hero-two-bg

ISO/IEC 27004

ISO/IEC 27004 ist ein internationaler Standard, der Richtlinien bereitstellt, die Organisationen dabei unterstützen sollen, die Leistung und Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS), das auf ISO/IEC 27001 basiert, zu bewerten. Er bietet Anleitung zur Messung und Bewertung der Informationssicherheit innerhalb der Organisation.

Fordern Sie eine Demo von Secureframe Custom Frameworks anangle-right

Definition und Zweck

Der Standard definiert Metriken und einen strukturierten Ansatz zur Messung der Informationssicherheitsleistung, indem er spezifiziert, wie Metriken und Messungen entwickelt und verwendet werden, um die Wirksamkeit des ISMS und der in ISO/IEC 27001 festgelegten Kontrollen oder Kontrollgruppen zu bewerten. Der Zweck besteht darin, Organisationen dabei zu unterstützen, ihre Informationssicherheit und Leistung durch effektive Messung und Bewertung zu verbessern.

Gremiumsinhaber

ISO/IEC 27004 wird von der Internationalen Organisation für Normung (ISO) in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (IEC) verwaltet.

Zuletzt aktualisiert

ISO/IEC 27004 wurde erstmals 2009 veröffentlicht. Der Standard wird alle 5 Jahre überprüft und 2016 überarbeitet. Derzeit wird er überprüft.

Geltungsbereich

ISO/IEC 27004 gilt für alle Arten und Größen von Organisationen, einschließlich öffentlicher und privater Unternehmen, Regierungsbehörden und gemeinnütziger Organisationen, die ein ISMS gemäß ISO/IEC 27001 implementiert haben und dessen Leistung effektiv messen möchten.

Kontrollen und Anforderungen

Die Hauptkomponenten, die in ISO/IEC 27004 dargelegt sind, umfassen:

  • Kontext der Messungen: Verstehen, was und warum gemessen werden soll.
  • Entwicklung von Metriken: Definieren von Metriken, die relevant und nützlich für die Informationssicherheitsleistung sind.
  • Messprozesse: Implementierung von Prozessen zum Sammeln, Analysieren und Berichten von Daten.
  • Bewertung und Verbesserung: Nutzung der Messungen zur Bewertung der Wirksamkeit des ISMS, Identifizieren von Verbesserungsbereichen und Treffen fundierter Entscheidungen.

Bitte beziehen Sie sich auf die offizielle ISO/IEC 27004:2016-Dokumentation für Details zu Kontrollen und Anforderungen.

Audittyp, Häufigkeit und Dauer

Audits related to ISO/IEC 27004 typically involve the assessment of measurement strategies and practices to ensure they are aligned with the standard and effectively assess the performance of the ISMS. The standard does not specify a required frequency for performance measurement, but it is recommended to conduct these assessments regularly as part of a continuous improvement process.

The duration of assessments for ISO/IEC 27004 compliance can vary widely depending on the scope of the ISMS, the size of the organization, and the depth of the measurement and evaluation processes in place.

Get compliant using Secureframe Custom Frameworks

Request a demoangle-right
cta-bg