ISO IEC 27004-2016 PDF

Полное наименование и описание

ISO/IEC 27004:2016 — Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation. Стандарт даёт руководящие указания по мониторингу, измерению, анализу и оценке показателей информационной безопасности и эффективности Системы менеджмента информационной безопасности (ISMS), в том числе для выполнения требований ISO/IEC 27001 (клаузула 9.1).

Аннотация

Стандарт описывает принципы и процессы для разработки и внедрения системы измерений информационной безопасности: выбор целей измерения, определение показателей производительности и эффективности, сбор и обработка данных, анализ результатов, интерпретация и отчётность. Приводится модель измерения и примеры показателей в приложениях. Стандарт применим ко всем типам и размерам организаций.

Общая информация

• Статус: Опубликовано (текущая редакция).
• Дата публикации: декабрь 2016 года (издание 2, 2016-12).
• Организация-издатель: Международная организация по стандартизации (ISO) совместно с Международной электротехнической комиссией (IEC), технический комитет ISO/IEC JTC 1/SC 27.
• ICS / категории: 35.030 (информационные технологии, безопасность).
• Редакция / версия: 2-е издание (2016). Стандарт заменил прежнюю редакцию ISO/IEC 27004:2009 (withdrawn).
• Количество страниц: 58 страниц (англ. изд.).

Область применения

Руководство предназначено для организаций, желающих оценивать показатели информационной безопасности и эффективность своего ISMS. Оно охватывает как мониторинг и измерение производительности информационной безопасности, так и оценку эффективности процессов и реализованных мер (контролей). Применимо к любым типам и размерам организаций, независимо от отрасли. Стандарт носит рекомендательный (руководящий) характер и не является отдельным документом для сертификации; он предназначен для поддержки выполнения требований ISO/IEC 27001.

Ключевые темы и требования

• Определение целей измерений информационной безопасности и связка их с целями ISMS.
• Классификация типов показателей: показатели производительности (performance) и показатели эффективности (effectiveness).
• Разработка структуры и модели измерений (включая компоненты модели, см. приложение A с примером модели измерения).
• Методика выбора данных, сбор, валидация, анализ и интерпретация результатов.
• Отчётность, оценка трендов и принятие решений на основе показателей.
• Примеры практических показателей и сценариев в приложениях B и C для помощи внедрению.
• Требование согласования измерений с требованиями ISO/IEC 27001 (особенно клаузула 9.1 — мониторинг, измерение, анализ и оценка).

Применение и пользователи

Основные пользователи: менеджеры по информационной безопасности, руководители ISMS, лица, ответственные за процессы мониторинга и отчётности, аудиторы, консультанты по безопасности и службы качества. Стандарт полезен как для организаций, внедряющих или поддерживающих ISMS, так и для заказчиков, оценивающих эффективность мер поставщиков. Поскольку это руководство, оно используется совместно с требованиями ISO/IEC 27001 при построении системы измерений; не является самостоятельным документом для сертификации.

Связанные стандарты

ISO/IEC 27004 является частью семейства ISO/IEC 27000. Ключевые связанные документы: ISO/IEC 27001 (требования к ISMS), ISO/IEC 27000 (термины и определения), ISO/IEC 27002 (руководство по контролям), а также другие спецификации серии, которые помогают в управлении рисками, реализации контролей и аудите. При планировании измерений следует учитывать версии и совместимость этих стандартов (включая изменения в ISO/IEC 27001, опубликованные в 2022 году).

Ключевые слова

измерение информационной безопасности, мониторинг, оценка эффективности, ISMS, показатели (metrics), сбор данных, анализ, отчётность, ISO/IEC 27000, ISO/IEC 27001.

FAQ

В: Что это за стандарт?

О: Руководство по мониторингу, измерению, анализу и оценке показателей информационной безопасности и эффективности Системы менеджмента информационной безопасности (ISMS). Помогает выбирать и применять показатели, интерпретировать результаты и отчитываться о состоянии информационной безопасности.

В: Что он регулирует?

О: Он не «регулирует» в смысле законодательного акта; это руководящий стандарт, описывающий принципы и методы измерений информационной безопасности, требования к процессам измерения, типы показателей и способы анализа/оценки результатов в контексте ISMS.

В: Кто обычно использует?

О: Менеджеры по безопасности информации, руководители ISMS, специалисты по метрике и аналитике безопасности, аудиторы и консультанты — все, кто отвечает за оценку эффективности мер безопасности и отчётность руководству и заинтересованным сторонам.

В: Он актуален или заменён?

О: На момент проверки (по состоянию на начало марта 2026 года) действующей является редакция ISO/IEC 27004:2016 (2-е издание). Она заменила редакцию 2009 года. Однако семейство стандартов ISO/IEC 27000 периодически пересматривается; пользователям рекомендуется проверять совместимость рекомендаций 27004:2016 с текущей версией ISO/IEC 27001, поскольку ISO/IEC 27001 была пересмотрена в 2022 году.

В: Это часть серии?

О: Да — ISO/IEC 27004 входит в семейство ISO/IEC 27000 (серия стандартов по управлению информационной безопасностью) и предназначена для поддержки и дополнения ISO/IEC 27001 и связанных руководств по контролям (например, ISO/IEC 27002).

В: Какие ключевые слова?

О: Метрики, показатели информационной безопасности, мониторинг, измерение, оценка эффективности, ISMS, аналитика безопасности, отчётность.