Déclaration d'applicabilité (SoA) : le guide complet

Qu'est-ce qu'une déclaration d'applicabilité ?

En termes simples, dans sa quête de protection des actifs informationnels précieux et de gestion des installations de traitement de l'information, la SoA indique quels contrôles et politiques ISO 27001 sont appliqués par l'organisation. Il se compare au contrôle de l'Annexe A défini dans la norme ISO 27001 (décrit à la fin de ce document de normes ISO comme objectifs et contrôles de contrôle de référence).

La déclaration d'applicabilité se trouve dans le 6.1.3 des principales exigences de la norme ISO 27001, qui fait partie du 6.1 plus large, axé sur les actions visant à faire face aux risques et aux opportunités.

La SoA fait donc partie intégrante de la documentation obligatoire ISO 27001 qui doit être présentée à un auditeur externe lorsque le SMSI fait l'objet d'un audit indépendant, par exemple par un organisme de certification d'audit UKAS.

À qui s’applique la norme ISO 27001 ?

La norme ISO 27001 s'applique à tous les types et tailles d'organisations, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif. Le fil conducteur, quels que soient la taille, le type, la géographie ou le secteur de l’organisation, est que l’organisation vise à démontrer les meilleures pratiques dans son approche de la gestion de la sécurité de l’information. Les meilleures pratiques peuvent bien entendu être interprétées différemment.

La norme ISO vise à développer un système de gestion des risques liés à la sécurité de l'information. Ainsi, en fonction de l'appétence des dirigeants de l'organisation pour le risque informationnel et de l'étendue des actifs pour gérer les risques, les contrôles et les politiques appliqués peuvent varier considérablement d'une organisation à l'autre, tout en répondant aux objectifs de contrôle ISO 27001.

Ce qui est clair cependant, c'est que l'obtention de la certification ISO 27001 grâce à un audit indépendant réalisé par un organisme de certification ISO agréé signifiera que l'organisation a atteint un niveau de contrôle reconnu (meilleures pratiques en tant que norme) pour les actifs informationnels et les installations de traitement.

La certification ISO 27001 donne aux parties intéressées, telles que les clients puissants et les prospects, un niveau de confiance plus élevé que les méthodes auto-développées ou les normes alternatives qui ne bénéficient pas du même audit indépendant ou de la même reconnaissance internationale.

Pourquoi la SoA est-elle importante ?

Avec le champ d'application du système de gestion de la sécurité de l'information (4.3 de la norme ISO 27001), la SoA fournit une fenêtre récapitulative des contrôles utilisés par l'organisation. La SoA est une exigence essentielle pour obtenir la certification ISO du SMSI et, avec la portée, elle sera l'une des premières choses qu'un auditeur recherchera dans son travail d'audit.

Cette documentation devra être disponible pour examen lors de l'audit de certification de l'étape 1, mais elle ne sera approfondie que lors de l'audit de l'étape 2, lorsque l'auditeur testera certains des contrôles ISO 27001 et s'assurera qu'ils non seulement décrivent, mais démontrent de manière adéquate. les objectifs de contrôle sont atteints.

L'auditeur examinera l'inventaire des actifs informationnels, considérera les risques, leur évaluation et leur traitement, et recherchera des preuves matérielles que l'organisation a mis en œuvre de manière satisfaisante les contrôles qu'elle prétend pour gérer le risque.

La SoA et la portée couvriront les produits et services de l'organisation, ses actifs informationnels, ses installations de traitement, ses systèmes utilisés, les personnes impliquées et les processus métier, qu'il s'agisse d'une entreprise virtuelle individuelle ou d'une opération internationale multisite avec des milliers d'employés.

Les clients instruits et puissants présentant un risque informationnel important (par exemple en raison du RGPD ou d'autres actifs d'informations commerciales) peuvent vouloir consulter le champ d'application et la SoA avant d'acheter auprès d'un fournisseur, pour s'assurer que la certification ISO couvre effectivement les domaines de l'entreprise impliqués dans leur actifs.

