Comprendre la norme et les exigences ISO 27001

La norme ISO 27001, exigences pour un Système de Management de la Sécurité de l’Information

Pour obtenir la certification ISO 27001. Vous devez répondre aux exigences de la norme iso 27001 en plus d’intégrer les contrôles opérationnels de la norme ISO 27002.

Vous trouverez sur cette page un description. Ainsi que l’explication des exigences du référentiel ISO 27001.

Vous voulez tout savoir sur la norme iso 27001. Cette page est faite pour vous.

Principes de la norme ISO 27001

La norme ISO 27001 est une norme internationale sur le management de la sécurité de l’information.

Cependant,  elle définie un système de management de la sécurité de l’information (SMSI) à mettre en place dans l’entreprise.

De même le SMSI est l’organisation (processus, responsabilités, actions…) que l’entreprise doit mettre en place pour améliorer la sécurité de l’information.

Cette norme présente les exigences en matière d’organisation (système de management). Elle s’assure que la sécurité de l’information est bien maîtrisée :

  • La gouvernance liée à la sécurité de l’information et la stratégie.
  • Les processus nécessaires à la maîtrise de la sécurité de l’information.
  • Différentes méthodes pour ainsi analyser les risques et en rendre compte.
  • Les processus de mesure, de suivi et d’amélioration de la sécurité.
  • Notamment les responsabilités liées à la sécurité de l’information.

L’entreprise peut donc obtenir la certification ISO 27001 délivrée par un organisme indépendant. Par ailleurs, il certifie donc la conformité du SMSI de l’entreprise. 

Périmètre d’application et objet de la norme ISO 27001

La norme ISO 27001 est un texte qui vise le contrôle, la sécurité et des services à travers la maîtrise de 4 paramètres. 

  • Assurer la disponibilité des informations et des services.
  • Sécuriser l’intégrité des données critiques.
  • Garantir la confidentialité des données sensibles ou des données clients.
  • Assurer la disponibilité et la conformité des preuves légales et autres.

ISO 27001 est une norme pour l’ensemble de l’entreprise et non pas uniquement pour les systèmes d’information

Cette norme concerne potentiellement toute entreprise. De même, la certification ISO 27001 correspond à une volonté de monté son niveau de qualité de service via la sécurité.

En fonction de ses clients, de son contexte concurrentiel, l’entreprise a plus ou moins d’intérêt à mettre en œuvre cette norme. Afin d’aller jusqu’à la certification.

 En conséquence, plus le service est sensible et critique plus cette certification aura d’intérêt.

Les exigences détaillées de la norme ISO 27001

Recommandation pour la lecture du référentiel

La norme ISO 27001 constitue 10 chapitres. Par ailleurs, 8 de ces chapitres sont consacrés aux exigences à appliquer pour être conforme au référentiel.

Les exigences sont obligatoires dans ce référentiel. Elles sont ainsi identifiées par la mention « L’organisme DOIT« . Lorsque les exigences sont facultative vous trouverez le terme « devrait » qui indique qu’il s’agit de conseils pour la mise en œuvre.

Vous trouverez ci-dessous les principales exigences commentées du référentiel.

Exigences du chapitre 4 – contexte de l’organisation

L’entreprise doit :

1. Déterminer les enjeux externes et internes pertinents qui ont un impact sur la sécurité de l’information.

Dans la pratique il s’agit de formaliser ces enjeux stratégiques pour l’entreprise sous forme d’analyse des forces, faiblesses et menaces, opportunités.

2. Déterminer les parties intéressées et leurs exigences en matière de sécurité

Concrètement les parties intéressées les plus importantes vont être vos partenaires, clients et prospects. De plus, leurs exigences doivent être clairement déterminées au sein de l’entreprise et dans des documents précis par exemple les propositions, accords, contrats et  plan assurance sécurité.

3. Déterminer précisément le domaine d’application du SMSI

Pour cette exigence il est nécessaire de formaliser le périmètre du Système de Management de la Sécurité. Dans ce document vous allez préciser les sites, infrastructures, services, processus concerné par le SMSI.

Pour conclure, ce chapitre vise à établir le cadre général de la sécurité de l’information au sein de l’entreprise. Et par ailleurs de clarifier les enjeux associés.

Exigences du chapitre 5 – Leadership

Ce chapitre porte sur les exigences liées à la Direction. Par direction il faut comprendre la personne (dirigeant, responsable) ou groupe de personne tel que CODIR. Il définit les objectifs et pilote la sécurité de l’information pour l’entreprise.

