Passer au contenu
ISMS.en ligne

ISO 27004: 2016

La norme ISO/IEC 27004:2016 fournit des lignes directrices sur la manière de surveiller, de mesurer, d'analyser et d'évaluer les performances d'un système de management de la sécurité de l'information (SMSI) basé sur la norme ISO/IEC 27001. Elle aide les organisations à évaluer l'efficacité de leurs contrôles de sécurité et à favoriser l'amélioration continue de la sécurité de l'information.

Auteur
Mike Jennings
Mise à jour en septembre 11, 2025
4 / 5 Etoiles

Qu'est-ce que l'ISO 27004?

ISO/IEC 27004 :2016 – Surveillance, mesure, évaluation et évaluation, propose des lignes directrices sur la manière de déterminer les performances du cadre de gestion de la sécurité de l'information ISO/IEC 27001 :2013. ISO / IEC 27004:2016 explique comment établir et exploiter des systèmes d'évaluation, et examine et enregistre également les effets d'une série de mesures de sécurité des informations.

Comment mesurer la sécurité de l'information

Comme le dit le vieil adage « Si vous ne pouvez pas le mesurer, vous ne pouvez pas le gérer », mais pourquoi avons-nous besoin de mesurer la sécurité de l'information ? À améliorer continuellement Quelles méthodes, procédures, politiques, etc. sont en place pour protéger votre organisation ? La sécurité de l'information est essentielle au succès de toute organisation. Une seule faille de sécurité peut ternir votre réputation d'organisation soucieuse de la sécurité.

Il ne faut vraiment pas être trop vigilant en matière de sécurité des informations. Les cyberattaques font partie des menaces les plus importantes auxquelles une entreprise puisse être confrontée. Le sécurité des données personnelles et les informations commercialement sensibles sont essentielles. Mais comment savoir si votre norme ISO/IEC 27001:2013 Système de gestion de la sécurité de l'information (SMSI) est-ce que cela fait une différence ?

SO/IEC 27004 :2016 est là pour vous aider.

ISO / IEC 27004:2016 propose des lignes directrices sur la façon de déterminer les performances de l'ISO 27001. Elle décrit comment créer et exploiter des systèmes d'évaluation et comment analyser et divulguer les effets d'un ensemble de sécurité de l'information métrique.

C'est pourquoi la norme ISO/IEC 27004:2016 offre une aide critique et réaliste aux nombreuses entreprises qui mettent en œuvre la norme ISO/IEC 27001:2013 pour se protéger contre la diversité croissante des attaques de sécurité auxquelles les entreprises sont confrontées aujourd'hui.

Les mesures de sécurité peuvent fournir un aperçu de la efficacité du SMSI et, à ce titre, occuper le devant de la scène. Si vous êtes ingénieur ou entrepreneur responsable de la sécurité et de la gestion ou pour un dirigeant souhaitant obtenir de meilleures informations pour prendre des décisions, les indicateurs de sécurité sont devenus un outil essentiel pour communiquer l'état de la situation des cyber-risques d'une organisation.

Les organisations ont besoin de soutien pour résoudre la question de savoir si investissement dans la sécurité de l'information la gestion est efficace, adaptée pour réagir, se défendre et réagir au climat des cyber-risques en constante évolution.

L'histoire de la norme ISO/IEC 27004:2016

ISO 27004:2009 a été publiée pour la première fois en 2009 dans le cadre du ISO 27000 famille de normes, celle-ci a ensuite été révisée en 2016 et est devenue ISO 27004:2016. Les deux normes sont des lignes directrices et non des exigences, elles ne sont donc pas nécessaires et ne peuvent pas être certifiées, mais elles fonctionnent très bien avec les autres normes ISO 27000, sur lesquelles nous allons passer.

ISO / IEC 27004:2016 peut apporter divers avantages

ISO/IEC 27004 :2016 montre comment créer un programme de mesure de la sécurité de l'information, comment choisir les éléments à calculer et comment mettre en œuvre les processus de mesure appropriés.

Il fournit des descriptions détaillées des différents types de contrôles et de la manière dont l'efficacité de ces contrôles peut être mesurée.

Parmi les nombreux avantages pour les organisations utilisant la norme ISO/IEC 27004:2016 figurent les suivants :

  • Une transparence accrue
  • Amélioration de l’efficacité de la gestion de l’information et des processus SMSI
  • Preuve de conformité aux spécifications de la norme ISO/IEC 27001:2013, ainsi qu'aux règles, législations et réglementations pertinentes

L'ISO/IEC 27004:2016 a remplacé l'édition 2009 et a été modifiée pour se conformer à la version révisée de l'ISO/IEC 27001:2013 afin d'offrir aux organisations une excellente valeur ajoutée et une excellente confiance.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Quelles sont les clauses de la norme ISO 27004 ?

