ISO/IEC 27004 – cách thức để đo lường hiệu quả của an ninh thông tin

Người viết: Trương Vân - Ngày viết: Thứ Tư, Tháng Hai 16, 2022 | 16:47 - Lượt xem: 759

Tiêu chuẩn ISO/IEC 27004 giải thích cách xây dựng và vận hành các quá trình đo lường, cách đánh giá và báo cáo kết quả của một tập các chỉ số bảo mật thông tin.

Bảo vệ hồ sơ cá nhân và thông tin nhạy cảm về mặt thương mại là rất quan trọng. Nhưng làm thế nào có thể nói rằng ISO/IEC 27001 hệ thống quản lý an ninh thông tin (ISMS) là tạo sự khác biệt? Tiêu chuẩn quốc tế ISO/IEC mới có thể hỗ trợ điều này.

Tiêu chuẩn ISO/IEC 27004, Công nghệ thông tin – Kỹ thuật bảo mật – Quản lý an ninh thông tin – Theo dõi, đo lường, phân tích và đánh giá, cung cấp hướng dẫn về cách đánh giá hiệu năng của ISO/IEC 27001. Tiêu chuẩn giải thích cách xây dựng và vận hành các quá trình đo lường và cách đánh giá và báo cáo kết quả của một tập các chỉ số bảo mật thông tin.

Giáo sư Edward Humphreys, Trưởng nhóm công tác xây dựng tiêu chuẩn (ISO/IEC JTC 1/SC 27), nói: “Các cuộc tấn công bằng máy tính là một trong những rủi ro lớn nhất mà tổ chức có thể gặp phải. Đó là lý do tại sao phiên bản cải tiến của ISO/IEC 27004 đã cung cấp sự hỗ trợ thiết thực và thiết thực cho nhiều tổ chức đang triển khai ISO/IEC 27001 để bảo vệ bản thân khỏi những cuộc tấn công an ninh ngày càng tăng mà doanh nghiệp đang phải đối mặt ngày nay.”

Các chỉ số bảo mật có thể cung cấp những hiểu biết sâu sắc về hiệu quả của một ISMS và như vậy, đã bước vào giai đoạn trung tâm. Cho dù bạn là một kỹ sư hoặc chuyên gia tư vấn chịu trách nhiệm về an ninh và báo cáo với ban quản lý hoặc một nhà điều hành cần thông tin tốt hơn cho việc ra quyết định, các chỉ số bảo mật đã trở thành một phương tiện quan trọng để truyền đạt trạng thái tư thế nguy hiểm trên mạng của tổ chức.

Theo lời của giáo sư Humphreys: “Các tổ chức cần được giúp đỡ để giải quyết vấn đề liệu đầu tư của tổ chức trong quản lý an ninh thông tin có hiệu quả, phù hợp với mục đích phản ứng, bảo vệ và đáp ứng với môi trường rủi ro liên tục thay đổi. Đây là điểm mà ISO/IEC 27004 có thể cung cấp nhiều lợi ích.”

ISO/IEC 27004 cho thấy làm thế nào để xây dựng một chương trình đo lường an ninh thông tin, cách lựa chọn đo lường và cách vận hành các quy trình đo lường cần thiết. Nó bao gồm các ví dụ rộng về các loại biện pháp khác nhau và hiệu quả của các biện pháp này có thể được đánh giá như thế nào.

Một số trong số rất nhiều lợi ích cho các tổ chức sử dụng ISO/IEC 27004 là: Tăng trách nhiệm giải trình; Cải thiện hiệu suất bảo mật thông tin và các quy trình ISMS; Bằng chứng về việc đáp ứng các yêu cầu của ISO/IEC 27001, cũng như các luật, quy tắc và quy định hiện hành.

Ngọc Bích