1. Le premier point demande à ce que la direction fasse preuve de leadership et démontre son soutient au SMSI.

En pratique la direction doit s’assurer  :

  • qu’une politique et des objectifs sont établis en matière de sécurité de l’information.
  • ainsi que les exigences liées au SMSI sont mis en place dans les processus métiers.
  • que les ressources nécessaires pour le SMSI sont disponibles.
  •  enfin que le SMSI est atteint les objectifs définis.

La direction doit également :

  • Communiquer sur l’importance de disposer d’un SMSI efficace et d’être conforme aux exigences.
  • Orienter et soutenir les personnes pour qu’elles contribuent à l’efficacité du SMSI.
  • Promouvoir l’amélioration continue.
  • Aider les managers à faire preuve de leadership.

2. La direction doit définir une politique en matière de sécurité de l’information

Concrètement il s’agit de définir une politique de haut niveau qui va donner un cadre (une organisation générale) pour la sécurité de l’information. Et ainsi définir les principaux objectifs visés (ce que l’on souhaite améliorer) en sécurité.

La politique doit être communiquer au sein de l’entreprise et comprise par tous les collaborateurs et partenaires.

Cette politique doit être documentée. Elle doit aussi inclure l’engagement de la direction à améliorer en continue le SMSI et l’engagement à respecter la règlementation.

De façon générale la direction s’assure que les responsabilités et autorités des rôles concernés par la sécurité de l’information sont attribuées et communiquées au sein de l’organisation.

Ces responsabilités couvrent différents périmètre de la sécurité :

  • le management du SMSI : Responsable du SMSI.
  • La sécurité opérationnelle : Responsable de la sécurité du Système d’Information (RSSI).
  • Les managers métier qui auront des responsabilités en sécurité liées à leur métier.

Généralement le RSSI est la personne désignée par la direction pour :

  • S’assurer que le système de management de la sécurité de l’information est conforme aux exigences de la Norme internationale.
  • Reporter à la direction des performances du SMSI.

Exigences du chapitre 6 – Planification

Ce chapitre porte sur l’analyse des risques, l’évaluation des risques ainsi que l’établissement du plan de traitement des risques.

1. Déterminer les risques et opportunités

L’entreprise doit déterminer les risques et opportunités qui nécessitent d’être abordés pour :

  • Garantir l’atteinte des objectifs.
  • Réduire les risques.
  • Améliorer en continue la sécurité.

L’entreprise doit de toute évidence mettre en œuvre une démarche d’analyse des risques en sécurité de l’information selon une méthode établies et reproductible.

Enfin, une fois les risques déterminés l’entreprise planifie les actions associées et s’assurer qu’elles sont efficaces.

 

2. Appréciation des risques de sécurité de l’information

L’entreprise doit définir et appliquer un processus d’appréciation des risques de sécurité de l’information.

La méthode employée doit définir les critères de risque de sécurité de l’information (règles et niveau).

De plus, l’entreprise identifie l’ensemble des risques liés à la perte de confidentialité, d’intégrité et de disponibilité des informations.

Pour chaque risque il est nécessaire d’apprécier les conséquences et la probabilité d’apparition afin de déterminer les niveaux de risque.

Ces niveaux de risques sont comparés aux critères d’acceptation pour ainsi déterminer le plan d’actions à mener et les priorités.

3. Traitement des risques

L’entreprise doit définir le plan de traitement des risques. C’est à dire les mesures de sécurité à mettre en œuvre afin de réduire les risques.

Ces mesures de sécurité doivent être comparées à l’annexe A de la norme. Et doit aussi comprendre l’ensemble des mesures de sécurité pertinentes afin de vérifier qu’aucune mesure n’est omise.

Il faut ensuite produire la déclaration d’applicabilité, document listant les mesures de sécurité de l’annexe A et leur application ou non dans l’organisme.

4. Objectifs de sécurité de l’information et plans pour les atteindre

Les Objectifs de sécurité sont les cibles à atteindre en matière de sécurité.

Pour définir les objectifs de sécurité il faut s’appuyer sur les objectifs de haut niveau définis en 5.2.

Ces objectifs ont pour fonction :

  • de vérifier l’atteinte de la politique.
  • d’assurer de l’efficacité des mesures de sécurité.
  • de vérifier l’efficacité du traitement des risques.
  • d’assurer de l’amélioration continue.

