ISO/IEC 27004 :2016 – Surveillance, mesure, évaluation et évaluation, propose des lignes directrices sur la manière de déterminer les performances du cadre de gestion de la sécurité de l'information ISO/IEC 27001 :2013. ISO / IEC 27004:2016 explique comment établir et exploiter des systèmes d'évaluation, et examine et enregistre également les effets d'une série de mesures de sécurité des informations.
Comme le dit le vieil adage « Si vous ne pouvez pas le mesurer, vous ne pouvez pas le gérer », mais pourquoi avons-nous besoin de mesurer la sécurité de l'information ? À améliorer continuellement quelles méthodes, procédures, politiques, etc. sont en place pour protéger votre organisation. La sécurité des informations est la clé du succès de toute organisation. Une mauvaise faille de sécurité peut nuire à votre réputation d'organisation sérieuse en matière de sécurité.
Il ne faut vraiment pas être trop vigilant en matière de sécurité des informations. Les cyberattaques font partie des menaces les plus importantes auxquelles une entreprise puisse être confrontée. Le sécurité des données personnelles et les informations commercialement sensibles sont essentielles. Mais comment savoir si votre norme ISO/IEC 27001:2013 Système de gestion de la sécurité de l'information (SMSI) est-ce que cela fait une différence ?
ISO / IEC 27004:2016 propose des lignes directrices sur la façon de déterminer les performances de l'ISO 27001. Elle décrit comment créer et exploiter des systèmes d'évaluation et comment analyser et divulguer les effets d'un ensemble de sécurité de l'information métrique.
C'est pourquoi la norme ISO/IEC 27004:2016 offre une aide critique et réaliste aux nombreuses entreprises qui mettent en œuvre la norme ISO/IEC 27001:2013 pour se protéger contre la diversité croissante des attaques de sécurité auxquelles les entreprises sont confrontées aujourd'hui.
Les mesures de sécurité peuvent fournir un aperçu de la efficacité du SMSI et, à ce titre, occuper le devant de la scène. Si vous êtes ingénieur ou entrepreneur responsable de la sécurité et de la gestion ou pour un dirigeant souhaitant obtenir de meilleures informations pour prendre des décisions, les indicateurs de sécurité sont devenus un outil essentiel pour communiquer l'état de la situation des cyber-risques d'une organisation.
Les organisations ont besoin de soutien pour résoudre la question de savoir si investissement dans la sécurité de l'information la gestion est efficace, adaptée pour réagir, se défendre et réagir au climat des cyber-risques en constante évolution.
ISMS.online vous fera gagner du temps et de l'argent vers la certification ISO 27001 et simplifiera sa maintenance.
Responsable de la sécurité de l'information, Honeysuckle Health
ISO 27004:2009 a été publiée pour la première fois en 2009 dans le cadre du ISO 27000 famille de normes, celle-ci a ensuite été révisée en 2016 et est devenue ISO 27004:2016. Les deux normes sont des lignes directrices et non des exigences, elles ne sont donc pas nécessaires et ne peuvent pas être certifiées, mais elles fonctionnent très bien avec les autres normes ISO 27000, sur lesquelles nous allons passer.
ISO/IEC 27004 :2016 montre comment créer un programme de mesure de la sécurité de l'information, comment choisir les éléments à calculer et comment mettre en œuvre les processus de mesure appropriés.
Il fournit des descriptions détaillées des différents types de contrôles et de la manière dont l'efficacité de ces contrôles peut être mesurée.
Parmi les nombreux avantages pour les organisations utilisant la norme ISO/IEC 27004:2016 figurent les suivants :
L'ISO/IEC 27004:2016 a remplacé l'édition 2009 et a été modifiée pour se conformer à la version révisée de l'ISO/IEC 27001:2013 afin d'offrir aux organisations une excellente valeur ajoutée et une excellente confiance.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
La norme ISO 27004 comprend 8 articles et 3 annexes. La norme ISO 27004:2016 comporte 4 articles clés :
Avec 3 contrôles de l'annexe A qui sont informatifs :
Article 1 : Champ d'application
Article 2 : Références normatives
Article 3 : Termes et définitions
Article 4 : Structure et aperçu
Article 5 : Justification
Article 6 : Caractéristiques
Article 7 : Types de mesures
Article 8 : Processus
Annexe A : Un modèle de mesure de la sécurité de l'information
Annexe B : Exemples de concepts de mesure
Annexe C : Un exemple de construction de mesures sous forme de texte libre
C.1 « Efficacité de la formation » – concept de mesure de l'efficacité