La norme ISO 27004 comprend 8 articles et 3 annexes. La norme ISO 27004:2016 comporte 4 articles clés :

  • Justification (article 5)
  • Caractéristiques (article 6)
  • Types de mesures (article 7)
  • Processus (article 8)

Avec 3 contrôles de l'annexe A qui sont informatifs :

  • Un modèle de mesure de la sécurité de l’information
  • Exemples de constructions de mesure
  • Un exemple de construction de mesures sous forme de texte libre

Clauses ISO/IEC 27004:2016

Article 1 : Champ d'application

Article 2 : Références normatives

Article 3 : Termes et définitions

Article 4 : Structure et aperçu

Article 5 : Justification

  • 5.1 La nécessité de mesurer
  • 5.2 Satisfaire aux exigences ISO/IEC 27001
  • 5.3 Validité des résultats
  • Avantages 5.4

Article 6 : Caractéristiques

  • Général 6.1
  • 6.2 Que surveiller
  • 6.3 Que mesurer
  • 6.4 Quand surveiller, mesurer, analyser et évaluer
  • 6.5 Qui surveillera, mesurera, analysera et évaluera

Article 7 : Types de mesures

  • Général 7.1
  • 7.2 Mesures de performance
  • 7.3 Mesures d'efficacité

Article 8 : Processus

  • Général 8.1
  • 8.2 Identifier les besoins d'information
  • 8.3 Créer et maintenir des mesures
  • 8.4 Établir des procédures
  • 8.5 Surveiller et mesurer
  • 8.6 Analyser les résultats
  • 8.7 Évaluer les performances en matière de sécurité de l'information et l'efficacité du SMSI
  • 8.8 Examiner et améliorer les processus de suivi, de mesure, d'analyse et d'évaluation
  • 8.9 Conserver et communiquer les informations documentées

Clauses de l'Annexe ISO/IEC 27004:2016

Annexe A : Un modèle de mesure de la sécurité de l'information

Annexe B : Exemples de concepts de mesure

  • B.1 Général
  • B.2 allocation des ressources
  • B.3 Examen des politiques
  • B.4 Engagement de la direction
  • B.5 Exposition au risque
  • B.6 Programme d'audit
  • B.7 Actions d'amélioration
  • B.8 Coût des incidents de sécurité
  • B.9 Tirer les leçons des incidents de sécurité de l'information
  • B.10 Mise en œuvre des actions correctives
  • B.11 Formation SMSI ou sensibilisation SMSI
  • B.12 Formation à la sécurité des informations
  • B.13 Sensibilisation à la sécurité de l'information la conformité
  • B.14 Efficacité des campagnes de sensibilisation au SMSI
  • B.15 Préparation à l'ingénierie sociale
  • B.16 Qualité du mot de passe – manuel
  • B.17 Qualité du mot de passe – automatisé
  • B.18 Révision des droits d'accès des utilisateurs
  • B.19 Évaluation du système de contrôle physique des entrées
  • B.20 Efficacité des contrôles physiques d’entrée
  • B.21 Gestion de la maintenance périodique
  • B.22 Gestion du changement
  • B.23 Protection contre les codes malveillants
  • B.24 Anti-malware
  • B.25 Disponibilité totale
  • B.26 Règles de pare-feu
  • B.27 Examen des fichiers journaux
  • B.28 Configuration de l'appareil
  • B.29 Pentest et évaluation de la vulnérabilité
  • B.30 Paysage de vulnérabilité
  • B.31 Sécurité dans les accords avec des tiers – a
  • B.32 Sécurité dans les accords avec des tiers – B
  • B.33 Efficacité de la gestion des incidents de sécurité de l'information
  • B.34 Tendance des incidents de sécurité
  • B.35 Rapports d'événements de sécurité
  • B.36 Processus de révision du SMSI
  • B.37 Couverture des vulnérabilités

Annexe C : Un exemple de construction de mesures sous forme de texte libre

  • C.1 « Efficacité de la formation » – concept de mesure de l'efficacité

Mike Jennings

Mike est le responsable du système de gestion intégré (IMS) ici sur ISMS.online. En plus de ses responsabilités quotidiennes consistant à garantir que la gestion des incidents de sécurité du SGI, les renseignements sur les menaces, les actions correctives, les évaluations des risques et les audits sont gérés efficacement et tenus à jour, Mike est un auditeur principal certifié ISO 27001 et continue de améliorer ses autres compétences dans les normes et cadres de sécurité de l'information et de gestion de la confidentialité, notamment Cyber ​​Essentials, ISO 27001 et bien d'autres.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Hiver 2026
Responsable régional - Hiver 2026 Royaume-Uni
Responsable régional - Hiver 2026 UE
Responsable régional - Hiver 2026 Marché intermédiaire UE
Responsable régional - Hiver 2026 EMEA
Responsable régional - Hiver 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.