Vous trouverez ci-dessous les exigences fondamentales de la norme ISO 27001:2013. Si vous recherchez la version mise à jour
Pour connaître les exigences fondamentales de la norme ISO 27001:2022, veuillez cliquer sur le bouton ci-dessous.
Qu’implique l’article 5.3 ?
Tout simplement, la norme ISO 27001 cherche à clarifier et à se concentrer sur les éléments clés du SMSI : qui est responsable de l'ensemble, qui est responsable de certaines parties, toutes les bonnes et logiques pratiques commerciales. Vous devez démontrer que certains rôles (pas nécessairement des personnes) existent, ont été nommés par la haute direction et qu'ils sont communiqués aux parties intéressées concernées et clairement documentés afin qu'il n'y ait aucune ambiguïté. L'exigence ici est d'un niveau assez élevé et est facile à documenter, et s'adapte également à d'autres parties du système de gestion de la sécurité de l'information, par exemple les propriétaires des risques de sécurité dans 6.1, les propriétaires d'objectifs info sec dans 6.2, etc.
Ainsi, une personne peut assumer plus d'un rôle et vous pouvez unifier le travail, par exemple en ayant un conseil d'administration qui supervise tout pour aider à démontrer les évaluations de direction conformément à 9.3 et à rejoindre totalement le système de gestion de la sécurité de l'information. Expliquez simplement qui est responsable de quoi. Pensez aux rôles en pensant aux parties intéressées ainsi qu’à la prestation pratique. Par exemple, le rôle de RSSI (Chief Information Security Officer) pourrait impliquer auprès de vos clients que vous prenez la sécurité des informations au sérieux et cela pourrait être effectué par un cadre supérieur en plus de son travail quotidien, ou si dans une organisation plus grande, cela pourrait être un rôle à part entière. -un rôle temporel à part entière.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Vous pouvez également choisir d'avoir un TISO (Technical Information Security Officer), ou équivalent, qui serait plus technique et capable de se concentrer sur ces aspects du SMSI si les autres rôles sont assumés par des personnes plus commerciales/stratégiques. Voir l'annexe A 6.1.1 (sur l'organisation de la sécurité de l'information) et assurez-vous d'aligner cette exigence avec ce contrôle de l'annexe A.
La norme ISO 27001 cherche spécifiquement à clarifier les rôles et responsabilités pour :
- S'assurer que le système de gestion de la sécurité de l'information est conforme aux exigences de l'Organisation internationale de normalisation
- Le reporting des performances du SMSI (ce qui est beaucoup plus facile quand tout est au même endroit)
Il est possible qu'un cadre supérieur soit responsable du SMSI dans le cadre de l'engagement de la direction en matière de sécurité de l'information (5.1), mais il peut bien sûr en déléguer la gestion à d'autres personnes de l'organisation ou en sous-traiter la gestion à des spécialistes comme le RSSI virtuel, que de nombreux partenaires d'ISMS.online proposent. N'oubliez pas de documenter ces informations !
Simplifiez-vous les choses avec ISMS.online
La plateforme ISMS.online permet à la haute direction d'établir facilement une politique de sécurité de l'information cohérente avec l'objectif et le contexte de l'organisation.
Votre SMSI comprendra une politique de sécurité des informations prédéfinie qui pourra facilement être adaptée à votre organisation. Cette politique sert de cadre pour revoir les objectifs et comprend des engagements pour satisfaire à toutes les exigences applicables et améliorer continuellement le système de gestion. Cette politique peut facilement être partagée avec les parties intéressées et soumise à des appels d'offres ou à d'autres communications externes.
