ISO 27004: 2016

Suivi, mesure, évaluation et évaluation

obtenir,les,meilleurs,résultats.,deux,confiant,jeunes,hommes,regardant,ordinateur portable

achieving,best,results.,two,confident,young,men,looking,at,laptop

Qu'est-ce que l'ISO 27004?

ISO/IEC 27004 :2016 – Surveillance, mesure, évaluation et évaluation, propose des lignes directrices sur la manière de déterminer les performances du cadre de gestion de la sécurité de l'information ISO/IEC 27001 :2013. ISO / IEC 27004:2016 explique comment établir et exploiter des systèmes d'évaluation, et examine et enregistre également les effets d'une série de mesures de sécurité des informations.

Comment mesurer la sécurité de l'information

Comme le dit le vieil adage « Si vous ne pouvez pas le mesurer, vous ne pouvez pas le gérer », mais pourquoi avons-nous besoin de mesurer la sécurité de l'information ? À améliorer continuellement quelles méthodes, procédures, politiques, etc. sont en place pour protéger votre organisation. La sécurité des informations est la clé du succès de toute organisation. Une mauvaise faille de sécurité peut nuire à votre réputation d'organisation sérieuse en matière de sécurité.

Il ne faut vraiment pas être trop vigilant en matière de sécurité des informations. Les cyberattaques font partie des menaces les plus importantes auxquelles une entreprise puisse être confrontée. Le sécurité des données personnelles et les informations commercialement sensibles sont essentielles. Mais comment savoir si votre norme ISO/IEC 27001:2013 Système de gestion de la sécurité de l'information (SMSI) est-ce que cela fait une différence ?

SO/IEC 27004 :2016 est là pour vous aider.

ISO / IEC 27004:2016 propose des lignes directrices sur la façon de déterminer les performances de l'ISO 27001. Elle décrit comment créer et exploiter des systèmes d'évaluation et comment analyser et divulguer les effets d'un ensemble de sécurité de l'information métrique.

C'est pourquoi la norme ISO/IEC 27004:2016 offre une aide critique et réaliste aux nombreuses entreprises qui mettent en œuvre la norme ISO/IEC 27001:2013 pour se protéger contre la diversité croissante des attaques de sécurité auxquelles les entreprises sont confrontées aujourd'hui.

Les mesures de sécurité peuvent fournir un aperçu de la efficacité du SMSI et, à ce titre, occuper le devant de la scène. Si vous êtes ingénieur ou entrepreneur responsable de la sécurité et de la gestion ou pour un dirigeant souhaitant obtenir de meilleures informations pour prendre des décisions, les indicateurs de sécurité sont devenus un outil essentiel pour communiquer l'état de la situation des cyber-risques d'une organisation.

Les organisations ont besoin de soutien pour résoudre la question de savoir si investissement dans la sécurité de l'information la gestion est efficace, adaptée pour réagir, se défendre et réagir au climat des cyber-risques en constante évolution.

ISMS.online vous fera gagner du temps et de l'argent vers la certification ISO 27001 et simplifiera sa maintenance.

Daniel Cléments

Responsable de la sécurité de l'information, Honeysuckle Health

Demander demo

L'histoire de la norme ISO/IEC 27004:2016

ISO 27004:2009 a été publiée pour la première fois en 2009 dans le cadre du ISO 27000 famille de normes, celle-ci a ensuite été révisée en 2016 et est devenue ISO 27004:2016. Les deux normes sont des lignes directrices et non des exigences, elles ne sont donc pas nécessaires et ne peuvent pas être certifiées, mais elles fonctionnent très bien avec les autres normes ISO 27000, sur lesquelles nous allons passer.

ISO / IEC 27004:2016 peut apporter divers avantages

ISO/IEC 27004 :2016 montre comment créer un programme de mesure de la sécurité de l'information, comment choisir les éléments à calculer et comment mettre en œuvre les processus de mesure appropriés.

Il fournit des descriptions détaillées des différents types de contrôles et de la manière dont l'efficacité de ces contrôles peut être mesurée.