Exigences du chapitre 7 – Support

Ce chapitre porte sur la définition des activités supports en soutien au SMSI. Il porte sur l’attribution des ressources nécessaires, les ressources humaines, la formation, la communication et la gestion documentaire.

De façon générale la norme demande à ce que les ressources nécessaires soient bien allouées pour le traitement des risques, les mesures de sécurité, les actions d’amélioration.

 

1. Compétence

L’entreprise doit:

  • Déterminer les compétences nécessaires pour les personnes qui ont un impact sur la sécurité. Cela peut se faire via des fiches de postes pour les postes clés en sécurité (RSSI, Manager, Administrateurs, développeurs …).
  • Vérifier que les collaborateurs sont compétents. Les dossiers collaborateurs avec les cv, formations suivies, diplômes. Enfin, leurs expériences permettent d’atteindre cet objectif.

  • Si besoin il faut mener des actions pour acquérir des compétences complémentaires (formations, auto-formation, veille, apports d’expertises). Ex : se former à la sécurité dans le développement. L’évaluation de ces actions est obligatoire.

  • Conserver les ces compétences (dossiers collaborateurs).

2. Sensibilisation

La sensibilisation est un point important de la norme. Les collaborateurs doivent être sensibilisés à la politique de sécurité de l’information. Notamment leur rôle en matière de sécurité et au respect des règles et exigences en sécurité.

3. Communication

L’entreprise doit lister les besoins de communication interne et externe. Ce plan de communication doit décrire :

  • Les sujets de la communication.
  • La planification.
  • Les cibles.
  • Les responsabilités.
  • Et les moyens.

4. Informations documentées

La gestion documentaire porte tout d’abord sur les documents exigés par la norme et ensuite sur les documents nécessaire à l’entreprise.

Lorsque l’on parle de document (information documentée dans la norme) cela fait référence :

  • Aux documents prescriptifs : politique, procédures, processus, plans.
  • Aux enregistrements : preuves de la réalisation d’une activité ou d’un résultat (indicateurs, contrats, Pv …).

Il s’agit donc ici de mettre en place une gestion documentaire et une maîtrise de ces documents.

Exigences du chapitre 8 – Fonctionnement

Le chapitre 8 porte sur la vie de votre SMSI et le maintien des dispositifs décrits plus haut.

1. Planification et contrôle opérationnels

L’entreprise doit planifier, mettre en œuvre et contrôler les processus du SMSI et les actions, objectifs définis au chapitre 6.

Comme précisé au chapitre 6.2  des plans doivent être mis en œuvre pour atteindre les objectifs de sécurité.

L’organisation doit conserver des informations documentées dans une mesure suffisante pour avoir l’assurance que les processus ont été suivis comme prévu.

L’entreprise doit suivre les modifications prévues. Et analyser les impacts de ces changements. En cas de besoin, mener des actions pour limiter tout effet non désiré.

Pour les processus externalisés, ceux-ci doivent être en revanche définis et contrôlés.

2. Appréciation des risques de sécurité de l’information

L’entreprise doit mettre en œuvre l’appréciations des risques :

  • à intervalles planifiés
  • Lors de changements significatifs

3. Traitement des risques de sécurité de l’information

Le plan de traitement des risques doit être maintenu à jour au fil du temps.

L’analyse des risques doit être un moyen de pilotage et d’apprentissage sur la sécurité de votre entreprise.

Ce processus doit donc être maintenu dans le temps et utiliser comme processus d’amélioration.

La sécurité doit cependant être suivie par des contrôles mis en œuvre régulièrement et une surveillance du risque :

  • Organiser le contrôle de la sécurité
  • Suivre les actions et traiter les risques

Exigences du chapitre 9 – Evaluation des performances

Ce chapitre porte sur l’évaluation des résultats en matière de sécurité de l’information par le recueil d’indicateurs et la réalisation d’audits. Cependant la revue de direction permet de faire le point avec la direction sur les résultats et les décisions à prendre.

1. Surveillance, mesures, analyse et évaluation

L’entreprise doit mesurer :

  • les performances de sécurité
  • l’efficacité du SMSI (atteinte des objectifs

L’entreprise établi :

  • ce qu’il faut surveiller, mesurer
  • Les méthodes de mesures, surveillance et analyse (Qui, Quoi, où, qaund, comment et pourquoi)

Il faut aussi conserver les preuves associées à ces indicateurs.

