Andrea Giesler | 3 juin 2019

La norme ISO 27001 offre des exigences et un structure qui fournira des conseils pour la mise en œuvre d’un système de gestion de la sécurité de l’information (SMSI). En tant que système de gestion, ISO 27001 est basé sur l’amélioration continue – dans cet article, vous en apprendrez plus sur la manière dont cela se reflète dans les exigences et la structure ISO 27001.

Deux parties principales de la norme

La norme est séparée en deux parties. La première partie principale se compose de 11 clauses (0 à 10). La deuxième partie, appelée Annexe A, fournit une ligne directrice pour 114 objectifs de contrôle et contrôles. Les articles 0 à 3 (Introduction, Champ d’application, Références normatives, Termes et définitions) définissent l’introduction de la norme ISO 27001. Les clauses 4 à 10 suivantes, qui fournissent des exigences ISO 27001 obligatoires si l’entreprise souhaite se conformer à la norme, sont examinées plus en détail dans cet article.

L’annexe A de la norme prend en charge la clauses et leurs exigences avec une liste de contrôles qui ne sont pas obligatoires, mais qui sont sélectionnés dans le cadre du processus de gestion des risques. Pour en savoir plus, lisez l’article La logique de base d’ISO 27001: Comment fonctionne la sécurité de l’information?

Clause 4: Contexte de l’organisation

Une condition préalable à la mise en œuvre réussie d’un système de gestion de la sécurité de l’information est de comprendre le contexte de l’organisation. Les problèmes externes et internes, ainsi que les parties intéressées, doivent être identifiés et pris en compte. Les exigences peuvent inclure des problèmes de réglementation, mais elles peuvent aussi aller bien au-delà.

Dans cet esprit, l’organisation doit définir la portée du SMSI. Dans quelle mesure la norme ISO 27001 sera-t-elle appliquée à l’entreprise?

En savoir plus sur le contexte de l’organisation dans les articles Comment définir le contexte de l’organisation selon ISO 27001, Comment identifier les parties intéressées selon ISO 27001 et ISO 22301, et Comment définir la portée du SMSI.

Clause 5: Leadership

Les exigences d’ISO 27001 pour un leadership adéquat sont multiples. L’engagement du top management est obligatoire pour un système de management. Les objectifs doivent être établis en fonction des objectifs stratégiques d’une organisation. Fournir les ressources nécessaires au SMSI, ainsi que les personnes de soutien pour contribuer au SMSI, sont d’autres exemples d’obligations à respecter.

En outre, la direction générale doit établir une politique en fonction de la sécurité de l’information. Cette politique doit être documentée, ainsi que communiquée au sein de l’organisation et aux parties intéressées.

Des rôles et des responsabilités doivent également être attribués afin de répondre aux exigences de la norme ISO 27001 et de faire rapport sur la performance du SMSI.

En savoir plus sur la direction dans ISO 27001 dans ces articles: Point de vue de la direction de la mise en œuvre de la sécurité de l’information, Rôles et responsabilités de la direction dans ISO 27001 et ISO 22301, et Que devriez-vous rédiger votre politique de sécurité de l’information selon ISO 27001?

Clause 6: Planification

La planification dans un environnement SMSI doit toujours prendre en compte les risques et les opportunités. Une évaluation des risques de sécurité de l’information fournit une base solide sur laquelle s’appuyer. En conséquence, les objectifs de sécurité de l’information doivent être fondés sur l’évaluation des risques. Ces objectifs doivent être alignés sur les objectifs généraux de l’entreprise. De plus, les objectifs doivent être promus au sein de l’entreprise. Ils fournissent les objectifs de sécurité à atteindre pour tout le monde au sein de l’entreprise et alignés avec lui. À partir de l’évaluation des risques et des objectifs de sécurité, un plan de traitement des risques est dérivé, basé sur les contrôles énumérés à l’annexe A.

Pour une meilleure compréhension des risques et opportunités, lire l’article Évaluation des risques ISO 27001 & traitement – 6 étapes de base. En savoir plus sur les objectifs de contrôle dans l’article Objectifs de contrôle ISO 27001 – Pourquoi sont-ils importants? Pour plus de détails sur l’orientation d’une entreprise, lisez l’article Aligner la sécurité de l’information sur l’orientation stratégique d’une entreprise selon ISO 27001.

Clause 7: Support

Ressources, compétence des employés, la sensibilisation et la communication sont des questions clés pour soutenir la cause. Une autre exigence est de documenter les informations conformément à la norme ISO 27001. Les informations doivent être documentées, créées et mises à jour, ainsi que contrôlées. Un ensemble approprié de documentation doit être conservé afin de soutenir le succès du SMSI.