Il ne sert à rien d'avoir une certification ISO avec un Scope et un SoA pour un siège social au Royaume-Uni lorsque le risque réel lié au traitement de l'information se déroule dans un bâtiment offshore avec des ressources hors de portée ! C'est en fait l'une des raisons pour lesquelles les organismes de certification encouragent désormais les domaines d'application « de l'organisation entière », ce qui bien sûr peut signifier qu'une déclaration d'applicabilité beaucoup plus large et plus approfondie est requise.

En résumé, une SoA bien présentée et facile à comprendre montre la relation entre les contrôles applicables et mis en œuvre de l'Annexe A, compte tenu des risques et des actifs informationnels concernés. Cela donnera une grande confiance à un auditeur ou à toute autre partie intéressée sur le fait que l'organisation prend la gestion de la sécurité de l'information au sérieux, surtout si tout cela est intégré dans un système de gestion de la sécurité de l'information holistique.

Qu'est-ce que l'Annexe A ISO 27001 ?

L'Annexe A de la norme ISO 27001 est un catalogue des objectifs et des contrôles de contrôle de sécurité de l'information qui doivent être pris en compte lors de la mise en œuvre de la norme ISO 27001. Le terme technique utilisé pour l'ISO concerne la « justification » du contrôle. La SoA indiquera si le contrôle de l'Annexe A est :

• Applicable et implémenté comme contrôle maintenant
• Applicable mais non mis en œuvre en tant que contrôle (par exemple, cela pourrait faire partie d'une amélioration pour le futur et capturé dans 10.2 dans le cadre d'une amélioration, ou la direction est prête à tolérer le risque compte tenu de ses autres priorités de contrôle mises en œuvre)
• Sans objet (notez que si quelque chose est considéré comme non applicable, l'auditeur cherchera à comprendre pourquoi il en est ainsi et un enregistrement documenté doit également être conservé à ce sujet dans la SoA).

Les contrôles doivent être revus et régulièrement mis à jour au cours du cycle de vie de 3 ans de la certification ISO. Cela fait partie de la philosophie d’amélioration continue de la gestion de la sécurité de l’information intégrée dans la norme. Compte tenu du rythme croissant de croissance de la cybercriminalité, la cybersécurité évolue également rapidement, de sorte que moins qu'un examen annuel des contrôles pourrait potentiellement accroître l'exposition aux menaces de l'organisation.

Quels contrôles dois-je inclure ?

La déclaration d'applicabilité constitue le lien principal entre votre évaluation des risques liés à la sécurité de l'information et votre travail de traitement, et indique « où » vous avez choisi de mettre en œuvre des contrôles de sécurité de l'information parmi les 114 objectifs de contrôle. (Un bon SoA sera également capable d'explorer pour montrer « comment » ils ont également été mis en œuvre.)

Même si les contrôles de l'Annexe A constituent une liste de contrôle utile à prendre en considération, la simple mise en œuvre des 114 contrôles de manière « ascendante » peut s'avérer coûteuse et passer à côté des objectifs fondamentaux de la norme. Malheureusement, certains consultants et fournisseurs en sécurité de l'information vendant des « boîtes à outils complètes de documentation ISO 27001 » préconiseront cette approche, mais ce n'est pas la bonne façon de gérer la sécurité de l'information.

Il y a une raison pour laquelle les exigences fondamentales de la norme ISO 27001 de 4.1 à 10.2 sont présentes. Ils aident l’organisation à adopter une approche axée sur l’entreprise et la stratégie, selon une approche descendante. Après avoir examiné les enjeux, les parties intéressées, la portée et les actifs informationnels, l'organisation peut identifier les risques, puis les évaluer et envisager des traitements pour ces risques.

Les risques liés aux informations précieuses et aux installations de traitement, aux appareils, aux personnes impliquées, etc. doivent être évalués en gardant à l'esprit la confidentialité, l'intégrité et la disponibilité (CIA) des informations.

Cette répartition du CIA est également un aspect important que l'auditeur doit comprendre et démontre que l'organisation a pris en compte le risque de manière plus globale. Surtout, cela signifie également que la SoA a été développée avec cette approche plus globale, plutôt qu'une seule partie, par exemple en considérant uniquement le risque de perte d'informations suite à une violation.

