Exigences ISO 27001

1. Portée

La norme ISO 27001 couvre divers aspects de la gestion de la sécurité de l'information, notamment l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un SMSI dans le contexte d'une organisation. La norme est applicable aux organisations de tous types, tailles et natures.

Les exigences énoncées dans la norme ISO 27001 visent à garantir que les organisations disposent de mesures appropriées pour protéger leurs actifs informationnels. Ces exigences couvrent un large éventail de domaines.

2. Références normatives

La norme ISO 27001 elle-même est basée sur une approche de gestion des risques et fournit un cadre permettant aux organisations d'établir, de mettre en œuvre, de maintenir et d'améliorer continuellement un système de gestion de la sécurité de l'information (SMSI). Les références normatives de la norme ISO 27001 incluent plusieurs autres normes ISO/CEI qui fournissent des lignes directrices sur divers aspects de la gestion de la sécurité de l'information. Ceux-ci inclus:

• ISO/IEC 27000 : Cette norme est une référence normative dans la norme ISO 27001 et sert de vue d'ensemble et de vocabulaire pour les systèmes de gestion de la sécurité de l'information. Il définit les termes et concepts clés utilisés dans toute la famille de documents ISO 27000 et décrit le champ d'application et les objectifs de chaque membre de la famille.
• ISO/IEC 27002 : également connue sous le nom de Code de bonnes pratiques pour la gestion de la sécurité de l'information, cette norme fournit des conseils sur la sélection et la mise en œuvre des contrôles de sécurité. Il offre un ensemble complet de bonnes pratiques permettant aux organisations de protéger leurs actifs informationnels et de gérer efficacement les risques de sécurité.
• ISO/IEC 27005 : Cette norme se concentre sur la gestion des risques et fournit des conseils sur le processus d'évaluation des risques et le traitement des risques. Il aide les organisations à identifier et à évaluer les risques liés à la sécurité des informations, et à élaborer des plans de traitement des risques appropriés pour atténuer ces risques.
• ISO/IEC 27006 : Cette norme fournit des lignes directrices sur le processus de certification des systèmes de gestion de la sécurité de l'information. Il décrit les exigences imposées aux organismes de certification et aux auditeurs pour évaluer et certifier la conformité des organisations à la norme ISO 27001.
• ISO/IEC 27007 : ces lignes directrices sont spécifiquement conçues pour l'audit des systèmes de gestion de la sécurité de l'information. Ils fournissent des conseils sur le processus d'audit, y compris la planification, la réalisation et le reporting des audits, afin de garantir que le SMSI d'une organisation est efficacement mis en œuvre et maintenu.
• ISO/IEC 27008 : Ces lignes directrices se concentrent sur la gestion de la sécurité de l'information. Ils fournissent des conseils sur l’établissement, la mise en œuvre, la maintenance et l’amélioration continue du système de gestion de la sécurité de l’information au sein d’une organisation.

3. Termes et définitions

La section sur les termes et définitions a pour objectif de fournir une compréhension et un langage communs à toutes les parties impliquées dans la mise en œuvre de la norme.

4. Contexte de l'Organisation

4.1 – Comprendre l’organisation et son contexte

L'exigence 27001 de l'ISO 4.1 vise à garantir que les organisations ont une compréhension globale de leur environnement interne et externe afin de gérer efficacement leurs risques en matière de sécurité de l'information.

Cela implique d'identifier et d'évaluer les facteurs qui peuvent avoir un impact sur la capacité de l'organisation à atteindre ses objectifs en matière de sécurité de l'information.

En comprenant leur contexte interne et externe, les organisations peuvent identifier et évaluer les risques associés à leur système de gestion de la sécurité de l'information.

Cela leur permet de développer un système sur mesure et efficace qui atténue les risques identifiés et garantit le respect des lois et réglementations applicables.

4.2 – Comprendre les besoins et les attentes des parties intéressées

L'exigence 27001 de l'ISO 4.2 permet aux organisations d'identifier et de comprendre les besoins et les attentes de leurs parties prenantes. Cela inclut les clients, les fournisseurs, les employés, les actionnaires et autres parties intéressées.

L’objectif est de garantir que le système de gestion de la sécurité de l’information (ISMS) de l’organisation répond aux exigences de ces parties.

Pour répondre à cette exigence, les organisations doivent d’abord identifier leurs parties prenantes et comprendre leurs besoins et attentes spécifiques.

Cela implique de prendre en compte les exigences légales et réglementaires, les obligations contractuelles et d'autres questions externes et internes pertinentes par rapport à l'objectif de l'organisation et affectant sa capacité à atteindre le résultat escompté de son SMSI.

4.3 – Détermination de la portée du système de gestion de la sécurité de l’information

L'exigence 27001 de la norme ISO 4.3 définit les limites et l'étendue du système de gestion de la sécurité de l'information (ISMS) de l'organisation.

Cela implique d'identifier et de documenter les actifs informationnels, les processus, les procédures, les personnes, les systèmes et les réseaux qui sont inclus dans le champ d'application du SMSI.

Le champ d'application doit englober tous les actifs informationnels de l'organisation, tant physiques que numériques, ainsi que les processus et procédures utilisés pour les gérer.

4.4 – Système de gestion de la sécurité de l’information

L'exigence 27001 de l'ISO 4.4 décrit les éléments nécessaires à l'établissement, à la mise en œuvre, à la maintenance et à l'amélioration continue d'un système de gestion de la sécurité de l'information (SMSI).

Le SMSI est conçu pour garantir la sécurité des informations et des données, ainsi que pour protéger les droits et libertés des individus.

