Technologies de l'information - Évaluation des processus - Modèle d'évaluation de la capacité des processus pour la gestion de la sécurité de l'information

Cette spécification technique :

• définit un modèle d'évaluation de processus (PAM) qui répond aux exigences de l'ISO/IEC 33004 et qui prend en charge la performance d'une évaluation de la capacité du processus en fournissant des indicateurs pour guider l'interprétation des objectifs et des résultats du processus tels que définis dans l'ISO/IEC TS 33052 et les attributs de processus tels que définis dans l'ISO/CEI 33020 ;
• fournit des conseils, par exemple, sur la définition, la sélection et l'utilisation des indicateurs d'évaluation.

Un PAM comprend un ensemble d'indicateurs de performance de processus et de capacité de processus. Les indicateurs sont utilisés comme base pour recueillir les preuves objectives qui permettent à un évaluateur d'attribuer des notes. L'ensemble d'indicateurs inclus dans la présente spécification technique n'est pas destiné à être un ensemble complet ni à être applicable dans son intégralité.

Le PAM de la présente Spécification technique s'adresse aux sponsors de l'évaluation et aux évaluateurs compétents qui souhaitent sélectionner un modèle et une méthode de processus documentée associée pour l'évaluation (pour la détermination de la capacité ou l'amélioration du processus). De plus, il peut être utile aux développeurs de modèles d'évaluation dans la construction de leur propre modèle, en fournissant des exemples de bonnes pratiques de gestion de la sécurité de l'information. Il peut être utilisé par :

a) les prestataires de services pour évaluer et améliorer un système de gestion de la sécurité de l'information (ISMS) ;
b) les fournisseurs de services pour démontrer leur capacité à concevoir, développer, faire évoluer et fournir des services qui satisfont aux exigences de gestion de la sécurité de l'information.

Tout PAM répondant aux exigences définies dans la norme ISO/CEI 33004 concernant les modèles d'évaluation de processus peut être utilisé pour l'évaluation. Différents modèles et méthodes peuvent être nécessaires pour répondre aux différents besoins des entreprises. Le modèle d'évaluation de la présente Spécification technique satisfait à toutes les exigences exprimées dans l'ISO/CEI 33004.

REMARQUE Libération des droits d'auteur pour le PAM : les utilisateurs de cette Spécification technique peuvent reproduire les paragraphes 5.2 à 5.27, 6.2, B.2 et B.3 dans le cadre de tout outil ou autre matériel pour prendre en charge la performance des évaluations de processus afin qu'il puisse être utilisé pour sa destination.