Parmi les nombreux avantages pour les organisations utilisant la norme ISO/IEC 27004:2016 figurent les suivants :

Une transparence accrue
Amélioration de l’efficacité de la gestion de l’information et des processus SMSI
Preuve de conformité aux spécifications de la norme ISO/IEC 27001:2013, ainsi qu'aux règles, législations et réglementations pertinentes

L'ISO/IEC 27004:2016 a remplacé l'édition 2009 et a été modifiée pour se conformer à la version révisée de l'ISO/IEC 27001:2013 afin d'offrir aux organisations une excellente valeur ajoutée et une excellente confiance.

Découvrez les fonctionnalités de notre plateforme en action

Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs

Réservez votre démo

Atteignez votre date limite ISO 27001

Réservez votre démo

Quelles sont les clauses de la norme ISO 27004 ?

La norme ISO 27004 comprend 8 articles et 3 annexes. La norme ISO 27004:2016 comporte 4 articles clés :

Justification (article 5)
Caractéristiques (article 6)
Types de mesures (article 7)
Processus (article 8)

Avec 3 contrôles de l'annexe A qui sont informatifs :

Un modèle de mesure de la sécurité de l’information
Exemples de constructions de mesure
Un exemple de construction de mesures sous forme de texte libre

Clauses ISO/IEC 27004:2016

Article 1 : Champ d'application

Article 2 : Références normatives

Article 3 : Termes et définitions

Article 4 : Structure et aperçu

Article 5 : Justification

5.1 La nécessité de mesurer
5.2 Satisfaire aux exigences ISO/IEC 27001
5.3 Validité des résultats
Avantages 5.4

Article 6 : Caractéristiques

Général 6.1
6.2 Que surveiller
6.3 Que mesurer
6.4 Quand surveiller, mesurer, analyser et évaluer
6.5 Qui surveillera, mesurera, analysera et évaluera

Article 7 : Types de mesures

Général 7.1
7.2 Mesures de performance
7.3 Mesures d'efficacité

Article 8 : Processus

Général 8.1
8.2 Identifier les besoins d'information
8.3 Créer et maintenir des mesures
8.4 Établir des procédures
8.5 Surveiller et mesurer
8.6 Analyser les résultats
8.7 Évaluer les performances en matière de sécurité de l'information et l'efficacité du SMSI
8.8 Examiner et améliorer les processus de suivi, de mesure, d'analyse et d'évaluation
8.9 Conserver et communiquer les informations documentées

Clauses de l'Annexe ISO/IEC 27004:2016

Annexe A : Un modèle de mesure de la sécurité de l'information

Annexe B : Exemples de concepts de mesure

B.1 Général
B.2 Allocation des ressources
B.3 Examen des politiques
B.4 Engagement de la direction
B.5 Exposition au risque
B.6 Programme d'audit
B.7 Actions d'amélioration
B.8 Coût des incidents de sécurité
B.9 Tirer les leçons des incidents de sécurité de l'information
B.10 Mise en œuvre des actions correctives
B.11 Formation SMSI ou sensibilisation SMSI
B.12 Formation à la sécurité des informations
B.13 Conformité à la sensibilisation à la sécurité des informations
B.14 Efficacité des campagnes de sensibilisation au SMSI
B.15 Préparation à l'ingénierie sociale
B.16 Qualité du mot de passe – manuel
B.17 Qualité du mot de passe – automatisé

B.18 Révision des droits d'accès des utilisateurs
B.19 Évaluation du système de contrôle physique des entrées
B.20 Efficacité des contrôles physiques d’entrée
B.21 Gestion de la maintenance périodique
B.22 Gestion du changement
B.23 Protection contre les codes malveillants
B.24 Anti-malware
B.25 Disponibilité totale
B.26 Règles de pare-feu
B.27 Examen des fichiers journaux
B.28 Configuration de l'appareil
B.29 Pentest et évaluation de la vulnérabilité
B.30 Paysage de vulnérabilité
B.31 Sécurité dans les accords avec des tiers – a
B.32 Sécurité dans les accords avec des tiers – B
B.33 Efficacité de la gestion des incidents de sécurité de l'information
B.34 Tendance des incidents de sécuritéB.35 Rapport sur les événements de sécurité
B.36 Processus d'examen du SMSIB.37 Couverture des vulnérabilités

Annexe C : Un exemple de construction de mesures sous forme de texte libre
C.1 « Efficacité de la formation » – concept de mesure de l'efficacité