Bien que l'organisation considère les risques liés à ses opérations comme indiqué ci-dessus, il convient de mentionner que l'un des domaines de contrôle de l'Annexe A qui sera toujours applicable est « l'identification de la législation applicable et des exigences contractuelles » en A.18.1.1. . Cela signifie que vous tenez également compte des exigences des lois, réglementations et exigences contractuelles pertinentes. Cela prend beaucoup plus d'importance en raison du RGPD de l'UE pour ceux qui traitent les informations des citoyens de l'UE et de plus en plus partout dans le monde avec d'autres normes de confidentialité telles que POPI en Afrique du Sud, LGPD au Brésil et CCPA en Californie.

Pour comprendre les attentes des réglementations en matière de confidentialité, cela dicte également que de nombreux contrôles ISO 27001 sont requis, que vous le pensiez ou non. Ainsi, un auditeur intelligent s’attendra à comprendre la législation applicable affectant votre organisation et la manière dont elle éclaire également votre choix de contrôles applicables dans la justification de la SoA.

Certains risques liés à la sécurité de l’information pourraient bien entendu être entièrement supprimés, transférés à une autre partie, traités ou tolérés. Tous ces contrôles de l’Annexe A vous aident ensuite à considérer et, le cas échéant, à mettre en œuvre la philosophie de transfert, de traitement ou de tolérance autour des risques. La SoA montre ensuite quelles mesures de sécurité des contrôles de l'Annexe A vous utilisez et comment vous les avez mises en œuvre, c'est-à-dire vos politiques et procédures.

Les objectifs de contrôle et les contrôles de l'Annexe A énumérés dans la norme ISO 27001 ne sont pas prescriptifs mais doivent être pris en compte et la justification de leur applicabilité est essentielle pour une certification indépendante émanant d'un organisme de certification ISO.

ISO 27002 et la déclaration d'applicabilité

Qu'il s'agisse d'une certification indépendante ou simplement d'une conformité, lorsqu'ils sont associés aux directives complémentaires de la norme ISO 27002, les contrôles de l'Annexe A constituent une base positive sur laquelle s'appuyer pour toute organisation qui souhaite améliorer sa posture de sécurité des informations et exercer ses activités de manière plus sécurisée.

ISO 27002, est la norme complémentaire à la norme ISO 27001, fournit un code de bonnes pratiques et un aperçu utile des contrôles de sécurité de l'information et fournit ainsi un très bon catalogue d'objectifs de contrôle et de contrôles pour le traitement des risques ainsi que des conseils sur la manière de les mettre en œuvre.

Les mesures de sécurité (contrôles de l'annexe A) que vous déploierez pour gérer ces risques dépendront en réalité de votre organisation, de son appétit pour le risque et de sa portée, ainsi que de la législation applicable. Mais quoi qu’il en soit, il doit être présenté dans la déclaration d’applicabilité si vous souhaitez obtenir une certification ISO 27001 !

Quelles informations doivent être incluses dans la SoA ?

Résumons donc quelles informations doivent être incluses au minimum pour la SoA.

• Une liste des 114 contrôles de l’Annexe A
• Que le contrôle soit mis en œuvre ou non
• Justification de son inclusion ou de son exclusion
• Une brève description de la manière dont chaque contrôle applicable est mis en œuvre, avec référence à la politique et au contrôle qui le décrivent de manière détaillée

Comme mentionné ci-dessus, la SoA est une fenêtre sur le SMSI de l'organisation. Si vous ne parvenez pas à montrer comment cette fenêtre s'ouvre sur la profondeur et la nature connectée du système de gestion de la sécurité de l'information, cela peut créer des problèmes. Imaginez la situation où l'auditeur se présente et que la feuille de calcul montrant les 114 contrôles est bien obsolète par rapport aux contrôles de gestion réels en place.

L'une des raisons les plus courantes d'échec d'un audit ISO 27001 est que l'auditeur n'est pas en mesure de faire confiance à l'administration du SMSI et que la documentation est mal gérée ou manquante. Le fait de disposer d'un « document » SoA autonome plutôt que d'une documentation intégrée et automatisée d'une SoA augmente ce risque.

Comment créer la déclaration d’applicabilité ?

Tant que la SoA contient les bonnes informations, qu'elle est exacte et à jour, vous pouvez la créer à partir de papier, de feuilles de calcul, de documents ou de systèmes professionnels qui l'automatisent dans le cadre de leur capacité GRC (gouvernance, réglementation et conformité) plus large. .

Dans un monde idéal, votre SoA ne changera pratiquement pas (notamment parce que les organismes de certification peuvent facturer les changements de version de la SoA). Cependant, ce qui se trouve sous la SoA, c'est-à-dire le cœur battant du SMSI lui-même, doit être dynamique en tant que représentation vivante de l'évolution de votre paysage de sécurité de l'information.

La SoA doit être revue lorsque vos politiques et contrôles sont révisés (au moins une fois par an), afin qu'elle continue de bénéficier d'un processus efficace compte tenu des 114 contrôles à prendre en compte.

Créer une feuille de calcul avec les contrôles comme liste de contrôle est un jeu d’enfant et assez rapide à faire. Cependant, faire cela avec la certitude que tous les travaux antérieurs de planification et de mise en œuvre de la sécurité de l'information autour des actifs, des risques et des contrôles ont été effectués dans le bon ordre et exprimés sous la forme d'un résumé de la SoA n'est pas aussi simple. Un auditeur voudra voir ce qui se trouve sous la simple ligne supérieure de 114 lignes dans une feuille de calcul.

Autrefois, présenter la SoA sous la forme d'un document détaillé de 200 pages impliquait vraiment beaucoup de travail, notamment pour le maintenir à jour à mesure que les politiques et les contrôles évoluaient. Il existe désormais des moyens bien meilleurs et plus simples d'automatiser la SoA et de tirer parti du travail acharné déjà effectué dans d'autres parties du SMSI.

Comment gagner du temps lors de la rédaction de votre déclaration d'applicabilité

La mise en place d'une SoA prend généralement beaucoup de temps à une organisation en raison de ce qui la guide. Si l’on réfléchit aux étapes impliquées dans sa création et au travail nécessaire pour cela, ce n’est pas étonnant :

• Tenir compte des enjeux, des parties intéressées et de la portée du SMSI
• Identifier les actifs informationnels et les installations et appareils de traitement à risque
• Évaluer et évaluer les risques associés à la sécurité des informations en utilisant les critères de confidentialité, d'intégrité et de disponibilité
• Évaluez ces risques, puis décidez lesquels des 114 contrôles de l’annexe A sont nécessaires.
• Comprendre et évaluer la législation applicable (et toutes les obligations contractuelles clés des clients puissants) pour mettre en évidence d'autres domaines de contrôle
• Décider de la manière de mettre en œuvre le contrôle en termes de politique, de procédure, de personnes, de technologie, etc.
• Créez ensuite le document SoA lui-même avec ces justifications sur l'applicabilité étant claires
• Idéalement, établir un lien avec les détails du contrôle, les risques et les actifs pour montrer que le SMSI fonctionne
• Et gérez-le de manière continue.

  Le SoA est une partie petite mais très importante d’un SMSI très complet. Bien réalisé, cela permettra à l’organisation de réussir ses audits et de renforcer la confiance des clients intelligents et des autres parties prenantes. Mal faite, une telle démarche perturberait et retarderait presque certainement le délai d'obtention de la certification et pourrait entraîner une perte d'activité ou des opportunités futures en raison de l'échec de l'obtention ou du maintien de la certification.

Accélérez le processus SoA avec ISMS.online

ISMS.online est un système complet de gestion de la sécurité de l'information qui, entre autres choses, facilite l'administration et la gestion de vos actifs informationnels, de vos risques, de vos politiques et de vos contrôles, le tout en un seul endroit.

Cela signifie également que la création de la SoA peut être automatisée et présentée de manière simple et efficace. Par conséquent, en plus d’autres avantages, comme le fait de gagner moins de temps pour obtenir la certification ISO 27001, cela accélère également le parcours de certification ISO.

Concentrez votre énergie sur la gestion de votre entreprise comme vous le souhaitez et consacrez du temps à ce que vous devez réaliser pour réussir, sans vous soucier de la manière de le faire. ISMS.online facilite grandement la réalisation de votre travail, y compris la SoA, à une fraction du coût et du temps des alternatives.