La sécurité de l'information est une préoccupation majeure pour les entreprises alors qu’ils tentent de s’adapter aux progrès rapides des méthodes et techniques d’attaque et aux changements ultérieurs des exigences réglementaires. L'échec d'un la sécurité des informations de l'organisation Ces mesures peuvent avoir plusieurs conséquences négatives pour l’organisation et ses parties prenantes, notamment la perte de confiance.
Pour rester pertinente et compétitive dans le monde des affaires d'aujourd'hui, chaque entreprise doit mettre en place un programme de gouvernance de la sécurité de l'information (ISGP). Heureusement, il existe une opportunité d'améliorer la gouvernance de la sécurité de l'information et la gestion globale des risques dans l'environnement commercial en l'alignant sur les exigences de conformité telles que ISO 27001 et la norme dérivée ISO 27014.
ISO/IEC 27014 est une norme dans le ISO / IEC 27000 série.
Cette norme est « conçue pour aider les organisations à gérer efficacement leurs stratégies de sécurité de l’information ». La norme propose « des orientations sur les principes et concepts de gouvernance de la sécurité de l'information, à partir desquelles les organisations peuvent évaluer, diriger, surveiller, communiquer et garantir les pratiques liées à la sécurité de l'information au sein de l'organisation.
La norme de onze pages résume les normes de gouvernance des technologies de l'information et comprend une structure de six principes et cinq processus. La norme considère la gouvernance informatique comme une interaction avec la gouvernance des technologies de l'information, qui sont toutes des composantes du cadre plus large de gouvernance organisationnelle. En décembre 2020, un autre document d'orientation ISO/IEC 27014:2020 a été publié, succédant à la première édition de 2013.
Nous sommes très heureux d'avoir trouvé cette solution, elle a permis à tout de s'assembler plus facilement.
Un organe directeur est un collectif d'individus qui ont le l'autorité et la responsabilité de formuler des politiques et de diriger les activités d'une organisation. trajectoire générale. L'organisme collectif est responsable de la prise de décision et de la mise en œuvre au nom de son personnel, des parties prenantes et de l'organisation.
La fonction première de l'organe directeur est de sauvegarder les privilèges et les intérêts de l'organisation, ainsi que ceux de toute personne travaillant dans le cadre de l'organisation. Cet organe y parvient en garantissant que l'organisation fonctionne efficacement et est capable d'atteindre les objectifs et les priorités auxquels elle s'est engagée. De plus, l'organe directeur est responsable des finances, du personnel et des actifs de l'organisation. L’un des rôles majeurs de l’organe directeur de toute organisation est de faire en sorte que des décisions qui favoriseront la sécurité des informations au sein de l’organisation.
ISMS.online rend la configuration et la gestion de votre ISMS aussi simple que possible.
Des processus de gouvernance de la sécurité de l'information ont été développés pour aider les organisations à surveiller et à gérer leurs efforts en matière de sécurité de l'information. Cependant, ils n'existent pas en vase clos : ils doivent être intégré dans la gestion globale de l'entreprise processus s’ils veulent être efficaces (et cela est vrai pour de nombreuses activités de sécurité connexes, telles que la gestion des risques). L'organe directeur et la haute direction sont responsables de l'exécution de quatre systèmes de gouvernance, selon la norme ISO/IEC 27014:2020.
L'un des processus de gouvernance de la sécurité de l'information est l'évaluation. L'évaluation est un processus important dans lequel l'état actuel d'un processus ou d'un composant au sein d'une organisation est examiné. Cela permet de déterminer ce qui est à la fois bien et mal avec ce processus ou ce composant particulier.
La direction est l’un des processus de gouvernance de la sécurité de l’information. Cela comprend la planification, l'établissement et la révision des normes et procédures politiques, ainsi que l'évaluation du respect par le personnel des limites établies.
