ISO 27001 — Clause 6.2 — Objectif — Comment mesurer les objectifs d’un programme de sécurité

Se fixer un objectif est la meilleure manière de l’atteindre, sinon comment savoir que nous avons réussi ?

Définir ses objectifs en matière de sécurité de l’information permet de déterminer clairement ce que l’on cherche à accomplir pour protéger les systèmes et les données de l’entreprise contre les menaces internes et externes.

Rien n’existe sans avoir été clairement exprimé !

Critère d’un objectif

Il existe plusieurs critères pour mesurer un objectif, mais l’un des plus couramment utilisés est le modèle SMART:

• Spécifique: l’objectif doit être clairement défini.
• Mesurable: l’objectif doit être quantifiable.
• Réalisable: l’objectif doit être réalisable avec les ressources disponibles.
• Pertinent: l’objectif doit être lié aux objectifs globaux de l’entreprise.
• Temporel: l’objectif doit avoir une échéance.

Les indicateurs de performance (KPI)

Il faut noter que pour mesurer efficacement les objectifs, il est nécessaire de définir des indicateurs clés de performance (KPI) qui permettent de suivre les progrès réalisés dans l’atteinte de l’objectif.

Critères de succès

• Montrez vos objectifs fixés pour cette année.
• Comment mesurez-vous si un objectif est atteint ?
• À quel moment et de quel manière ces objectifs ont été communiqué aux parties intéressées ?