La clause 9.1 de la norme ISO27001:2022 exige que les organisations effectue la surveillance concrètement de leur système de gestion de la sécurité de l'information (SGSI).
Concrètement, nous avons définit les objectifs de sécurité de notre programme de sécurité lors de la mise en œuvre de la Clause 6.2. Maintenant nous devons en faire la surveillance.
Avons-nous atteint nos objectifs ou avons-nous besoin d'améliorer notre programme de sécurité ?
Surveillance et Mesure
Pour une petite entreprise, je crée un fichier de type tableur, puis j'indique les informations dans des colonnes:
- L'objectif que l'on souhaite atteindre
- Les ressources nécessaires
- Qui est responsable de faire la collecte et l'analyse de l'information
- Comment l'analyse sera effectuée
- Les critères d'évaluation (vert, jaune, rouge)
- La cible qui représente un succès
Étapes
- Reprendre les objectifs définis à la clause 6.2
- Planifier le suivi de l'atteinte des objectifs
- Définir les critères de succès
- Déterminer les moyens et outils utilisés pour obtenir les indicateurs
- Prendre des mesures correctives si nécessaire
Critères de Succès
- Quels sont les objectifs de votre SGSI, et comment se connectent-ils aux objectifs globaux de l'organisation ?
- Quels indicateurs de performance clés (KPI) utilisez-vous pour mesurer l'efficacité de votre SGSI ?
- Comment surveillez-vous et mesurez-vous les incidents de sécurité de l'information ?
- Décrivez un exemple récent où vous avez pris des actions correctives à la suite d'une analyse ?