La surveillance est l'un des processus de sécurité de l'information. Ce sont des activités de gestion qui garantissent la disponibilité, l'intégrité, l'authentification et la confidentialité des systèmes et des réseaux et qui vérifient que les employés utilisent correctement ces systèmes et réseaux d'une manière qui suit les politiques de sécurité.
La communication est la clé des processus de gouvernance de la sécurité de l’information. Vous êtes chargé d’assurer la sécurité de votre entreprise et de ses différents actifs, mais cela ne peut pas être un processus isolé.
Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.
La gouvernance de la sécurité de l’information doit garantir que les mesures de sécurité de l’information sont robustes et intégrées. La norme établit six principes de haut niveau « orientés vers l’action » pour la gouvernance de la sécurité de l’information. Cela comprend les éléments suivants :
Les préoccupations concernant les technologies de l’information, ou la cybersécurité, peuvent pénétrer le cadre et les fonctions de l’organisation. À tous les niveaux de gestion, sécurité de l'information devrait être combiné avec la technologie de l’information (TI) et d’autres fonctions. La haute direction doit veiller à ce que la sécurité de l'information réponde aux intérêts stratégiques généraux de l'entreprise et doit créer une responsabilisation et une responsabilité au sein de l'organisation.
La gouvernance de la sécurité, y compris la répartition des ressources et la budgétisation, doit être guidée par l'appétit pour le risque d'une organisation, qui à son tour doit être influencé par une approche basée sur les risques qui prend en compte : la perte d'avantage concurrentiel, les problèmes de réglementation et de responsabilité, les retards opérationnels, l'atteinte à la réputation, et des pertes financières.
Assurez-vous que les risques liés à la sécurité de l’information sont correctement analysés avant de se lancer dans de nouvelles opérations, telles que des investissements, des acquisitions, des fusions, l'introduction de nouvelles technologies, des accords d'externalisation et des contrats avec des fournisseurs externes. En plus, intégrer la sécurité des informations dans les processus internes de l'agence, tels que la gestion de projet, les achats, la gestion financière, la conformité légale et réglementaire et la gestion des risques organisationnels. La haute direction doit développer une approche de sécurité de l'information alignée sur les objectifs de l'organisation, ce qui signifie que les besoins de l'agence et de l'organisation en matière de sécurité de l'information sont cohérents.
Les exigences externes comprennent les lois et réglementations requises, les normes de certification et les obligations contractuelles. Les critères internes sont des sous-ensembles des objectifs et priorités généraux d’une organisation plus grande. Les évaluations de sécurité indépendantes constituent la méthode généralement acceptée pour établir et suivre la conformité. La haute direction doit s'assurer que les pratiques de sécurité de l'information répondent de manière satisfaisante aux normes internes et externes en examinant audits de sécurité indépendants.
Il devrait y avoir une coordination et un alignement entre les différentes parties prenantes du SMSI. Pour parvenir à un cours cohérent en matière de sécurité de l'information, la haute direction doit encourager et faciliter la collaboration des tâches et des activités de toutes les personnes concernées par le SMSI. De plus, une preuve d'instruction en matière de sécurité, de préparation, et programmes de sensibilisation devrait être fourni. Responsabilités en matière de sécurité de l'information doivent être intégrés aux postes du personnel et des autres parties prenantes, et chacun doit assumer ses responsabilités pour contribuer à l’efficacité du SMSI.
Le succès de la sécurité se mesure non seulement en termes d’efficacité et de fiabilité, mais également en termes de ses effets sur les buts et objectifs globaux de l’entreprise. La haute direction en charge de la gouvernance devrait inclure des examens périodiques d'un système de mesure des performances pour le suivi, l'audit et l'amélioration qui traduit la sécurité de l'information en performances commerciales optimales.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
Le document ISO 27014 fournit des lignes directrices sur les principes, objectifs et procédures de gouvernance de la sécurité de l'information que les organisations doivent utiliser pour évaluer, diriger, surveiller et communiquer les processus liés à la sécurité de l'information au sein de l'organisation.
