management: kritische Schwachstellen außerhalb SLA
- Patch Management: Patch-Compliance-Quote
- Access Management: Ergebnisse von Rechte-Reviews
- Awareness & Training: Teilnahme- und Phishing-Ergebnisse
- Security Controls: Log- und Monitoring-Abdeckung
- Supplier Security: Anteil geprüfter Dienstleister
Praktische Anwendung im ISMS
ISO/IEC 27004:2016 unterstützt den Aufbau eines Mess- und Reporting-Systems für Informationssicherheit im ISMS. Organisationen leiten daraus KPIs und KRIs ab, um Sicherheitsleistung und Risiken messbar zu machen.
Die Kennzahlen werden regelmäßig erhoben und in Reports oder Dashboards für das Management genutzt. Typische Bereiche sind Incident Management, Schwachstellen, Zugriffskontrollen und Awareness.
Zudem unterstützt die Norm ISO/IEC-27001-Audits und fördert die kontinuierliche Verbesserung des ISMS durch die Analyse von Trends und Schwachstellen.
Für wen ist ISO/IEC 27004:2016 geeignet?
- ISB / CISO und Informationssicherheitsverantwortliche
- ISMS- und IT-Governance-Teams
- Risk- und Compliance-Management
- interne und externe Auditoren
- IT-Sicherheits- und Architekturteams
- Datenschutz- und BCM-Verantwortliche
Fazit
ISO/IEC 27004:2016 ist der zentrale Standard für die Messung von Informationssicherheitsleistung und ISMS-Wirksamkeit.
In Kombination mit ISO/IEC 27001 ermöglicht die Norm ein datenbasiertes, auditfähiges und kontinuierlich verbessertes Informationssicherheitsmanagementsystem mit klaren KPIs, KRIs und Management-Reporting.
Inhaltsverzeichnis
ICS
Dieses Dokument ersetzt ISO/IEC 27004:2009-12 .