ISO 27016

Gestion de la sécurité de l’information – Économie organisationnelle

Demander demo

femme, gestionnaire, mentor, enseigner, aider, homme, stagiaire, stagiaire, nouveau, employé

Qu'est-ce que la norme ISO/CEI TR 27016:2014 ?

Les professionnels de la sécurité de l’information doivent souvent justifier leur investissement dans les contrôles de sécurité de l’information. Mais il n'existe toujours pas de méthode universelle évaluer l’impact économique des décisions en matière de sécurité de l’information. L'ISO/IEC TR 27016:2014 vise à résoudre ce problème. La norme ISO 27016 aide les organisations à décider combien investir dans la protection de leurs informations. Les professionnels de la sécurité de l’information et les directeurs généraux peuvent utiliser et comprendre la norme ISO 27016. Le rapport vous aidera à :

La norme ISO 27016 vous aide à réfléchir à la manière dont les facteurs économiques interagissent avec d'autres ressources, notamment :

  • Personnes
  • Matériel
  • Équipements de l'hôtel
  • Matériaux
  • Finances

Vous devez également noter que la norme ISO 27016 est un rapport technique et non une norme. Un rapport technique ISO donne des conseils sur un sujet en utilisant des informations obtenues à partir d'autres sources. Ces sources comprennent :

  • Etudes
  • Autres rapports
  • Informations généralement disponibles
Voir notre plateforme en action
En savoir plus

Quelle est l’histoire de la norme ISO/IEC TR 27016:2014 ?

L'Organisation internationale de normalisation (ISO) a publié la norme ISO 27016 en 2014. L'ISO a créé la norme ISO 27016 pour donner des lignes directrices aux professionnels de la sécurité de l'information et aux directeurs généraux, en les aidant à :

  • Comprendre où investir leur budget de sécurité des informations
  • Discuter des résultats financiers de leurs choix en matière de sécurité des informations

Quel est le lien entre la norme ISO 27016 et les autres normes ?

ISO 27016 prend en charge d'autres ISO 27k normes. Le rapport technique vous donne des conseils sur les aspects économiques de la sécurité de l'information, vous montrant comment appliquer des modèles économiques ou financiers à vos décisions en matière de sécurité des informations. Il donne des descriptions et des exemples, notamment :

  • Déclarations coûts-avantages
  • Etudes de cas
  • Mesures financières suggérées

Les considérations économiques doivent informer toute votre gestion infosec les décisions. Il est particulièrement important de réfléchir aux aspects financiers lorsque vous décidez comment :

Qui peut mettre en œuvre la norme ISO 27016 ?

Tout type ou toute taille d'organisation peut mettre en œuvre la norme ISO/IEC TR 27016:2014. Le rapport technique sera particulièrement utile si vous êtes un cadre supérieur responsable des décisions en matière de sécurité de l'information.

Il s'adresse à :

  • Présidents-directeurs généraux (PDG)
  • Directeurs informatiques (CIO)
  • Directeurs de la sécurité de l'information (RSSI)
  • Responsables de la sécurité de l'information (ISM)

La norme ISO 27016 vous sera utile lorsque vous :

Découvrez à quel point votre SMSI pourrait être abordable
Obtenez votre devis

Pourquoi devrions-nous mettre en œuvre la norme ISO 27016 ?

ISO 27016 vous aidera à introduire des considérations financières dans le processus décisionnel en matière de sécurité de l'information, créer une analyse de rentabilisation unique pour justifier l'investissement dans la sécurité de l'information.

Votre organisation comprendra qu'elle doit traiter politiques de sécurité de l'information comme des atouts précieux en eux-mêmes.

Pour vous aider à comprendre et à expliquer l'impact financier des décisions de sécurité informatique, le document comprend :

  • Un cadre général de point de départ
  • Exemple de texte à adapter et à utiliser

Les politiques de sécurité de l'information doivent une large gamme de contrôles pour être efficace. Votre organisation devra investir dans ces contrôles. La norme ISO 27016 vous aidera à présenter un argumentaire financier clair pour chaque contrôle. Vous montrerez que chacun d’eux crée un retour sur investissement clairement défini.

Combien coûte la sécurité de l’information ?

