ISO 27001 – Annexe A.5 : Politiques de sécurité de l'information

Quel est l’objectif de l’annexe A.5.1 ?

L'annexe A.5.1 concerne l'orientation de la gestion pour la sécurité de l'information. L'objectif de la présente annexe est de gérer l'orientation et le soutien à la sécurité de l'information conformément aux exigences de l'organisation, ainsi qu'aux lois et réglementations en vigueur.

Il comprend les deux contrôles répertoriés ci-dessous. Il s'agit d'un élément important du système de gestion de la sécurité de l'information (ISMS), surtout si vous souhaitez obtenir la certification ISO 27001. Comprenons maintenant ces exigences et ce qu'elles signifient de manière un peu plus approfondie.

A.5.1.1 Politiques de sécurité des informations

Un ensemble de politiques de sécurité de l'information doit être défini, approuvé par la direction, publié et communiqué aux employés et aux parties externes concernées. Les politiques doivent être guidées par les besoins de l'entreprise, ainsi que par les réglementations et législations applicables affectant également l'organisation.

Ces politiques sont en fait les contrôles de l'Annexe A, également résumés dans un document principal de politique de sécurité de l'information de niveau supérieur qui renforce les déclarations clés de l'organisation en matière de sécurité à partager avec les parties prenantes telles que les clients.

Cette politique globale devient beaucoup plus crédible et puissante avec la certification indépendante ISO 27001 de l'UKAS.

Les politiques constituent également l’épine dorsale de la sécurité de l’information et devraient faire partie du programme d’éducation, de formation et de sensibilisation conformément à A7.2.2.

Les politiques définissent les principes que les membres de l'organisation et les parties clés comme les fournisseurs doivent suivre. Ces politiques doivent être révisées régulièrement et mises à jour si nécessaire, conformément au point A.5.1.2 ci-dessous.

A.5.1.2 Examen des politiques de sécurité de l'information

Les politiques de sécurité de l'information doivent être revues à intervalles planifiés, ou si des changements importants surviennent, pour garantir leur pertinence, leur adéquation et leur efficacité.

Chaque fois que des changements sont apportés à l'entreprise, à ses risques et problèmes, à sa technologie, à sa législation et à sa réglementation, ou si des faiblesses de sécurité, des événements ou des incidents indiquent la nécessité d'un changement de politique.

Les politiques doivent également être révisées et mises à jour régulièrement. L'ISO considère que « régulier » signifie au moins une fois par an, ce qui peut être un travail difficile si vous gérez manuellement autant d'examens et si vous les articulez également avec l'examen indépendant dans le cadre de A.18.2.1.

Comment ISMS.online contribue-t-il aux politiques de sécurité des informations ?

En plus de nombreuses autres fonctionnalités, ISMS.online comprend des processus visibles et automatisés pour aider à simplifier l'ensemble de cette exigence de révision et à économiser énormément de temps administratif par rapport à d'autres méthodes de travail.

ISMS.online vous propose des politiques et des contrôles ISO 27001 exploitables pour vous donner cette bonne longueur d'avance.