Titre, auteur...

Que suppose une bonne gouvernance ?

Quels rôles pour quelles responsabilités ?

Que prévoir en termes de ressources ?

Quel serait un contexte favorable ?

Les principes constitutifs de la norme

L'obtention d'une certification ISO 27001

Le recueil de bonnes pratiques

La formation de personnes

Rappel des points clés

Contextualisation de la norme

Rappel historique sur sa construction

Domaine adressé

Usage actuel de la norme

Philosophie de la norme

Contenu de la norme

Rappel des points clés

Politique de gouvernance et politique de sécurité

Bonnes pratiques de définition d’une politique de gouvernance

Bonnes pratiques de rédaction d’une politique de sécurité

Points clés d’une politique de sécurité : les pratiques ISO 27002

Du caractère virtuel d’une politique de sécurité

Rappel des points clés

Cas pratique : quelques conseils en matière de politique

Rappels des principaux concepts de sécurité

Vers une identification des risques

Poursuite du travail d'analyse sur les risques

Gouvernance du risque

Traitement des risques

Amélioration de la gestion des risques

Rappel des points clés

Objectifs et causalités des actions

Formalisation des actions

Un énoncé clair et précis de l’action attendue

Structuration du plan d’action

Pilotage du plan d’action

Mise en œuvre, exploitation et amélioration du système de gouvernance

Rappel des points clés

La surveillance : un élément essentiel de l’amélioration

Contrôle et suivi : que surveiller ?

1. Définir des indicateurs à bon escient
2. En faire assez
3. Ne pas en faire trop

De manière progressive et adaptée

Définition des éléments de contrôle et de suivi : les indicateurs

Quelques indicateurs de gouvernance

Quelques indicateurs d’efficacité des mesures de sécurité

Exploitation des indicateurs

Communication, acceptation par les équipes

Définition des éléments de contrôle et de suivi : les tableaux de bord

Rappel des points clés

Pourquoi faire des audits ?

Référentiels d’audit

Audit de certification

Profil type d’un auditeur

Modalités d’audit

Plan de remédiation et mise à jour du plan d’action

L’audit, une étape indispensable à l’amélioration

Rappel des points clés

Contrôle et suivi : que surveiller ?

Si elle formule une exigence quant à l’obligation de mettre en place des éléments de surveillance et de suivi, la norme laisse à l’organisation le choix de déterminer ce qu’il convient de mesurer et de surveiller, ainsi que les méthodes pour ce faire. Elle indique cependant deux axes de contrôle, la gouvernance d’une part, les performances de sécurité d’autre part.

Il convient d’user de cette latitude de manière intelligente : définir des indicateurs à bon escient, en faire assez, ne pas en faire trop, et ce de manière progressive.

1. Définir des indicateurs à bon escient

Il est des organisations qui mettent en place des indicateurs non pour identifier des possibilités d’amélioration, mais dans le but de souscrire à la norme. Sont alors définis quelques indicateurs souvent fantaisistes, qui prennent certes peu de temps à renseigner, mais n’apporte à peu près aucune information supplémentaire quant à la gouvernance ou la sécurité. À titre d’exemple, il nous a été donné de voir un indicateur sur le nombre d’audits internes effectué par l’organisation, sachant que le plan d’action n’en prévoyait qu’un. Quel intérêt offre ce mesurage binaire ? Le plan d’action nous informe déjà...

Découvrez

le livre :

je lis la suite !

Aussi inclus dans nos :

Précédent

La surveillance : un élément essentiel de l’amélioration

Suivant

De manière progressive et adaptée