L'organisation doit déterminer et fournir les ressources nécessaires pour établir, mettre en œuvre, maintenir et améliorer continuellement le système de gestion de la sécurité de l'information (SGSI).
La direction a déjà défini ses objectifs en termes de sécurité (Clause 6.2), par la suite la direction doit fournir les ressources nécessaires à l'équipe de sécurité afin que celle-ci soit en mesure de les atteindre.
C'est le test de la réalité, parce que si la direction a des objectifs irréalistes avec des moyens trop modestes, l'atteinte des objectifs sera irréalisable.
Budget
Voici une liste, non-exhaustive, d'items que l'organisation devrait avoir dans un budget dédié au programme de sécurité (SGSI): Technologie, Personnel qualifié, Formation et sensibilisation, Consultation et services externes, Certifications et conformité, Maintenance et mises à jour, Planification de la continuité, Tests de sécurité et audits.
Ressource humaine
Dans toute gestion de projet, on parle de quantité de travail par jour qu'une personne peut accomplir.
Technologies
L'infrastructure de sécurité comprend les pare-feu, les systèmes IDS/IPS, les logiciels antivirus et antimalware, les systèmes de filtrage de contenu web et autres outils de sécurité.
Critères de succès
- Comment avez-vous déterminé quelles ressources étaient nécessaires pour mettre en place votre SGSI ?
- Comment allouez-vous ces ressources à travers votre organisation ?
- Quel est votre budget pour le SGSI ? Comment ce budget est-il déterminé et géré ?