Bien que ISO 27001 soit construite autour de la mise en œuvre de contrôles de sécurité de l’information, aucun d’entre eux n’est universellement obligatoire pour la conformité.
C’est parce que la norme reconnaît que chaque organisation aura ses propres exigences lors du développement d’un SMSI, et que tous les contrôles ne seront pas
Au lieu de cela, les organisations doivent effectuer des activités qui éclairent leurs décisions concernant les contrôles à mettre en œuvre. Dans ce blog, nous expliquons ce que ces processus impliquent et comment vous pouvez les compléter.
Exigences de certification obligatoires
Les deux activités les plus importantes lors de la mise en œuvre d’ISO 27001 sont:
- Cadrage de votre SMSI (clause 4.3), dans lequel vous définissez quelles informations doivent être protégées; et
- Mener une évaluation des risques et définir une méthodologie de traitement des risques (clause 6.12), dans laquelle vous identifiez les menaces pesant sur vos informations.
Les organisations sont également tenues de compléter les clauses obligatoires suivantes:
- Politique et objectifs de sécurité de l’information (clauses 5.2 et 6.2)
- Processus de traitement des risques liés à l’information (clause 6.1.3)
- Plan de traitement des risques (clauses 6.1.3 e et 6.2)
- Rapport d’évaluation des risques (clause 8.2)
- Registres de formation, compétences, expérience et qualifications (clause 7.2)
- Résultats de la surveillance et de la mesure (clause 9.1)
- Programme d’audit interne (clause 9.2)
- Résultats des audits internes (clause 9.2)
- Résultats des revue de direction (clause 9.3)
- Résultats des actions correctives (clause 10.1)
Et les contrôles de l’annexe A?
L’annexe A décrit les contrôles qui sont associés à divers risques. En fonction des contrôles sélectionnés par votre organisation, vous devrez également documenter:
La déclaration d’applicabilité
Nous ne pouvons pas approfondir les tenants et aboutissants de tous ces processus ici ( vous pouvez consulter notre site Web pour plus d’informations), mais cela vaut la peine de souligner le SoA (Statement of Applicability), un élément essentiel de la documentation dans le processus de traitement des risques liés à l’information.
Le SoA décrit l’annexe A contrôles que vous avez sélectionnés ou omis et explique pourquoi vous avez fait ces choix. Il doit également inclure des informations supplémentaires sur chaque contrôle et un lien vers la documentation pertinente sur sa mise en œuvre.
Gestion du processus de documentation
Lorsque vous commencez votre projet de conformité, vous remarquerez que la documentation Le processus prend beaucoup plus de temps que la mise en œuvre des exigences elles-mêmes.
Chaque clause est accompagnée de ses propres exigences en matière de documentation, ce qui signifie que les responsables informatiques et les responsables de la mise en œuvre devront traiter des centaines de documents. Chaque politique et procédure doit être recherchée, développée, approuvée et mise en œuvre, ce qui pourrait prendre des mois.
Faciliter le processus de documentation
Les organisations peuvent simplifier le processus de conformité avec notre documentation ISMS ISO 27001 Boîte à outils.
Développé par des experts ISO 27001, cet ensemble de modèles personnalisables vous aidera à répondre aux exigences de documentation de la norme avec le moins de tracas possible.
Vous pouvez intégrer la documentation directement dans votre organisation, vous permettant d’économiser du temps et de l’argent, et avec un accès au support sur 12 mois, vous pouvez être assuré de l’aide d’experts si vous n’êtes pas sûr de quoi que ce soit lié au processus de documentation ISO 27001.
En savoir plus sur la boîte à outils de documentation ISO 27001 ISMS > >
Une version de ce blog a été initialement publiée le 24 mars 2016.
Lecture recommandée:
- Combien de contrôles y a-t-il dans la norme ISO 27001?