Aller au sujet
Qu’implique l’article 6.1 ?
Documenter avec clarté dans la description, puis démontrer comment vous gérez les risques selon la norme ISO 27001 est essentiel pour une certification indépendante pour la norme ISO 27001 et le fonctionnement d'un système de gestion de la sécurité de l'information (ISMS) réussi.
Article 6.1.1 – Aspects généraux de la planification autour des risques pour l'ISO 27001
À ce stade, vous devriez revenir sur vos travaux antérieurs dans les sections 4 et 5, en particulier 4.1, 4.2, 4.3 et la section 5 de la norme ISO 27001. Cela vous aidera à déterminer les risques et les opportunités qui doivent être pris en compte dans votre projet. questions antérieures, parties intéressées et portée afin de :
- s'assurer que le système de gestion de la sécurité de l'information peut atteindre les résultats escomptés
- « prévenir ou réduire les effets indésirables »
- « parvenir à une amélioration continue ».
L'organisation doit avoir des plans en place qui couvrent les actions qu'elle prendra pour identifier, évaluer et traiter ces risques et opportunités et comment elle intégrera et mettra en œuvre ces actions dans les processus de son système de gestion de la sécurité de l'information. Cela devrait inclure la manière dont ils évalueront l’efficacité de ces actions et les suivront au fil du temps.
Cela signifie tout simplement documenter le processus d'identification, d'évaluation et de traitement des risques, puis montrer qu'il fonctionne dans la pratique avec la gestion de chaque risque, idéalement pour montrer qu'il est toléré (par exemple après que les contrôles de l'Annexe A ont été appliqués), terminé ou peut-être transféré. à d'autres partis.
La norme ISO 27001 approfondit également cette exigence en matière de gestion des risques. En outre, il existe d'autres normes axées sur les risques, comme la norme ISO 31000, dont sont issus les principes de la planification des risques ISO 27001.
Article 6.1.2 – Évaluation des risques liés à la sécurité des informations pour la norme ISO 27001
La norme ISO 27001 exige qu'une organisation établisse et maintienne des processus d'évaluation des risques en matière de sécurité de l'information qui incluent les critères d'acceptation et d'évaluation des risques. Il stipule également que toute évaluation doit être cohérente, valide et produire des « résultats comparables ».
Cela signifie décrire clairement l'approche adoptée et produire une méthodologie de risque – nous avons écrit davantage sur son développement ici.
Les organisations doivent appliquer les processus d'évaluation pour identifier les risques associés à la confidentialité, à l'intégrité et à la disponibilité (CIA) des actifs informationnels dans le cadre défini du SMSI.
La plupart des auditeurs certifiés ISO s'attendent à ce que cette méthodologie aille au-delà des simples descriptions de probabilité et d'impact, pour expliquer également ce qui se passe (par exemple) lorsqu'un conflit survient entre un risque (par exemple basé sur la disponibilité) et un autre (par exemple basé sur la confidentialité).
Les risques doivent être attribués aux propriétaires de risques au sein de l'organisation qui détermineront le niveau de risque, évalueront les conséquences potentielles si le risque se matérialisait, ainsi que la « probabilité réaliste de survenance du risque ».
Une fois évalué, le risque doit être priorisé pour le traitement des risques, puis géré conformément à la méthodologie documentée.
Article 6.1.3 – Traitement des risques liés à la sécurité des informations pour la norme ISO 27001
Vous êtes censé sélectionner les options de traitement des risques appropriées en fonction des résultats de l'évaluation des risques, par exemple traiter avec les contrôles de l'Annexe A, mettre fin, transférer ou peut-être traiter d'une autre manière. La norme ISO 27001 note que l'Annexe A inclut également les objectifs de contrôle mais que les contrôles répertoriés ne sont « pas exhaustifs » et que des contrôles supplémentaires peuvent être nécessaires.
