Giới thiệu
ISO/IEC 27004 liên quan đến các phép đo hoặc các biện pháp cần thiết để quản lý bảo mật thông tin: chúng thường được gọi là 'chỉ số bảo mật' trong nghề (nếu không có trong ISO/IEC JTC 1/SC 27!).
Phạm vi và mục đích
Tiêu chuẩn này nhằm giúp một tổ chức đánh giá hiệu lực và hiệu quả của Hệ thống quản lý bảo mật thông tin của mình, cung cấp thông tin cần thiết để quản lý và (khi cần thiết) cải thiện ISMS một cách có hệ thống. Nó mở rộng đáng kể điều khoản 9.1 của ISO/IEC 27001 liên quan đến 'theo dõi, đo lường, phân tích và đánh giá'.
Nội dung
Đây là những phần chính:
Cơ sở lý luận - giải thích giá trị của công cụ đo lường, ví dụ: để tăng trách nhiệm giải trình và hiệu suất;
Đặc điểm - đo lường, theo dõi, phân tích và đánh giá cái gì, khi nào làm và ai làm;
Các loại biện pháp - đo lường hiệu suất (hiệu suất) và hiệu quả;
Các quy trình - cách phát triển, triển khai và sử dụng các số liệu.
Phụ lục A là nơi mà hầu hết các mô hình đo lường lý thuyết từ phiên bản tiêu chuẩn năm 2009 hiện đã cạn kiệt.
Phụ lục B liệt kê 35 ví dụ về số liệu về tiện ích và chất lượng khác nhau, sử dụng biểu mẫu định nghĩa số liệu điển hình.
Phụ lục C trình bày một cách giả toán học để mô tả một thước đo, hay đúng hơn là một 'cấu trúc đo lường hiệu quả' (!).
Tình trạng tiêu chuẩn
Ấn bản đầu tiên được xuất bản vào năm 2009.
Phiên bản thứ hai được sửa đổi (viết lại) đáng kể đã được xuất bản vào năm 2016.
Công việc đang được tiến hành trên phiên bản thứ ba, cập nhật tiêu chuẩn để phản ánh các phiên bản năm 2022 của ISO/IEC 27001, 27002 và 27005.
Nhận xét cá nhân
Vì một ISMS thực sự còn tệ hơn là vô dụng nếu không có các phép đo phù hợp, nên ISO/IEC 27001 sẽ liệt kê tiêu chuẩn này là tiêu chuẩn quy chuẩn hoặc tiêu chuẩn thiết yếu. Hơn thế nữa, các chỉ số bảo mật thông tin có giá trị trong tất cả các tổ chức bất kể họ có áp dụng ISMS ISO27k hay không. Tôi hiểu tại sao '27004 và một số tiêu chuẩn ISO27k khác được điều chỉnh cụ thể theo 27001: phạm vi hẹp và trọng tâm chặt chẽ làm tăng cơ hội hoàn thành và xuất bản các tiêu chuẩn trong khung thời gian hợp lý (một vấn đề đã cản trở phiên bản gốc của '27004). Điều đó để lại một khoảng trống cho các tiêu chuẩn phạm vi rộng hơn, bao gồm tiêu chuẩn đo lường rủi ro thông tin và bảo mật cho mục đích chung ... hoặc thực sự là toàn bộ cuốn sách.
Các chỉ số ví dụ trong Phụ lục B là một nhóm hỗn hợp và không được mô tả rõ ràng. Xin đừng nghĩ rằng bạn nên sử dụng chúng, trừ khi chúng phù hợp với nhu cầu thông tin cụ thể của bạn. Có rất nhiều thứ để đo lường và những cách tốt hơn để làm điều đó, ví dụ:
Các thuật ngữ khác nhau liên quan đến số liệu từ phiên bản 2009 của tiêu chuẩn được định nghĩa trong ISO/IEC 27000 nhưng hầu như không còn phù hợp hiện nay. Chúng có thể bị loại bỏ khi 27000 được cập nhật tiếp theo.
Cơ quan tiêu chuẩn của Đức, DIN, đã đề xuất đưa cách tiếp cận GQM (Mục tiêu-Câu hỏi-Số liệu) vào tiêu chuẩn - một ý tưởng tuyệt vời nhưng đã được đưa ra quá muộn để đưa nó vào bản phát hành năm 2016. Hy vọng rằng tiêu chuẩn này sẽ xuất hiện trở lại trong bản sửa đổi hiện tại, mặc dù phạm vi dường như bị giới hạn ở một 'bản sửa đổi đơn lẻ', điều chỉnh lại tiêu chuẩn với các bản phát hành năm 2022 của ISO/IEC 27001, 27002 và 27005.
