ISO/CEI 27001

Exigence 27001 de la norme ISO 4.3 – Détermination de la portée du SMSI

Découvrez comment atteindre la norme ISO 27001 plus rapidement avec ISMS.online

Voir en action
Par Mark Sharron | Mis à jour le 14 décembre 2023

L'article 4.3 de la norme ISO 27001 implique de définir le périmètre de votre SMSI. Il s'agit d'un élément crucial car il indiquera aux parties prenantes, notamment la haute direction, les clients, les auditeurs et le personnel, quels domaines de votre entreprise sont couverts par votre SMSI. Vous devriez être capable de décrire ou de montrer rapidement et simplement votre périmètre à un auditeur, et votre nouveau personnel devra également le savoir. L'auditeur externe souhaitera probablement également voir les détails de la déclaration d'applicabilité en même temps que le champ d'application.

Aller au sujet

Comment définir la portée du SMSI

L'activité incluse dans le champ d'application sera beaucoup plus logique à considérer une fois que vous aurez terminé le travail pour 4.1 et 4.2. Vous prendrez probablement en compte l'organisation, les filiales, les divisions, les départements, les produits, les services, les emplacements physiques, les travailleurs mobiles, les zones géographiques, les systèmes et les processus pour votre périmètre, car le travail d'assurance de l'information et d'évaluation des risques suivra les parties de votre organisation qui ont besoin. être protégé.

N’oubliez pas de réfléchir également à ce à quoi les puissantes parties prenantes intéressées s’attendront également. Si vous envisagiez de laisser une partie de l’organisation hors du champ d’application, quel serait l’impact pour ces puissantes parties intéressées ? Auriez-vous également à gérer plusieurs systèmes et finir par confondre le personnel quant à ce qui était inclus ou non dans sa façon de travailler ?

Quelles parties de l’entreprise ont besoin de créer, d’accéder ou de traiter les actifs informationnels que vous considérez comme précieux ? Celles-ci devraient presque certainement être incluses dans le champ d'application si les pressions étaient exercées de l'extérieur par les clients pour satisfaire leurs besoins en matière d'assurance de l'information. Par exemple, vous pourriez vous concentrer sur le développement et la livraison de votre produit, mais vous devrez également vous intéresser aux personnes, aux processus, etc. Pensez également à ce que vous pouvez et ne pouvez pas contrôler ou influencer.

Cela peut prendre quelques minutes d'efforts pour accomplir ce travail ou peut prendre beaucoup plus de temps dans une entreprise plus grande où il peut être politiquement et pratiquement difficile de déterminer une portée contrôlable. Les organismes de certification ISO comme l'UKAS s'orientent également davantage vers une portée « globale de l'organisation », et les clients puissants s'y attendent généralement également.

Comment documenter « hors champ d'application »

Vous devez également noter attentivement les zones « hors de portée » du SMSI, ainsi que les interfaces et dépendances clés entre les activités réalisées par l'organisation et celles réalisées par d'autres organisations. À un niveau simpliste, imaginons que vous êtes un développeur de logiciels et que vous comptez sur l'externalisation du centre de données pour l'hébergement du service auprès des clients.

Vous préciseriez probablement que la portée de votre 4.3 est celle des personnes et du logiciel lui-même au sein de votre organisation, mais cela placerait les limites et les activités du centre de données hors de votre portée contrôlée - après tout, vous vous attendriez à ce qu'ils maintiennent également leur propre SMSI de confiance.

Il en va de même pour la propriété physique : si vous dépendez d'un propriétaire pour certains travaux (par exemple, chargement, barrières et contrôle de la réception), cela pourrait former une frontière où la sécurité physique de l'emplacement elle-même échappe à votre contrôle et vous travaillez votre activité ISMS au sein de cette propriété. Cependant, vous devrez toujours gérer le fournisseur dans le cadre de vos politiques fournisseurs décrites à l'annexe A 15 et vous assurer que ses pratiques répondent au moins aux exigences de votre SMSI et de votre appétit pour le risque, mais ce sera pour une autre fois.

Autres points à considérer

  • Sur la base de ce qui précède, si vous laissiez certaines parties hors du champ d’application, quel serait l’impact sur le personnel ? Est-ce que certains de leurs travaux seraient dans le champ d'application et d'autres hors du champ d'application ? Si tel est le cas, existe-t-il des risques et des complications supplémentaires qui pourraient confondre les pratiques (par exemple), ne pas protéger le travail et entraîner davantage de menaces en suivant deux approches différentes ?
  • Existe-t-il des possibilités de décrire les choses différemment, par exemple en traitant certains bureaux satellites comme des travailleurs à distance/à distance, et non comme des locaux ou des emplacements physiques ?
  • Simplifier ou limiter le champ d’application dès le début pourrait avoir du sens si vous parvenez à segmenter efficacement les limites de l’information et à démontrer que les risques sont pris en compte. Cependant, si vous avez pour objectif d'ajouter quelque chose plus tard, gardez à l'esprit qu'un changement important dans la portée peut nécessiter un autre audit, selon quoi, quand, comment et s'il est motivé par des objectifs internes ou des pressions externes.

Nous vous guiderons à chaque étape du processus

Notre outil intégré vous accompagne de la configuration à la certification avec un taux de réussite de 100 %.

Demander demo

Exigences ISO 27001:2022

Contrôles ISO 27001:2022 Annexe A

Contrôles organisationnels

Contrôles des personnes

Contrôles physiques

Contrôles technologiques

À propos d'ISO 27001

Explorez toutes les fonctionnalités de la plateforme

Outils

Gestion facile des actifs

Sélectionnez des actifs dans la banque d'actifs et créez facilement votre inventaire d'actifs
Gestion des risques

Gestion dynamique des risques

Gérez sans effort les menaces et les opportunités et créez des rapports dynamiques sur les performances.
Politiques et contrôles

Politiques et contrôles parfaits

Collaborez, créez et montrez facilement que vous êtes au top de votre documentation à tout moment
Intégration

Intégrations rapides et transparentes

Intégrations prêtes à l'emploi avec vos autres systèmes commerciaux clés pour simplifier votre conformité
Travail de cartographie et de liaison

Travail de cartographie et de liaison

Mettre en lumière les relations critiques et relier élégamment des domaines tels que les actifs, les risques, les contrôles et les fournisseurs.
Packs de politiques

Assurance de la conformité du personnel

Engagez le personnel, les fournisseurs et autres avec une conformité dynamique de bout en bout à tout moment
Gestion des fournisseurs

Gestion des fournisseurs

Gérer la diligence raisonnable, les contrats, les contacts et les relations tout au long de leur cycle de vie
Audits, actions et examens

Audits, actions et examens

Simplifiez les actions correctives, les améliorations, les audits et les revues de direction.
Gestion des parties intéressées

Gestion des parties intéressées

Cartographier visuellement et gérer les parties intéressées pour garantir que leurs besoins sont clairement satisfaits
Rapports clairs

Rapports clairs

Prenez de meilleures décisions et montrez que vous avez le contrôle grâce aux tableaux de bord, aux KPI et aux rapports associés.

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage