Exigence 27001 de la norme ISO 7.5 – Informations documentées

Qu’implique l’article 7.5 ?

L'une des principales exigences de la norme ISO 27001 est donc de décrire votre système de gestion de la sécurité de l'information, puis de démontrer comment les résultats escomptés sont atteints pour l'organisation. Il est extrêmement important que tout ce qui concerne le SMSI soit documenté, bien entretenu et facile à trouver si l'organisation souhaite obtenir une certification ISO 27001 indépendante auprès d'un organisme comme l'UKAS.

La clause 27001 de la norme ISO 7.5 se décompose comme suit :

Article 7.5.1 – Documentation générale pour l'ISO 27001

Le SMSI doit clairement inclure :

• Une description de la manière dont il répond aux exigences essentielles de 4.1 à 10.2, y compris l'évaluation et le traitement des risques qui conduisent à la sélection des contrôles de l'Annexe A.
• Les contrôles pertinents de l’Annexe A qui font partie de la déclaration d’applicabilité – ce qui signifie effectivement que vous devez avoir tous les contrôles répertoriés. Même si une organisation décide qu'un contrôle n'est pas pertinent, elle doit le documenter, par exemple si elle n'a pas besoin de zones de livraison et de chargement dans l'annexe A 11.1.6 parce qu'il s'agit d'une activité purement numérique, elle doit alors montrer à l'auditeur qu'elle a considéré qu’il n’y a aucun risque et qu’il n’est pas nécessaire de procéder à ce contrôle.

Article 7.5.2 – Création et mise à jour des informations documentées pour l'ISO 27001

ISO 27001 recherche la clarté dans la documentation, en recherchant l'identification et la description, le format, la révision et l'approbation de l'adéquation et de l'adéquation à son objectif. Il est facile de passer à côté des nuances de ces exigences, mais en pratique, cela signifie prendre en compte l'auteur, la date, le titre, la référence, etc., et ce processus d'approbation est également très important pour correspondre à l'annexe A 5.1.2 décrite ci-dessous.

Article 7.5.3 – Contrôle des informations documentées pour l'ISO 27001

Au cœur du SMSI se trouve le principe de confidentialité, d’intégrité et de disponibilité des informations. Il en va de même pour le SMSI lui-même : il doit être disponible en cas de besoin et protégé de manière adéquate contre la perte de confidentialité, l'utilisation non autorisée ou la compromission potentielle de l'intégrité.

Le simple fait de vider le contenu du SMSI sur le disque partagé de l'équipe et de le laisser de manière incontrôlée ou avec des autorisations d'accès inefficaces entraînerait presque certainement des problèmes pour l'organisation lors d'un audit. De même, le laisser sur un disque personnel inaccessible à ceux qui ont besoin de connaître le SMSI serait également un problème, il faut donc prendre en compte de nombreux domaines pour un contrôle efficace. L'ISO recherche une organisation pour aborder les aspects suivants :

• Clarté du partage et de la distribution, contrôles de l'accès à tout ou partie du SMSI – en gardant à l'esprit que les autorisations d'accès pour la lecture, la mise à jour, l'approbation, la suppression, etc. peuvent devoir différer en fonction du rôle de la partie prenante.
• stockage et préservation, y compris le contrôle des modifications (affichage des anciennes versions, des approbations historiques, etc.)
• la conservation et l’élimination doivent également être prises en considération

Cette exigence s'aligne également sur l'examen régulier des politiques mises en évidence dans l'annexe A.5.1.2 également évoquée ci-dessous.

Combien faut-il écrire pour que la documentation du SMSI soit considérée comme acceptable par un auditeur ?

Une question souvent posée à propos de la documentation de gestion de la sécurité de l'information est « quelle est la quantité suffisante ? ». La réponse courte est qu’il s’agit de qualité et non de quantité. Tant que l'organisation se conforme aux exigences résumées ci-dessous et peut démontrer qu'elle n'a pas besoin d'une longue documentation détaillée, l'auditeur en tiendra sans aucun doute compte lors d'un audit - par exemple parce qu'il s'agit d'une petite organisation avec peu de participants autour du SMSI. , stable, clair, bien entretenu et simple à utiliser.

La documentation relative au système de gestion de la sécurité de l'information est-elle des « documents de style Word » ou d'autres formes de contenu sont-elles autorisées ?

Les questions sur le type de documentation attendu sont l'une des autres questions fréquemment posées concernant la documentation de la clause 7.5 pour le système de gestion de la sécurité de l'information. En fait, la norme ISO 27001 indique clairement dans sa note annexe la clause 7.5.1 :

« L'étendue des informations documentées pour un système de gestion de la sécurité de l'information peut différer d'une organisation à l'autre en raison de : »

• la taille de l'organisation et son type d'activités, de processus, de produits et de services ;
• la complexité des processus et de leurs interactions ; et
• la compétence des personnes.

Un certain nombre de fournisseurs de « boîtes à outils » de documentation sur la sécurité de l'information ISO 27001 ont perpétué le mythe selon lequel les informations documentées pour un SMSI doivent être des documents Word et des feuilles de calcul Excel. Il est clair que ces documents peuvent avoir leur place dans un SMSI (par exemple lorsque des images ou des processus complexes doivent également être communiqués), mais doivent être utilisés avec parcimonie compte tenu de l'avènement de meilleurs outils en ligne.

