Exigence 27001 de la norme ISO 6.2 – Objectifs de sécurité de l'information et planification pour les atteindre

Qu’implique l’article 6.2 ?

Pour répondre à cette exigence, il est important d'avoir déjà compris l'organisation et son contexte (4.1), déterminé les exigences des parties intéressées (4.2), établi votre champ d'application (4.3) et au moins commencé à effectuer votre évaluation et votre traitement des risques (6.1). .

L'exigence exacte pour 6.2 est :

« Établir des objectifs de sécurité de l'information applicables (et si possible, mesurables), en tenant compte des exigences de sécurité de l'information, des résultats de l'évaluation et du traitement des risques. Déterminez ce qui sera fait, quelles ressources sont nécessaires, qui en sera responsable, quand elles seront terminées et comment les résultats seront évalués.

Cette clause 6.2 de la norme se résume donc essentiellement à la question : « Comment savoir si votre système de gestion de la sécurité de l'information fonctionne comme prévu ?

Comment fixer des objectifs pour 6.2

Lorsque vous envisagez les objectifs que vous attendez de votre système de gestion de la sécurité de l'information, assurez-vous qu'ils sont axés sur l'entreprise et qu'ils vous aideront à gérer une organisation (plus) sécurisée et plus performante plutôt que de simplement cocher des cases et d'avoir une belle apparence sur une page. Pensez à ce que les parties intéressées voudront également voir mesuré et surveillé.

Par exemple, pourquoi les clients achètent-ils chez vous et qu'est-ce qui leur inquiéterait du point de vue de la sécurité des informations ? Quel niveau d’assurance des informations, quelles mesures et quel suivi seraient importants pour eux s’ils examinaient de près votre SMSI ?

Concentrez-vous sur l'élaboration d'objectifs significatifs, et pas seulement sur un grand nombre de mesures ou de cibles qui signifient que vous consacrerez tout votre temps à l'administration et aucune valeur ajoutée pour l'organisation.

Vous mesurez et surveillez peut-être déjà vos objectifs, alors n'oubliez pas de considérer ce que vous faites déjà ainsi que ce qui pourrait nécessiter plus d'efforts. L'ISO n'essaie pas de surprendre qui que ce soit en matière de mesure, elle veut simplement s'assurer que vous mesurez ce qui compte et de nombreuses entreprises intelligentes le feront déjà implicitement, sinon plus explicitement.

Liez étroitement votre travail ici aux revues de direction de la version 9.3 et placez vos preuves des résultats dans l'espace de travail de votre comité de revue de direction, ou créez un lien vers celui-ci pour faciliter les réunions de revue et les audits spécifiques.

Vous pouvez démontrer les résultats de votre mesure des performances de différentes manières, en utilisant les exportations de vos systèmes opérationnels, en exploitant les rapports automatisés sur ISMS.online (par exemple pour les incidents) et, le cas échéant, en utilisant de simples KPI ajoutés dans l'espace de travail de revue de direction.

Chez Alliantist, la société de logiciels et de services derrière ISMS.online, nous avons défini environ 7 objectifs de sécurité des informations, dont :

« Fourniture d'un service cloud sécurisé et fiable pour les utilisateurs (et autres parties intéressées) qui ont besoin de confiance et d'assurance que la plateforme est adaptée à leur objectif de partage et de travail avec des informations sensibles. »

Lorsque l’on décompose cet objectif, il est clair qu’il existe un certain nombre de domaines mesurables et réalisables qui en découlent. Par exemple:

• Sécurisé – qu’est-ce que cela signifie en termes de confidentialité et d’intégrité ?
• Fiable : qu'est-ce que cela signifie en termes de disponibilité du service logiciel cloud sécurisé ?

Comment rendre les objectifs de sécurité de l'information mesurables et réalisables

Sur la base de ce qui précède, une mesure du succès en matière de fiabilité pour Alliantist réside dans la disponibilité de systèmes tels que ISMS.online que les clients peuvent utiliser. Nous avons donc l'objectif (fiabilité du service), une mesure (temps de disponibilité) qui peut ensuite fixer un objectif de disponibilité, dans ce cas une disponibilité minimale de 99.5 % (contre laquelle nous atteignons continuellement 100 %).

Nous avons ensuite examiné la fréquence des mesures, le propriétaire responsable et la source des données à mesurer à titre de preuve. Nous avons ensuite ajouté cela dans ISMS.online en tant que KPI qui est abordé dans le cadre des revues de direction, et bien sûr, parce qu'il s'agit d'une mesure fondamentale pour le succès de nos services logiciels, il est également surveillé en permanence sur le plan opérationnel.

La source de ces données provient des journaux de disponibilité. Certaines autres mesures plus stratégiques, par exemple la confiance des clients, des auditeurs et des parties prenantes dans notre SMSI dans son ensemble, sont moins fréquemment mesurées, plus subjectives à certains égards, mais néanmoins importantes dans le cadre de la performance plus large du SMSI.

Il s’agit d’une excellente occasion de développer des indicateurs importants pour votre organisation, si ce n’est déjà fait. Nous encourageons une approche moins gérée et mieux gérée plutôt qu'une approche groupée et mal gérée. Si votre organisation compte des départements et des domaines spécifiques de l'activité touchés différemment en termes de confidentialité, d'intégrité et de disponibilité (CIA) qui justifieraient une ventilation des mesures pour chaque domaine, l'ISO s'attendrait à voir cette répartition ainsi que des mesures de haut niveau plus stratégiques.

D'autres mesures qui sont également utiles pour démontrer la CIA sont également assez évidentes à partir de certaines des exigences fixées par la norme ISO 27001 concernant la gestion des incidents, les évaluations/examens des risques, les améliorations et les actions correctives, etc. Dans ISMS.online, nous disposons d'un certain nombre d'outils qui fournissent automatiquement des statistiques de performance utiles pour démontrer la performance efficace du SMSI.

Ceux-ci incluent le suivi de la gestion des incidents, les améliorations et les actions correctives et bien d'autres encore qui font d'une grande partie de la gestion des objectifs un exercice sans effort au lieu de perdre du temps avec des feuilles de calcul et PowerPoint.

Comment définir le processus et les responsabilités pour l'évaluation des objectifs de sécurité de l'information

Une fois que vous avez défini vos objectifs, déterminé vos mesures et leur fréquence de mesure, il est nécessaire de montrer comment vous allez procéder pour évaluer les résultats, puis de prendre des mesures pour tout changement ou amélioration requis à votre SMSI.

Chez Alliantist, nous avons constitué une équipe de représentants de l'équipe de direction pour former le conseil d'administration de l'ISMS. Le Conseil ISMS est chargé de fixer les objectifs de chacune des mesures. Notre directeur des opérations est responsable des objectifs qui affectent le SMSI du point de vue de la production et des opérations.

Les données sources sont déléguées aux membres du personnel concernés pour les preuves, le tout étant extrait des systèmes existants et simplement résumé dans des KPI et des rapports statistiques qui font partie des revues régulières de direction conformément à la clause 9.3.