Comme les autres normes ISO27k, elle « convient à tous les types et à toutes les tailles d'organisations », en particulier celles où le SMSI couvre l'ensemble de l'organisation ou seulement un sous-ensemble de celle-ci, ou lorsqu'un seul SMSI s'étend à plusieurs entreprises (par exemple au sein d'une même entreprise). structure d'entreprise).
Une bonne gouvernance de la sécurité de l’information garantit qu’elle est cohérente et soutient les objectifs de l’entreprise identifiés dans les stratégies et politiques.
L'ISO 27014 accorde une importance considérable aux composants de gouvernance de l'ISO/IEC 27001 et établit des objectifs de gouvernance dans ce cadre. Il couvre l’intégration des activités de gouvernance de la sécurité de l’information avec d’autres fonctions et objectifs de gouvernance. La norme ISO 27014 précise en outre les exigences et les attentes de l'organisme directeur à partir d'un SMSI ISO27k.
ISO/IEC 27014:2020 s'adresse aux publics suivants :
Ce document s’applique à tous les types et tailles d’organisations.
Sur ISMS.online, nous vous facilitons la tâche pour documenter facilement votre gouvernance de la sécurité de l'information afin qu'elle soit conforme à la norme ISO 27014. Nous vous fournissons une interface de gestion de l'information logique et utilisable basée sur le cloud qui aidera votre organisation à vérifier ses processus de gouvernance de la sécurité de l'information et à progresser par rapport à la norme ISO 27014.
Notre plateforme basée sur le cloud vous permet d'accéder à toutes vos ressources ISMS en un seul endroit. Nous disposons d'une équipe interne d'experts en sécurité de l'information qui peuvent vous fournir des conseils et répondre à vos questions pour vous aider sur la voie de la mise en œuvre de la norme ISO 27014 afin que vous puissiez démontrer votre engagement envers les meilleures pratiques de gouvernance de la sécurité de l'information. Appelez ISMS.online au +44 (0)1273 041140 pour en savoir plus sur la façon dont nous pouvons vous aider à obtenir la certification ISO 27001.
Réservez une séance pratique sur mesure en fonction de vos besoins et de vos objectifs.
Depuis la migration, nous avons pu réduire le temps consacré à l'administration.
Collaborez, créez et montrez facilement que vous êtes au top de votre documentation à tout moment
En savoir plus
Gérez sans effort les menaces et les opportunités et créez des rapports dynamiques sur les performances.
En savoir plus
Prenez de meilleures décisions et montrez que vous avez le contrôle grâce aux tableaux de bord, aux KPI et aux rapports associés.
En savoir plus
Simplifiez les actions correctives, les améliorations, les audits et les revues de direction.
En savoir plus
Mettre en lumière les relations critiques et relier élégamment des domaines tels que les actifs, les risques, les contrôles et les fournisseurs.
En savoir plus
Sélectionnez des actifs dans la banque d'actifs et créez facilement votre inventaire d'actifs
En savoir plus
Intégrations prêtes à l'emploi avec vos autres systèmes commerciaux clés pour simplifier votre conformité
En savoir plus
Ajoutez judicieusement d'autres domaines de conformité affectant votre organisation pour obtenir encore plus
En savoir plus
Engagez le personnel, les fournisseurs et autres avec une conformité dynamique de bout en bout à tout moment
En savoir plus
Gérer la diligence raisonnable, les contrats, les contacts et les relations tout au long de leur cycle de vie
En savoir plus
Cartographier visuellement et gérer les parties intéressées pour garantir que leurs besoins sont clairement satisfaits
En savoir plus
Forte confidentialité dès la conception et contrôles de sécurité adaptés à vos besoins et attentes
En savoir plusNous avons tout ce dont vous avez besoin pour concevoir, construire et mettre en œuvre votre premier SMSI.
Nous vous aiderons à tirer le meilleur parti du travail de sécurité informatique que vous avez déjà effectué.
Avec nos plate-forme, vous pouvez créer le SMSI votre organisation a vraiment besoin.
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup