Vous trouverez ci-dessous les exigences fondamentales de la norme ISO 27001:2013. Si vous recherchez la version mise à jour
Pour connaître les exigences fondamentales de la norme ISO 27001:2022, veuillez cliquer sur le bouton ci-dessous.
Qu’implique l’article 7.5 ?
L'une des principales exigences de la norme ISO 27001 est donc de décrire votre système de gestion de la sécurité de l'information, puis de démontrer comment les résultats escomptés sont atteints pour l'organisation. Il est extrêmement important que tout ce qui concerne le SMSI soit documenté, bien entretenu et facile à trouver si l'organisation souhaite obtenir une certification ISO 27001 indépendante auprès d'un organisme comme l'UKAS.
La clause 27001 de la norme ISO 7.5 se décompose comme suit :
Article 7.5.1 – Documentation générale pour l'ISO 27001
Le SMSI doit clairement inclure :
- Une description de la manière dont il répond aux exigences essentielles de 4.1 à 10.2, y compris l'évaluation et le traitement des risques qui conduisent à la sélection des contrôles de l'Annexe A.
- Les contrôles pertinents de l’Annexe A qui font partie de la déclaration d’applicabilité – ce qui signifie effectivement que vous devez avoir tous les contrôles répertoriés. Même si une organisation décide qu'un contrôle n'est pas pertinent, elle doit le documenter, par exemple si elle n'a pas besoin de zones de livraison et de chargement dans l'annexe A 11.1.6 parce qu'il s'agit d'une activité purement numérique, elle doit alors montrer à l'auditeur qu'elle a considéré qu’il n’y a aucun risque et qu’il n’est pas nécessaire de procéder à ce contrôle.
Article 7.5.2 – Création et mise à jour des informations documentées pour l'ISO 27001
ISO 27001 recherche la clarté dans la documentation, en recherchant l'identification et la description, le format, la révision et l'approbation de l'adéquation et de l'adéquation à son objectif. Il est facile de passer à côté des nuances de ces exigences, mais en pratique, cela signifie prendre en compte l'auteur, la date, le titre, la référence, etc., et ce processus d'approbation est également très important pour correspondre à l'annexe A 5.1.2 décrite ci-dessous.
Article 7.5.3 – Contrôle des informations documentées pour l'ISO 27001
Au cœur du SMSI se trouve le principe de confidentialité, d’intégrité et de disponibilité des informations. Il en va de même pour le SMSI lui-même : il doit être disponible en cas de besoin et protégé de manière adéquate contre la perte de confidentialité, l'utilisation non autorisée ou la compromission potentielle de l'intégrité.
Le simple fait de vider le contenu du SMSI sur le disque partagé de l'équipe et de le laisser de manière incontrôlée ou avec des autorisations d'accès inefficaces entraînerait presque certainement des problèmes pour l'organisation lors d'un audit. De même, le laisser sur un disque personnel inaccessible à ceux qui ont besoin de connaître le SMSI serait également un problème, il faut donc prendre en compte de nombreux domaines pour un contrôle efficace. L'ISO recherche une organisation pour aborder les aspects suivants :
- Clarté du partage et de la distribution, contrôles de l'accès à tout ou partie du SMSI – en gardant à l'esprit que les autorisations d'accès pour la lecture, la mise à jour, l'approbation, la suppression, etc. peuvent devoir différer en fonction du rôle de la partie prenante.
- stockage et préservation, y compris le contrôle des modifications (affichage des anciennes versions, des approbations historiques, etc.)
- la conservation et l’élimination doivent également être prises en considération
Cette exigence s'aligne également sur l'examen régulier des politiques mises en évidence dans l'annexe A.5.1.2 également évoquée ci-dessous.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Combien faut-il écrire pour que la documentation du SMSI soit considérée comme acceptable par un auditeur ?
Une question souvent posée à propos de la documentation de gestion de la sécurité de l'information est « quelle est la quantité suffisante ? ». La réponse courte est qu’il s’agit de qualité et non de quantité. Tant que l'organisation se conforme aux exigences résumées ci-dessous et peut démontrer qu'elle n'a pas besoin d'une longue documentation détaillée, l'auditeur en tiendra sans aucun doute compte lors d'un audit - par exemple parce qu'il s'agit d'une petite organisation avec peu de participants autour du SMSI. , stable, clair, bien entretenu et simple à utiliser.
La documentation relative au système de gestion de la sécurité de l'information est-elle des « documents de style Word » ou d'autres formes de contenu sont-elles autorisées ?
Les questions sur le type de documentation attendu sont l'une des autres questions fréquemment posées concernant la documentation de la clause 7.5 pour le système de gestion de la sécurité de l'information. En fait, la norme ISO 27001 indique clairement dans sa note annexe la clause 7.5.1 :
« L'étendue des informations documentées pour un système de gestion de la sécurité de l'information peut différer d'une organisation à l'autre en raison de : »
- la taille de l'organisation et son type d'activités, de processus, de produits et de services ;
- la complexité des processus et de leurs interactions ; et
- la compétence des personnes.
Un certain nombre de fournisseurs de « boîtes à outils » de documentation sur la sécurité de l'information ISO 27001 ont perpétué le mythe selon lequel les informations documentées pour un SMSI doivent être des documents Word et des feuilles de calcul Excel. Il est clair que ces documents peuvent avoir leur place dans un SMSI (par exemple lorsque des images ou des processus complexes doivent également être communiqués), mais doivent être utilisés avec parcimonie compte tenu de l'avènement de meilleurs outils en ligne.
Les services en ligne comme ISMS.online facilitent la gestion des documents de manière plus traditionnelle et offrent des moyens plus efficaces de gestion documentaire, permettant un meilleur contrôle et une meilleure coordination, de meilleures modalités de partage et de publication, et simplifiant considérablement le processus de gestion documentaire conformément aux exigences de la clause 7.5 ci-dessous. Fini le temps perdu à envoyer des documents par e-mail indiquant toutes les modifications de version et les approbations !
Rejoindre 7.5 avec les contrôles de l'annexe A
Si l’on considère que les exigences de la clause 7.5 concordent également avec les objectifs de contrôle des annexes, il est encore plus logique de penser à un système de gestion intégré et bien coordonné au lieu de documents démodés et de disques partagés pour le stockage. Voici des exemples de liens entre la clause 7.5 et les contrôles de l'annexe A :
Annexe A 5.1.1
Outre leur définition, les politiques de sécurité de l'information doivent être approuvées par la direction, publiées et communiquées aux employés et aux parties prenantes externes concernées. Il est difficile de démontrer l'approbation des documents en tant que tels, et la publication de documents volumineux a peu de chances d'être assimilée ou comprise par les parties prenantes, même après leur communication (ce qui expose l'organisation à un risque de non-conformité et à une menace de perte par ignorance).
Annexe A 5.1.2
Révision des politiques de sécurité de l’information. La norme ISO 27001 stipule que les politiques doivent être révisées régulièrement à intervalles planifiés (ou si des changements importants surviennent) pour garantir leur adéquation continue. Les auditeurs ISO indépendants s’attendront à ce que cet examen soit effectué au moins une fois par an pour chaque politique.
Annexe A 18.2
Ce contrôle de l'Annexe A concerne les revues de sécurité de l'information et, s'il est bien exécuté, s'intègre parfaitement à la clause 7.5 relative à la gestion de la documentation d'un SMSI, y compris les revues indépendantes, les contrôles de conformité et, le cas échéant, la conformité technique. La revue, le contrôle des versions, l'affichage des mises à jour, puis l'approbation de documents obsolètes, alors qu'ils n'en ont pas besoin, peuvent considérablement ralentir les administrateurs du SMSI. Cela peut également retarder ou réduire l'engagement du personnel et entraîner des non-conformités.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Comment gérer la documentation dans votre SMSI ?
La clause 7.5 est facile à mal comprendre et à agiter, conduisant à un échec d'audit, ou peut-être à une ingénierie excessive d'une solution et à passer beaucoup trop de temps à construire une structure de système de gestion qui est trop difficile à maintenir au premier changement. Le planificateur d'analyse de rentabilisation ISMS.online examine les options de création ou d'achat, alors vérifiez-les si vous envisagez de créer votre propre solution.
Il est très difficile de répondre à toutes les exigences de la clause 7.5 et des contrôles de l'annexe A. C'est pourquoi de nombreuses organisations recherchent une solution logicielle SMSI sur mesure et souhaitent un logiciel présentant les caractéristiques d'ISMS.online.
Après tout, vous ne perdriez pas de temps à construire votre propre système CRM ou financier alors que d'autres ont déjà passé du temps à développer la bonne solution qui peut être livrée immédiatement pour une fraction du coût d'une solution DIY. ne fait pas partie des compétences de base de l'organisation.
ISMS.online propose une structure simple pour toute la documentation requise. Elle suit exactement la même structure que la norme elle-même, permettant à vous et à un auditeur d'accéder facilement et rapidement à la documentation requise. Elle intègre des rôles et des autorisations pour l'accès, la modification, l'approbation et le partage. Elle propose également un contrôle automatique des versions et des rappels pour les révisions. Nous sommes même allés plus loin en incluant une documentation sur les politiques et les contrôles, prête à l'emploi, que vous pouvez adopter, adapter et enrichir.
Utiliser la solution logicielle ISMS.online vous permettra de vous concentrer sur vos objectifs SMSI. ISMS.online simplifie l'administration : vous pouvez ainsi créer, contrôler, coordonner, gérer et partager facilement votre documentation avec les parties prenantes, notamment via des packs de politiques, ce qui renforce la confiance en matière de conformité de bout en bout. Elle vous fournit également tous les outils nécessaires pour exécuter les nombreux processus requis par la norme. C'est pourquoi nous qualifions les documents que nous fournissons de « pratiques ». Ils sont bien plus que de simples modèles de documents, vous permettant d'interpréter et de trouver le moyen de démontrer vos processus. ISMS.online est une solution SMSI complète et centralisée.
Obtenez une certification jusqu'à 5 fois plus rapidement avec ISMS.online
La conformité n'a pas besoin d'être compliquée : ISMS.online est conçu pour vous aider à obtenir la certification ISO 27001 rapidement et à moindre coût, sans aucune formation requise.
Nous avons rationalisé le processus ISO 27001 avec notre méthode de résultats garantis, une longueur d'avance de 80 %, votre propre coach virtuel 24h/7 et XNUMXj/XNUMX, une intégration facile et une assistance experte.
Réservez une démonstration de la plateforme pour voir comment ISMS.online peut aider votre entreprise.
