Après avoir introduit le PDCA - Plan, Do, Check, Act symbolisé par la roue de Deming - dans la Sécurité de l'Information, la norme ISO 27001 oblige à mettre en place des indicateurs pour mesurer l'efficacité et la pertinence du Système de Management de la Sécurité de l'Information (SMSI).
L'ISO 27004, publiée fin 2009, fournit un cadre pour réaliser ce mesurage (measurement) du PDCA-SMSI.
Ainsi, l'ISO 27004 explique comment construire, mettre en place et gérer des indicateurs sans pour autant aider à décider ce qu'il faut mesurer...
Donc, lorsqu'on applique le PDCA à l'ISO 27004 on obtient synthétiquement:
Plan: Quelles sont les actions de sécurité devant faire l'objet du mesurage ? A classifier en fonction des priorités et des risques, notamment.
Do: Mise en place des actions de sécurité, définition de la méthodologie de mesurage et mesurage proprement dit.
Check: Contrôle du SMSI, grâce aux actions de sécurité et du mesurage
Act: Intégration des améliorations dans le SMSI.
Au travers de nos différentes missions de Conseil stratégique, nous constatons que l'indicateur est toujours une donnée d'entrée importante pour les analyses régulières des systèmes de Management. En effet, il permet de s'appuyer sur des éléments tangibles, non contestables...
Pour un accompagnement personnalisé sur votre projet PMSI, contactez-nous.