Demander « combien coûte la sécurité de l'information ? » c'est comme demander « combien de temps dure un morceau de ficelle ? ». Le coût de la sécurisation de vos informations dépendra du type et de la taille de votre organisation. Pour définir votre budget de sécurité info, vous devrez réfléchir à :

  • Combien de chiffre d'affaires votre organisation
  • À quel point une violation de la sécurité des informations pourrait être coûteuse

La norme ISO 27016 vous aidera à comprendre combien votre organisation peut et doit dépenser pour la sécurité de l'information.

Quels sont les avantages d'ISO 27016?

La norme ISO 27016 vous aide à décider combien vous souhaitez investir pour protéger vos actifs informationnels. Le rapport vous aidera à justifier votre budget infosec et à formuler des recommandations d'investissement infosec.

Le rapport vous encourage à présenter des arguments économiques généraux et à fixer des objectifs de grande envergure. Il peut vous demander d'envisager de mettre en place un système de gestion de la sécurité de l'information (ISMS) ISO 27k ou d'explorer les impacts politiques, sociaux et juridiques potentiels de vos choix en matière de sécurité de l'information.

Le rapport vous guidera également à travers les moindres détails de ses recommandations en matière de sécurité informatique. Par exemple, cela vous aidera à :

  • Dépensez le bon montant pour votre SMSI, ni trop peu ni trop
  • Choisissez entre investir dans gestion des risques et sécurité de l’information contrôles
  • Évaluez la valeur de vos actifs informationnels et les coûts potentiels des menaces qui pèsent sur eux

Quelles sont les exigences de la norme ISO 27016 ?

La norme ISO 27016 comprend huit articles et quatre annexes. Les articles 1 à 5 établissent le contexte et les références de la norme. L'article 6 définit les facteurs économiques à prendre en compte lors de la mise en œuvre de vos contrôles de sécurité des informations. Vous devrez réfléchir à :

La clause 7 vous indique quels objectifs économiques votre organisation doit prendre en compte et comment estimer la valeur de vos actifs informationnels. L'article 8 vous demande d'équilibrer les coûts de la sécurité de l'information avec ses avantages potentiels. Le rapport se termine par quatre annexes qui vous aident à réfléchir à la situation économique, sociale et politique dans son ensemble.

Voici la liste complète de tout ce que comprend la norme ISO 27016 :

Découvrez les fonctionnalités de notre plateforme en action

Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs

Réservez votre démo

Clauses ISO/CEI TR 27016:2014

Article 1 : Champ d'application

Article 2 : Références normatives

Article 3 : Termes et définitions

Article 4 : Termes abrégés

Article 5 : Structure du document

Article 6 : Facteurs économiques liés à la sécurité de l'information

Article 7 : Objectifs économiques

Article 8 : Équilibrer les aspects économiques de la sécurité de l'information pour l'ISM

  • 8.1 Présentation
  • 8.2 Avantages économiques
  • 8.3 Coûts économiques
  • 8.4 Application des calculs économiques à l'ISM
    • 8.4.1 Aperçu
    • Orientation 8.4.2
    • 8.4.3 Une analyse de rentabilisation basée sur une approche à l'échelle de l'organisation (catégorie A)
    • 8.4.4 Une analyse de rentabilisation basée sur une partie de l'organisation (catégorie B)

Clauses annexes de la norme ISO/IEC TR 27016:2014

Annexe A : Identification des parties prenantes et objectifs pour la définition des valeurs

  • A.1 Aperçu
  • A.2 Secteurs publics ou privés critiques
  • A.3 Santé et sécurité publiques
  • A.4 Sociétal et communautaire
  • A.5 Informations personnelles
  • A.6 Environnement
  • A.7 Compétition

Annexe B : Décisions économiques et facteurs de décision clés

Annexe C : Modèles économiques adaptés à la sécurité de l'information

  • C.1 Informations générales
  • C.2 Modèle de valeur de base (BVM)
  • C.3 Modèle négatif à positif
  • C.4 Investissement d’équilibre générique pour la théorie du coût de protection par rapport à la valeur
  • C.5 Calcul de l'investissement générique — Calcul coûts-avantages

Annexe D : Exemples de calcul d'analyses de rentabilisation

  • D.1 Exemple de calcul de rentabilisation organisationnelle (Réf. A)
  • D.2 Exemple de calcul d’analyse de rentabilisation organisationnelle partielle (Réf. B)
  • D.3 Exemple de cas d'actif/de contrôle (Réf. B)

Explorez d'autres normes au sein de la famille ISO 27k

  • 1La famille ISO 27000
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27013

ISO 27017 »

Voir la plateforme ISMS.online en action
Réservez votre démo

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage