Comment éviter les hypothèses désastreuses avec la norme ISO 27001 Clause 9

De nombreux apprentissages professionnels ne sont réellement utiles que dans le monde de l’entreprise. Mais il y a un principe qui m'aide dans tous les aspects de ma vie, depuis le fait d'amener les enfants à l'école chaque matin jusqu'à la planification de ces vacances de rêve post-Covid. C'est ça:

  • L'hypothèse est la mère de tous les désastres

Si vous faites simplement des hypothèses plutôt que de vérifier réellement les choses, vous ne détecterez pas les problèmes alors qu'ils sont encore petits et faciles à résoudre. Vous ne les repérerez que lorsqu’ils seront impossibles à rater et probablement désastreux.

Heureusement, il existe un moyen simple sur mesure. Ne faites pas d’hypothèses. Remplacez-les par des solutions pratiques, constructives et structurées. audits. Cela peut paraître ennuyeux et fastidieux, mais c'est toujours essentiel.

Pourquoi la surveillance est importante

Grâce à son souci du détail, dans un rôle précédent, l'un de nos collègues :

  • A aidé son client d'alors à éviter des dommages financiers et de réputation importants
  • A sauvé la vie de nombreuses créatures sous-marines innocentes
  • Éviter un incident international majeur

Il auditait une unité de stockage sous-marine avant son installation au fond de l'océan. Il a découvert qu'un fournisseur avait utilisé le mauvais type de peinture. La peinture se décomposerait rapidement. L’unité de stockage se détériorerait alors rapidement. Ensuite, il s'ouvrirait.

L'unité a été conçue pour contenir en toute sécurité des matières radioactives à des fins de mesures sous-marines.

Vous pouvez imaginer le reste.

Tout le monde pensait que vérifier la peinture était une perte de temps. Comment quelqu’un peut-il se tromper à ce point sur quelque chose d’aussi basique ? Notre collègue a d’ailleurs été critiqué pour être trop pointilleux. Mais, une fois de plus, la vie réelle a prouvé que les suppositions sont la mère de tous les désastres.

Surveillance dans la norme ISO 27001

Parce que l'audit est si important, la norme ISO 27001 le couvre de manière assez détaillée. Article 9 de ISO 27001 vous demande de réfléchir à la manière dont vous allez :

  • Mesurez et fixez des objectifs pour l'efficacité de votre SMSI (Article 9.1)
  • Auditez-le régulièrement pour vous assurer qu'il atteint ces objectifs (Article 9.2)
  • Tenez votre haute direction au courant (Article 9.3)

Cela vous donne une liste de contrôle de surveillance de la sécurité des informations très utile, que vous soyez ou non conforme ou certifié. Même si nous devons tendre la main à Article 10.2 pour un dernier détail très important :

  • Envisagez d'apporter des améliorations à votre SMSI en fonction de ce que vous avez trouvé

Clause 9.1 : Mesurer et fixer des objectifs pour votre SMSI

Un SMSI non examiné n’en vaut pas la peine. Mais pour bien l’examiner, vous devez savoir ce que vous cherchez, où vous cherchez et qui le cherche. Article 9.1 vous demande de planifier :

  • Quelles parties de votre SMSI dont vous avez besoin garder un oeil sur
  • Comment allez-vous les surveiller, les mesurer, les analyser et les évaluer
  • À quelle fréquence effectuerez-vous tous ces contrôles
  • Qui fait la vérification
  • Comment ils rapporteront leurs découvertes

Assurez-vous de tout documenter. Disposer d’un ensemble unique de directives pratiques claires empêchera les gens de faire des hypothèses. Nous savons où ils peuvent mener…

Article 9.2 : Audit de votre SMSI

Maintenant vous êtes prêt pour votre véritable Audit interne, comme spécifié dans la clause 9.2. C'est ici que vous vérifiez la peinture et que vous démontez les pneus. Sucer entre les dents est également une option.

En gros, vous vérifiez que votre SMSI :

  • Répond à tous les objectifs que vous vous êtes fixés
  • Est bien géré et correctement entretenu

Un seul audit ne suffira pas. Vous devez prévoir des audits réguliers. Chaque nouvel audit doit faire référence aux précédents, afin que vous sachiez avec certitude que vous détectez et répondez à tout problème. Ainsi, chaque nouvel audit doit être documenté et rapporté de manière claire et cohérente.

Vous devez également désigner des personnes spécifiques responsables de chaque audit. Ils doivent avoir une portée claire pour chaque audit. Et surtout, ils doivent être objectifs. Choisissez des auditeurs qui remettront en question vos hypothèses, et non les confirmeront.

Et chaque audit doit être un processus positif et à valeur ajoutée. Idéalement, les auditeurs recherchent les conformités et travaillent peut-être avec l’audité pour trouver des améliorations potentielles. Votre auditeur ne recherche PAS de non-conformités. Il arrive juste que parfois ils les repèrent.

Clause 9.3 : Tenir la haute direction informée

Supposer que la haute direction sait comment les choses se passent est toujours une erreur. Vous devez vous assurer qu’ils comprennent, adhèrent et (si nécessaire) façonnent votre SMSI. Après tout, comme Article 5 notes, ils sont en fin de compte responsables de votre SMSI.

Alors, article 9.3 vous demande de procéder à des revues de direction régulières et planifiées. Vous informerez la haute direction de l'efficacité de votre ISMS protège votre organisation, couvrant :

  • Problèmes spécifiques repérés et comment vous les avez résolus
  • Performance générale par rapport aux objectifs que vous avez fixés
  • Tout commentaire ou réaction de parties intéressées
  • Ce que vous disent vos auditeurs
  • Détails des activités en cours évaluation des risques et traitement
  • Améliorations que vous envisagez d'apporter ou avez apportées

Vous devez également vous appuyer sur leur vue d’ensemble de votre organisation. Assurez-vous qu'ils partagent les détails de tout problème interne ou externe qui pourrait affecter le portée et fonctionnement de votre SMSI. Et bien sûr, vous les rattraperez sur les actions découlant des avis précédents.

Oh, et il y a une grande hypothèse à remettre en question. Les gens supposent généralement que l’examen du système de gestion doit se dérouler sous forme de réunion. Mais où est-il dit cela dans l’article 9.2 ? Notre indice : ce n’est pas le cas…

Une dernière hypothèse que nous voulons éviter

Alors c'est comme ça Article 9 de la norme ISO 27001 vous aide à remplacer les hypothèses vagues par des audits pratiques, constructifs et structurés. Ensuite, vous pouvez suivre la clause 10.2 et agir en conséquence.

J'espère que nous vous avons montré comment fonctionne le processus et vous avons donné quelques conseils utiles pour vous aider à garder un œil sur vos propres mesures de sécurité des informations.

Mais cela ressemble exactement à ce que nous voulons éviter : une hypothèse ! Alors si ce post a été utile ou inspirant, nous l'indiquer pour sûr.

« Exigence 9.3 - Revue de direction

Exigence 10.1, 10.2 - Amélioration pour ISO 27001 »

Dernière modification : 7 février 2022
Auteur

Al Robertson

Al est un écrivain professionnel et un auteur publié qui couvre une gamme de sujets. Il a écrit une série d'articles sur la conformité et en particulier sur la sécurité de l'information et sur la manière dont la certification ISO 27001 peut aider les organisations à se développer.

Voir tous les messages de Al Robertson

Articles Similaires

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage