Exigence 27001 de la norme ISO 4.2 – Parties intéressées

Qu’est-ce qu’une partie intéressée ?

Dans sa forme la plus simple, une partie intéressée est une partie prenante – quelqu'un, un groupe ou une entité intéressée par votre SMSI (ou peut-être l'organisation elle-même).

Vous devriez être en mesure d'identifier facilement bon nombre de vos parties intéressées après avoir résolu les problèmes internes et externes qui ont un impact sur les résultats escomptés du système de gestion de la sécurité de l'information.

Il s'agira notamment du personnel, des fournisseurs, des clients, des actionnaires, des administrateurs, des prospects, des membres du conseil d'administration, des concurrents, des législateurs et régulateurs, des syndicats, etc.

Les parties intéressées ne sont pas toujours évidentes : par exemple, les pirates informatiques et les parties malveillantes associées peuvent avoir besoin d’être prises en considération, tout comme les médias et autres, en fonction de la nature de votre entreprise et des problèmes auxquels elle est confrontée.

Cependant, plutôt que de créer une gamme unique de politiques et de contrôles pour toutes vos parties intéressées, il est préférable d’examiner ces parties intéressées en termes de pouvoir, d’intérêt et de soutien – en termes simples, il s’agit de leur capacité à influencer votre politique. approche du SMSI.

Ensuite, vous pouvez développer des approches appropriées pour démontrer que vous avez couvert leurs besoins (et bien sûr les vôtres s'il s'agit également d'un possible saboteur !)

À titre d'exemple, si vous aviez un client qui vous demande d'investir dans la norme ISO 27001 et de créer un SMSI ISO 27001 certifié de manière indépendante, le feriez-vous s'il s'agissait d'un très petit acteur non influent ? Vous y réfléchiriez probablement à deux fois si ce client était l'un des nombreux clients que vous souhaitiez conquérir, ou un acteur important et puissant à part entière.

Pensez-vous au cryptage s'il n'était pas une exigence réglementaire du RGPD ? Les législateurs et les régulateurs (autorités de contrôle) sont de puissants acteurs « garder la satisfaction » que vous devez prendre en compte et montrer que vos intérêts sont pris en compte !

Quelles sont les parties intéressées à satisfaire ?

Si une partie prenante est très puissante et peu intéressée, vous devriez considérer cet individu ou ce groupe comme une partie prenante qui « reste satisfaite ». Demandez-vous : que ferez-vous dans votre SMSI avec les politiques et les contrôles pour les satisfaire ?

Dans ce domaine à fort pouvoir et à faible intérêt, vous pourriez voir des organisations telles que des législateurs et des régulateurs, des groupes de clients très puissants, des actionnaires, etc. Il peut également y avoir des auditeurs externes et d'autres organismes industriels qui peuvent affecter le succès de votre entreprise.

Leur intérêt est assez faible au quotidien, mais leur pouvoir d'influence sur vos objectifs commerciaux est élevé, ils doivent donc être satisfaits – généralement à distance et avoir un certificat ISO 27001 certifié de manière indépendante contribue dans une certaine mesure à répondre à leurs besoins.

Les parties prenantes très puissantes en matière de garantie de l’information, telles que les régulateurs, peuvent également prescrire des méthodes de travail spécifiques – le RGPD et la loi sur la protection des données en sont des exemples très actuels.

Prendre en compte les besoins des autres parties intéressées pour un SMSI ISO 27001 réussi

Si une partie intéressée a à la fois un intérêt élevé et un pouvoir élevé, nous la qualifierions d’acteur clé. Ces parties prenantes devraient être activement impliquées. Votre équipe de direction, vos chefs de service clés, vos fournisseurs critiques, etc. entreront probablement dans cette catégorie. Vous pourriez en fait avoir certains de vos clients importants intimement engagés dans cette catégorie. Ils peuvent être très intéressés par la façon dont vous travaillez au quotidien, car cela les affecte également.

Il est facile de créer de longues listes de parties prenantes à prendre en compte, mais évitez de consacrer trop de temps à celles qui ont un pouvoir moindre. Ceux qui ont moins de pouvoir et qui sont plus intéressés ont besoin d’être informés, mais n’ont peut-être pas besoin d’être consultés sur ce que couvre votre SMSI – il vous suffira peut-être de leur dire, sinon ils pourraient représenter une grosse perte de temps et d’investissement !

Faites également attention à ne pas simplement rejeter les parties prenantes que vous n'aimez pas dans les catégories de puissance inférieure – nous avons vu cela se produire dans une entreprise. Ils l'ont payé plus tard parce que la partie prenante était en fait assez puissante et les a retardés dans la réalisation de leurs objectifs parce que leurs exigences n'étaient pas priorisées.

La combinaison de ce travail des parties intéressées et des parties prenantes avec les problèmes internes et externes que vous avez identifiés au point 4.1 permet de mieux comprendre d'où les menaces et les opportunités peuvent provenir de votre système de gestion de la sécurité de l'information.

Ceci, associé à la portée de votre SMSI (4.3), conduit à une approche beaucoup plus logique et orientée métier de l'évaluation des risques dans la version 6.1 et à une bien meilleure assurance des informations avec des politiques et des contrôles que votre personnel et vos parties prenantes apprécieront et adopteront.

Dans ISMS.online, nous fournissons un modèle et un outil avec une « banque de parties prenantes » pour vous aider à répondre facilement aux exigences de la norme ISO 27001, clause 4.2. Le programme facultatif Virtual Coach comprend également un coaching vidéo sur la façon de répondre aux exigences.