Les services en ligne comme ISMS.online facilitent les documents de manière plus traditionnelle et offrent également des moyens plus efficaces de gérer la documentation qui peuvent montrer un meilleur contrôle et une meilleure coordination, de meilleurs moyens de partage et de publication auprès du public et de rendre l'ensemble du processus de gestion de la documentation conforme aux exigences de la clause 7.5 ci-dessous est beaucoup plus facile. Cela signifie également que l’époque où l’on perdait du temps avec des premières pages de documents montrant toutes les modifications de version et les approbations par e-mail est révolue depuis longtemps !

Rejoindre 7.5 avec les contrôles de l'annexe A

Si l’on considère que les exigences de la clause 7.5 concordent également avec les objectifs de contrôle des annexes, il est encore plus logique de penser à un système de gestion intégré et bien coordonné au lieu de documents démodés et de disques partagés pour le stockage. Voici des exemples de liens entre la clause 7.5 et les contrôles de l'annexe A :

Annexe A 5.1.1

En plus d'être définies, les politiques de sécurité de l'information doivent être approuvées par la direction, publiées et communiquées aux employés et aux parties externes concernées. Il n’est pas facile de démontrer l’approbation des documents en soi, et il est peu probable que la publication de documents lourds soit assimilés ou compris par les parties prenantes, même s’ils ont été communiqués (ce qui expose l’organisation à un risque de non-conformité et à une menace de perte par ignorance).

Annexe A 5.1.2

Révision des politiques de sécurité de l’information. La norme ISO 27001 stipule que les politiques doivent être révisées régulièrement à intervalles planifiés (ou si des changements importants surviennent) pour garantir leur adéquation continue. Les auditeurs ISO indépendants s’attendront à ce que cet examen soit effectué au moins une fois par an pour chaque politique.

Annexe A 18.2

Ce contrôle de l'annexe A concerne les examens de la sécurité des informations et, bien réalisé, il s'intègre parfaitement à la clause 7.5 pour la gestion de la documentation d'un SMSI, y compris les examens indépendants, les contrôles de conformité et, le cas échéant, la conformité technique. Examen, contrôle des versions, affichage des mises à jour, puis approbation des anciennes. des documents façonnés où ils n'ont pas besoin d'être des documents en soi peuvent vraiment ralentir les administrateurs du SMSI. Cela peut également retarder ou perdre l’engagement du personnel et conduire à un non-respect des règles.

Comment gérer la documentation dans votre SMSI ?

La clause 7.5 est facile à mal comprendre et à agiter, conduisant à un échec d'audit, ou peut-être à une ingénierie excessive d'une solution et à passer beaucoup trop de temps à construire une structure de système de gestion qui est trop difficile à maintenir au premier changement. Le planificateur d'analyse de rentabilisation ISMS.online examine les options de création ou d'achat, alors vérifiez-les si vous envisagez de créer votre propre solution.

Il est vraiment difficile de répondre correctement à toutes les exigences de la clause 7.5 et des contrôles associés de l'Annexe A. C'est pourquoi de nombreuses organisations recherchent une solution logicielle ISMS spécialement conçue et souhaitent quelque chose présentant les caractéristiques d'ISMS.online.

Après tout, vous ne perdriez pas de temps à construire votre propre système CRM ou financier alors que d'autres ont déjà passé du temps à développer la bonne solution qui peut être livrée immédiatement pour une fraction du coût d'une solution DIY. ne fait pas partie des compétences de base de l'organisation.

ISMS.online fournit une structure facile à suivre pour toute la documentation requise. Elle suit exactement la même structure que la norme elle-même afin que vous et un auditeur puissiez accéder facilement et rapidement à la documentation requise. Il intègre des rôles et des autorisations pour l'accès, la modification, l'approbation et le partage. Il existe également un contrôle automatique des versions et des rappels pour les révisions. Nous sommes même allés plus loin et avons inclus une documentation sur les politiques et les contrôles que vous pouvez adopter, adapter et compléter, dès la sortie de la boîte.

L'utilisation de la solution logicielle ISMS.online vous permettra de vous concentrer sur vos objectifs ISMS. ISMS.online facilite le travail d'administration, de sorte que vous pouvez facilement créer, contrôler, coordonner, gérer et partager votre documentation avec les parties prenantes, notamment via des packs de politiques qui renforcent la confiance de bout en bout en matière de conformité. Il vous donnera également tous les outils nécessaires pour effectuer les nombreux processus de travail requis par la norme. C'est aussi pourquoi nous disons que les documents que nous fournissons sont « exploitables ». Ce sont plus que de simples modèles de documents qui vous laissent interpréter et trouver un moyen de démontrer vos processus… ISMS.online est une solution ISMS complète en un seul endroit.

Obtenez une certification jusqu'à 5 fois plus rapidement avec ISMS.online

La conformité n'a pas besoin d'être compliquée : ISMS.online est conçu pour vous aider à obtenir la certification ISO 27001 rapidement et à moindre coût, sans aucune formation requise.
Nous avons rationalisé le processus ISO 27001 avec notre méthode de résultats garantis, une longueur d'avance de 80 %, votre propre coach virtuel 24h/7 et XNUMXj/XNUMX, une intégration facile et une assistance experte.

Réservez une démo de plateforme pour voir comment ISMS.online peut aider votre entreprise