Les professionnels de la sécurité de l’information doivent souvent justifier leur investissement dans les contrôles de sécurité de l’information. Mais il n'existe toujours pas de méthode universelle évaluer l’impact économique des décisions en matière de sécurité de l’information. L'ISO/IEC TR 27016:2014 vise à résoudre ce problème. La norme ISO 27016 aide les organisations à décider combien investir dans la protection de leurs informations. Les professionnels de la sécurité de l’information et les directeurs généraux peuvent utiliser et comprendre la norme ISO 27016. Le rapport vous aidera à :
La norme ISO 27016 vous aide à réfléchir à la manière dont les facteurs économiques interagissent avec d'autres ressources, notamment :
Vous devez également noter que la norme ISO 27016 est un rapport technique et non une norme. Un rapport technique ISO donne des conseils sur un sujet en utilisant des informations obtenues à partir d'autres sources. Ces sources comprennent :
L'Organisation internationale de normalisation (ISO) a publié la norme ISO 27016 en 2014. L'ISO a créé la norme ISO 27016 pour donner des lignes directrices aux professionnels de la sécurité de l'information et aux directeurs généraux, en les aidant à :
ISO 27016 prend en charge d'autres ISO 27k normes. Le rapport technique vous donne des conseils sur les aspects économiques de la sécurité de l'information, vous montrant comment appliquer des modèles économiques ou financiers à vos décisions en matière de sécurité des informations. Il donne des descriptions et des exemples, notamment :
Les considérations économiques doivent informer toute votre gestion infosec les décisions. Il est particulièrement important de réfléchir aux aspects financiers lorsque vous décidez comment :
Tout type ou toute taille d'organisation peut mettre en œuvre la norme ISO/IEC TR 27016:2014. Le rapport technique sera particulièrement utile si vous êtes un cadre supérieur responsable des décisions en matière de sécurité de l'information.
Il s'adresse à :
La norme ISO 27016 vous sera utile lorsque vous :
ISO 27016 vous aidera à introduire des considérations financières dans le processus décisionnel en matière de sécurité de l'information, créer une analyse de rentabilisation unique pour justifier l'investissement dans la sécurité de l'information.
Votre organisation comprendra qu'elle doit traiter politiques de sécurité de l'information comme des atouts précieux en eux-mêmes.
Pour vous aider à comprendre et à expliquer l'impact financier des décisions de sécurité informatique, le document comprend :
Les politiques de sécurité de l'information doivent une large gamme de contrôles pour être efficace. Votre organisation devra investir dans ces contrôles. La norme ISO 27016 vous aidera à présenter un argumentaire financier clair pour chaque contrôle. Vous montrerez que chacun d’eux crée un retour sur investissement clairement défini.
Demander « combien coûte la sécurité de l'information ? » c'est comme demander « combien de temps dure un morceau de ficelle ? ». Le coût de la sécurisation de vos informations dépendra du type et de la taille de votre organisation. Pour définir votre budget de sécurité info, vous devrez réfléchir à :
La norme ISO 27016 vous aidera à comprendre combien votre organisation peut et doit dépenser pour la sécurité de l'information.
La norme ISO 27016 vous aide à décider combien vous souhaitez investir pour protéger vos actifs informationnels. Le rapport vous aidera à justifier votre budget infosec et à formuler des recommandations d'investissement infosec.
Le rapport vous encourage à présenter des arguments économiques généraux et à fixer des objectifs de grande envergure. Il peut vous demander d'envisager de mettre en place un système de gestion de la sécurité de l'information (ISMS) ISO 27k ou d'explorer les impacts politiques, sociaux et juridiques potentiels de vos choix en matière de sécurité de l'information.
Le rapport vous guidera également à travers les moindres détails de ses recommandations en matière de sécurité informatique. Par exemple, cela vous aidera à :
La norme ISO 27016 comprend huit articles et quatre annexes. Les articles 1 à 5 établissent le contexte et les références de la norme. L'article 6 définit les facteurs économiques à prendre en compte lors de la mise en œuvre de vos contrôles de sécurité des informations. Vous devrez réfléchir à :
La clause 7 vous indique quels objectifs économiques votre organisation doit prendre en compte et comment estimer la valeur de vos actifs informationnels. L'article 8 vous demande d'équilibrer les coûts de la sécurité de l'information avec ses avantages potentiels. Le rapport se termine par quatre annexes qui vous aident à réfléchir à la situation économique, sociale et politique dans son ensemble.
Voici la liste complète de tout ce que comprend la norme ISO 27016 :
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
Article 1 : Champ d'application
Article 2 : Références normatives
Article 3 : Termes et définitions
Article 4 : Termes abrégés
Article 5 : Structure du document
Article 6 : Facteurs économiques liés à la sécurité de l'information
Article 7 : Objectifs économiques
Article 8 : Équilibrer les aspects économiques de la sécurité de l'information pour l'ISM
Annexe A : Identification des parties prenantes et objectifs pour la définition des valeurs
Annexe B : Décisions économiques et facteurs de décision clés
Annexe C : Modèles économiques adaptés à la sécurité de l'information
Annexe D : Exemples de calcul d'analyses de rentabilisation