Vous allez définir des indicateurs ou moyens d’évaluation :

  • des objectifs de sécurité
  • des mesures de sécurité

2. Audit interne

L’entreprise doit toute fois mener des audits internes de façon planifié afin de vérifier la conformité du SMSI et des exigences.

Lorsque l’on parle d’exigences cela concerne :

  • Les exigences de la norme
  • La règlementation
  • Les exigences contractuelles et de l’entreprise

 

3. Revue de direction

Périodiquement (annuellement ou deux fois par an) la direction doit procéder à la revue du SMSI.

Cette revue a pour objectifs :

  • De vérifier l’efficacité du SMSI
  • De prendre des décisions d’amélioration
  • Et de décider de changements pour le SMSI

Cette revue est un examen du fonctionnement du SMSI. Par exemple , les actions, enjeux, non-conformités, indicateurs, objectifs, risques, opportunités d’amélioration. Celle-ci permet de prendre des décisions et réorienter l’entreprise.

Exigences du chapitre 10 – Amélioration

1. Non-conformité et actions correctives

La non-conformité est le non-respect d’une exigence de la norme, contractuelle, règlementaire ou liée à l’entreprise.

Ces non-conformités doivent être enregistrées et suivies jusqu’à leur résolution.

Ces non-conformités sont en outre être analysées pour estimer l’opportunité de mettre en place des actions pour éliminer les sources.

2. Amélioration continue

L’entreprise doit aussi améliorer en continue son SMSI.

Cette exigence globale porte sur l’ensemble du SMSI :

  • Utiliser l’analyse des risques comme moyen d’apprentissage de votre système et comme voie d’amélioration
  • Les mesures de sécurité  sont revue pour renforcer en continue la sécurité
Si vous souhaitez en savoir plus, je vous invite à me contacter sur LINKEDIN.

L’annexe A et le code de pratiques ISO 27002

La norme ISO 27001 comporte l’annexe A. Elle décrit les objectifs et politiques à mettre en œuvre en matière de sécurité.

La certification ISO 27001 demande la mise en place de ces mesures de sécurité. En outre, ces différentes mesures de sécurité sont décrites dans la norme ISO 27002, code de bonnes pratiques en sécurité de l’information.

Les bonnes pratiques en sécurité de l'information

La certification ISO 27001 passe par la mise en place d’objectifs de sécurité. Elle est toute fois choisi parmi un ensemble de bonnes pratiques issues de la norme ISO 27002 code de bonnes pratiques en sécurité de l’information :

  • Organisation de la sécurité
  • Sécurité des ressources humaines
  • Gestion des accès
  • Protection physique
  • Exploitation
  • Gestion des incidents

Mesures opérationnelles à mettre en place

Télécharger la norme ISO 27001

 

Vous voulez télécharger la norme ISO 27001 ?

Vous pouvez la télécharger via la boutique AFNOR gratuitement. Il vous suffit de vous créer un compte.

Cliquez sur l’image pour accèder sur la page.

La certification iso 27001

Par ailleurs, une fois votre organisation en place et que vous vous êtes assuré que votre système fonctionne. Vous pouvez donc demander à un organisme accrédité de vous certifier.

  • Déposer le dossier auprès de l’organisme certificateur (6 à 8 mois avant la certification)
  • L’organisme réalise une journée de pré-audit pour prendre connaissance du SMSI et vérifier l’audibilités.
  • L’organisme réalise l’audit de certification. Celle-ci dure entre 3 et 10 jours la première année
  • Le rapport est étudié en commission. Il faut compter environ 1 mois.
  • L’organisme donne sa réponse sur la certification 1 mois après (favorable ou avec non-conformité),
  • Chaque année, une fois le certificat obtenu pour 3 ans, l’entreprise est en outre auditée lors d’un audit dit de suivi (partiel),
  • A la fin d’un cycle de trois ans, un audit complet, dit de renouvellement doit être réalisé.

Pour comprendre la certification ISO 27001 vous pouvez consulter notre page sur la certification : https://feelagile.com/certification-27001

Dans le cadre d’un projet de certification, vous serez donc obliger d’acheter la norme sur AFNOR EDITION.

Nos accompagnements

Nous accompagnons nos clients afin de sécuriser l’obtention de leur certification par différents forfaits d’accompagnement, d’assistance ou d’audits.

Notre offre de formation

Nous proposons un parcours de formation intra et inter en sécurité de l’information et certification 27001 éligible au CPF.