Pour en savoir plus sur la formation, la sensibilisation et la communication, lisez les articles Comment effectuer une formation & sensibilisation à ISO 27001 et ISO 22301 et Comment créer un plan de communication selon à ISO 27001. En savoir plus sur la gestion de documents dans l’article Gestion de documents dans ISO 27001 & BS 25999-2.

Clause 8: Fonctionnement

Les processus sont obligatoires pour mettre en œuvre la sécurité de l’information. Ces processus doivent être planifiés, mis en œuvre et contrôlés. L’évaluation et le traitement des risques – qui doivent être dans l’esprit de la direction, comme nous l’avons appris précédemment – doivent être mis en action.

En savoir plus sur l’évaluation et le traitement des risques dans les articles Évaluation des risques ISO 27001: Comment faire faire correspondre les actifs, les menaces et les vulnérabilités et Comment évaluer les conséquences et la probabilité dans l’analyse des risques ISO 27001, et dans ce diagramme gratuit du processus d’évaluation et de traitement des risques ISO 27001: 2013.

Clause 9: Évaluation des performances

Les exigences de la norme ISO 27001 prévoient la surveillance, la mesure, l’analyse et l’évaluation du système de gestion de la sécurité de l’information. Le ministère doit non seulement vérifier lui-même son travail, mais également des audits internes. À intervalles réguliers, la direction doit revoir le SMSI de l’organisation.

En savoir plus sur la performance, le suivi et la mesure dans les articles Indicateurs clés de performance pour un SMSI ISO 27001 et Comment effectuer le suivi et la mesure ISO 27001.

Clause 10: Amélioration

L’amélioration fait suite à l’évaluation. Les non-conformités doivent être résolues en prenant des mesures et en éliminant les causes le cas échéant. De plus, un processus d’amélioration continue doit être mis en place, même si le cycle PDCA (Plan-Do-Check-Act) n’est plus obligatoire (en savoir plus à ce sujet dans l’article Le cycle PDCA a-t-il été supprimé des nouvelles normes ISO?) le cycle PDCA est souvent recommandé, car il offre une structure solide et répond aux exigences de la norme ISO 27001.

Pour en savoir plus sur l’amélioration de la norme ISO 27001, lisez l’article Réaliser une amélioration continue grâce à l’utilisation de modèles de maturité.

Annexe A (normative) Objectifs et contrôles de contrôle de référence

L’annexe A est une liste utile d’objectifs et de contrôles de contrôle de référence. En commençant par A.5 Politiques de sécurité de l’information jusqu’à A.18 Conformité, la liste propose des contrôles par lesquels les exigences ISO 27001 peuvent être satisfaites, et la structure d’un SMSI peut être dérivée. Les contrôles, identifiés par une évaluation des risques comme décrit ci-dessus, doivent être pris en compte et mis en œuvre.

Pour En savoir plus sur l’Annexe A, lire les articles Un guide rapide sur l’ISO Contrôles 27001 de l’Annexe A et Comment structurer les documents pour les contrôles ISO 27001 de l’Annexe A.

Exigences d’un SMSI

La mise en œuvre et la norme elle-même peuvent sembler difficiles ou compliquées à première vue , car certaines exigences peuvent ne pas vous sembler logiques. Mais, avec un apprentissage plus approfondi à ce sujet, les choses se mettent en place et on commence à apprécier l’exhaustivité que la mise en œuvre d’ISO 27001 apporte à la sécurité. Peu de temps après être devenu conforme, vous vous rendrez sûrement compte que la norme vous offre une directive structurée, et vous serez satisfait de votre décision concernant la mise en œuvre.

Pour en savoir plus sur les exigences ISO 27001, téléchargez cette clause gratuite -clause explication d’ISO 27001.

Ici, vous pouvez apprendre Dans quelle mesure les documents ISO 27001 doivent-ils être détaillés?

Pour les décideurs du monde des startups , il est fortement recommandé de lire pourquoi ils devraient investir dans ISO 27001 et comment la mise en œuvre peut donner un coup de pouce à l’entreprise.

À propos de l’auteur:

Andrea Giesler est un auditeur interne , basée à Cologne, en Allemagne, spécialisée dans les domaines ISO 27001, ISO 9001 et EU GDPR. Elle est certifiée auditeur des systèmes d’information (CISA) et certifiée en contrôle des risques et des systèmes d’information (CRISC) par l’ISACA.