0976.389.199
ISO / IEC TR 27016: 2014 - Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý an toàn thông tin - Kinh tế tổ chức

ISO / IEC TR 27016: 2014 - Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý an toàn thông tin - Kinh tế tổ chức

ISO / IEC TR 27016: 2014 cung cấp các hướng dẫn về cách một tổ chức có thể đưa ra quyết định để bảo vệ thông tin và hiểu được hậu quả kinh tế của những quyết định này trong bối cảnh các yêu cầu cạnh tranh về nguồn lực. ISO / IEC TR 27016: 2014 có thể áp dụng cho mọi loại hình và quy mô tổ chức và cung cấp thông tin để đưa ra các quyết định kinh tế trong quản lý an toàn thông tin bởi lãnh đạo cao nhất, người chịu trách nhiệm về các quyết định an toàn thông tin.

Tiêu chuẩn ISO / IEC TR 27016:2014

Giới thiệu

Báo cáo Kỹ thuật này cung cấp các hướng dẫn về kinh tế học an toàn thông tin như một quá trình ra quyết định liên quan đến sản xuất, phân phối và tiêu thụ hàng hóa và dịch vụ hạn chế. Các hành động để bảo vệ tài sản thông tin của một tổ chức yêu cầu các nguồn lực, nếu không thì có thể được phân bổ cho các mục đích sử dụng thay thế liên quan đến an toàn thông tin. Người đọc Báo cáo kỹ thuật này chủ yếu nhằm mục đích là quản lý điều hành, những người đã được cơ quan quản lý giao trách nhiệm về chiến lược và chính sách, ví dụ như Giám đốc điều hành (CEO), Người đứng đầu các tổ chức chính phủ, Giám đốc tài chính (CFO), Giám đốc điều hành ( COO), Giám đốc Thông tin (CIO), Giám đốc An toàn Thông tin (CISO) và các vai trò tương tự.

Quản lý bảo mật thông tin thường được coi là một phương pháp tiếp cận công nghệ thông tin chỉ sử dụng các biện pháp kiểm soát kỹ thuật (ví dụ: mã hóa, truy cập và quản lý đặc quyền, tường lửa, và loại bỏ xâm nhập và mã độc hại). Tuy nhiên, bất kỳ ứng dụng nào của bảo mật thông tin đều không hiệu quả nếu không xem xét một loạt các biện pháp kiểm soát khác (ví dụ: kiểm soát vật lý, kiểm soát nguồn nhân lực, chính sách và quy tắc, v.v.). Cần phải đưa ra quyết định phân bổ đủ nguồn lực để hỗ trợ một loạt các biện pháp kiểm soát như một phần của quản lý an toàn thông tin. Báo cáo Kỹ thuật này hỗ trợ các mục tiêu rộng lớn của an toàn thông tin như được cung cấp trong bộ tiêu chuẩn ISO / IEC 27000 bằng cách giới thiệu kinh tế học như một thành phần chính của quá trình ra quyết định.

Cùng với cách tiếp cận quản lý rủi ro ( ISO / IEC 27005 [ 5 ] ) và khả năng thực hiện các phép đo an toàn thông tin ( ISO / IEC 27004 [ 4 ] ), các yếu tố kinh tế cần được xem xét như một phần của quản lý an toàn thông tin khi lập kế hoạch, thực hiện, duy trì và cải thiện tính bảo mật của tài sản thông tin của tổ chức. Đặc biệt, cần có những biện minh kinh tế để đảm bảo chi tiêu cho an toàn thông tin có hiệu quả thay vì sử dụng các nguồn lực một cách kém hiệu quả hơn.

Thông thường, lợi ích kinh tế của quản lý an toàn thông tin liên quan đến một hoặc nhiều điều sau đây:

a) giảm thiểu mọi tác động tiêu cực đến các mục tiêu kinh doanh của tổ chức
b) đảm bảo mọi tổn thất tài chính đều có thể chấp nhận được
c) tránh các yêu cầu bổ sung vốn rủi ro và trích lập dự phòng

Quản lý bảo mật thông tin cũng có thể tạo ra những lợi ích mà không chỉ do các mối quan tâm tài chính thúc đẩy. Mặc dù những lợi ích phi tài chính này là quan trọng, nhưng chúng thường bị loại ra khỏi phân tích kinh tế dựa trên tài chính. Những lợi ích đó cần được định lượng và đưa vào như một phần của phân tích kinh tế. Những ví dụ bao gồm:

a) tạo điều kiện cho doanh nghiệp tham gia vào các nỗ lực có rủi ro cao
b) cho phép doanh nghiệp đáp ứng các nghĩa vụ pháp lý và quy định
c) quản lý các kỳ vọng của khách hàng về tổ chức
d) quản lý các kỳ vọng của cộng đồng về tổ chức
e) duy trì danh tiếng đáng tin cậy của tổ chức
f) đảm bảo tính đầy đủ và chính xác của báo cáo tài chính

Các tác động tiêu cực đến kinh tế tài chính và phi tài chính do tổ chức không bảo vệ đầy đủ các tài sản thông tin của mình đang ngày càng trở thành một vấn đề kinh doanh. Giá trị của quản lý an toàn thông tin bao gồm xác định mối quan hệ trực tiếp giữa chi phí kiểm soát để ngăn ngừa tổn thất và lợi ích chi phí của việc tránh mất mát.

Mức độ cạnh tranh ngày càng tăng dẫn đến việc các tổ chức cần tập trung vào tính kinh tế của rủi ro.

Báo cáo kỹ thuật này bổ sung cho họ tiêu chuẩn ISO / IEC 27000 bằng cách đưa ra quan điểm kinh tế về việc bảo vệ tài sản thông tin của tổ chức trong bối cảnh môi trường xã hội rộng lớn hơn mà tổ chức hoạt động.

1 Phạm vi

Báo cáo Kỹ thuật này cung cấp các hướng dẫn về cách một tổ chức có thể đưa ra các quyết định để bảo vệ thông tin và hiểu được hậu quả kinh tế của các quyết định này trong bối cảnh các yêu cầu cạnh tranh về nguồn lực.

Báo cáo Kỹ thuật này có thể áp dụng cho tất cả các loại hình và quy mô tổ chức và cung cấp thông tin để đưa ra các quyết định kinh tế trong quản lý an toàn thông tin của lãnh đạo cao nhất, người chịu trách nhiệm về các quyết định an toàn thông tin.

2 Tài liệu tham khảo

Các tài liệu sau đây, toàn bộ hoặc một phần, được viện dẫn một cách chuẩn tắc trong tài liệu này và không thể thiếu cho việc áp dụng nó. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

  • ISO / IEC 27000 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng

Xem Preview Tiêu chuẩn ISO / IEC TR 27016:2014

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.

Bài viết liên quan