Généralement, les contrôles de l'annexe A sont utilisés seuls dans les petites organisations, bien qu'il soit acceptable de concevoir ou d'identifier les contrôles à partir de n'importe quelle source. De cette manière, la gestion de plusieurs normes de sécurité peut signifier que vous appliquez des contrôles, par exemple, d'autres normes telles que NIST ou SOC2 selon les principes Trust Services Criteria.
Si vous êtes audité par un auditeur indépendant pour la norme ISO 27001, il est tout à fait logique de se concentrer sur les contrôles de l'Annexe A, car ils les connaîtront bien.
Si vous devez répondre à des normes spécifiques pour un client, par exemple DSPT for Health dans le NHS britannique, il est logique de mapper également le traitement des risques à celles-ci et de donner au client l'assurance que votre assurance des informations est solide et répond également à ses intérêts.
Les responsables des risques désignés gèrent leurs plans de traitement des risques (ou délèguent à des personnes le soin de le faire à leur place) et prendront en fin de compte la décision d'accepter tout risque résiduel en matière de sécurité de l'information. Après tout, cela n'a pas de sens de toujours mettre fin au transfert ou de continuer à investir dans la gestion. d'un risque.
Il est nécessaire de produire une déclaration d'applicabilité contenant les contrôles que l'organisation a jugés nécessaires ainsi que la justification des inclusions, qu'ils soient mis en œuvre ou non, et la justification des exclusions des contrôles de l'annexe A.
Il s'agit d'un travail assez important (massivement simplifié et automatisé par ISMS.online) qui démontre que l'organisation a examiné attentivement tous les domaines autour des contrôles que la norme ISO 27001 juge importants.
Comprendre la déclaration d'applicabilité de la norme ISO 27001
La déclaration d'applicabilité (SOA) contient les contrôles nécessaires mentionnés ci-dessus et la justification de leur inclusion ou de leur exclusion. C'est idéal pour la gestion interne et pour le partage avec les parties intéressées concernées. Ceci, ainsi que la politique de sécurité, la portée et le certificat (le cas échéant), leur permettront de mieux comprendre où pourraient se situer leurs intérêts et leurs préoccupations dans votre système de gestion de la sécurité de l'information.
Comment respecter la clause 6.1
En règle générale, planifier la manière dont vous allez identifier, évaluer et traiter les risques, pour répondre aux exigences ci-dessus, est l'un des éléments les plus chronophages de la mise en œuvre de votre SMSI. Cela nécessite qu'une organisation définisse une méthodologie pour l'évaluation cohérente des risques et conserve des enregistrements clairs de chaque risque, son évaluation et son plan de traitement.
En outre, les dossiers doivent démontrer des examens réguliers au fil du temps et des preuves du traitement effectué. Cela inclura les contrôles de l'annexe A que vous avez mis en place dans le cadre de ce traitement et contribuera à la création (et à la maintenance) de la déclaration d'applicabilité.
Il n’est pas étonnant que les anciennes approches basées sur les feuilles de calcul puissent être complexes et difficiles à maintenir lorsque l’on va au-delà des approches très basiques de gestion des risques (qui sont requises pour la norme ISO 27001). C'est l'une des raisons pour lesquelles les organisations se tournent désormais vers des solutions logicielles pour gérer ce processus.
Simplifiez-vous les choses avec ISMS.online
La plateforme ISMS.online comprend une politique de gestion des risques, une méthodologie et un outil de gestion des risques de sécurité de l'information préconfiguré. Nous incluons également une banque de risques courants en matière de sécurité de l'information qui peuvent être extraits, ainsi que les contrôles suggérés de l'Annexe A, vous faisant ainsi gagner des semaines de travail.
Regrouper tout cela dans une solution intégrée pour vous aider à réaliser, maintenir et améliorer l’ensemble de votre SMSI est parfaitement logique. Après tout, pourquoi perdre du temps à essayer de le construire vous-même alors qu’il existe déjà une solution sur mesure ?
La conformité ne doit pas être compliquée.
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