La norme ISO 27001 fournit un ensemble complet d'exigences pour établir et maintenir un SMSI efficace qui protège la confidentialité, l'intégrité et la disponibilité des informations.

5. Direction

5.1 – Leadership et engagement

L'exigence 27001 de l'ISO 5.1 explique que la haute direction de l'organisation doit faire preuve de leadership et d'engagement envers le système de gestion de la sécurité de l'information (SMSI). Cela implique plusieurs responsabilités clés.

La direction doit surveiller et évaluer le SMSI pour garantir son efficacité. Cela implique de mener des audits internes et de prendre les mesures correctives nécessaires pour remédier à toute faiblesse ou non-conformité identifiée.

5.2 – Politique de sécurité des informations

L'exigence 27001 de la norme ISO 5.2 exige que les organisations disposent d'une politique de sécurité de l'information approuvée par la haute direction.

Cette politique sert de ligne directrice pour gérer la sécurité des informations de l'organisation et doit prendre en compte divers facteurs tels que la stratégie commerciale, les réglementations, la législation ainsi que les risques et menaces actuels et projetés en matière de sécurité des informations.

Il devrait couvrir des domaines tels que le transfert d'informations, la configuration et la gestion sécurisées des terminaux des utilisateurs, la sécurité des réseaux, la gestion des incidents de sécurité de l'information, la sauvegarde, la cryptographie et la gestion des clés, la classification et la gestion des informations, la gestion des vulnérabilités techniques et le développement sécurisé.

5.3 – Rôles organisationnels, responsabilités et autorités

L'exigence 27001 de la norme ISO 5.3 décrit l'exigence pour les organisations de définir et d'attribuer des rôles, des responsabilités et des autorités liés à la sécurité de l'information.

Ceci est crucial pour garantir que tous les individus et groupes au sein de l’organisation sont conscients de leurs rôles et responsabilités spécifiques en matière de sécurité de l’information.

Le document souligne la nécessité d'une séparation des tâches, ce qui signifie que différents individus ou groupes devraient être responsables de différents aspects de la sécurité de l'information.

Cela permet d'éviter qu'une seule personne ait un contrôle excessif sur la sécurité des informations de l'organisation. En outre, le document exige que les organisations veillent à ce que le personnel soit correctement formé et possède les compétences nécessaires pour remplir ses rôles et responsabilités.

6. Planification

6.1 – Actions pour faire face aux risques et aux opportunités

L'exigence 27001 de la norme ISO 6.1 vise à garantir que les organisations identifient, évaluent, traitent et surveillent les risques et opportunités en matière de sécurité de l'information.

Cela implique une approche systématique de la gestion des risques et la prise de mesures appropriées pour les atténuer.

Cette exigence souligne l'importance d'une approche proactive et globale de la gestion des risques liés à la sécurité de l'information afin de protéger les données personnelles et de garantir l'intégrité et la disponibilité des systèmes d'information.

6.2 – Objectifs de sécurité de l’information et planification pour les atteindre

L'exigence 27001 de la norme ISO 6.2 exige que les organisations établissent des objectifs de sécurité de l'information et élaborent un plan pour les atteindre.

Ces objectifs doivent être spécifiques, mesurables, réalisables, pertinents et limités dans le temps (SMART) et doivent s'aligner sur les objectifs commerciaux globaux de l'organisation. Le plan doit décrire les étapes, les ressources et le calendrier nécessaires pour atteindre les objectifs souhaités.

Un examen régulier des objectifs et des plans de sécurité de l’information est nécessaire pour garantir leur pertinence et leur efficacité. Tout changement dans l'organisation doit être pris en compte et intégré aux plans si nécessaire.

7. Assistance

7.1 – Ressources

L'exigence 27001 de l'ISO 7.1 garantit qu'une organisation dispose des ressources nécessaires pour maintenir la sécurité de ses systèmes d'information.

Cela comprend l'identification et la documentation du personnel, du matériel, des logiciels et des autres ressources nécessaires à la sécurité des informations.

L'organisation doit s'assurer que ces ressources sont disponibles et accessibles en cas de besoin.

Comme décrit précédemment avec l'Exigence 5.3, la norme ISO 27001 n'exige pas réellement que le SMSI soit doté de ressources à temps plein, mais simplement que les rôles, les responsabilités et les autorités soient clairement définis et détenus - en supposant que le bon niveau de ressources sera appliqué en tant que tel. requis.

7.2 – Compétence

L'exigence 27001 de l'ISO/IEC 7.2 décrit comment l'organisation s'assurera qu'elle a :

• Déterminer la compétence des personnes effectuant le travail sur le SMSI qui pourrait affecter ses performances.
• Personnes jugées compétentes sur la base de l’éducation, de la formation ou de l’expérience pertinente.
• Le cas échéant, prendre des mesures pour acquérir les compétences nécessaires et évaluer l'efficacité des actions.
• Conservé les preuves de ce qui précède à des fins d’audit.

En s'assurant que le personnel est compétent, les organisations peuvent gérer efficacement leurs performances en matière de sécurité des informations et protéger les données personnelles.

En savoir plus sur la version 7.2

7.3 - Sensibilisation

L'exigence 27001 de la norme ISO 7.3 stipule que les organisations doivent s'assurer que tout le personnel est conscient de l'importance de la sécurité de l'information ainsi que de ses rôles et responsabilités dans sa maintenance.

Cela comprend la fourniture d'une formation et d'un enseignement sur des sujets liés à la sécurité de l'information, en veillant à ce que le personnel comprenne les politiques et procédures de sécurité de l'organisation, ainsi que les conséquences de leur non-respect.

La norme ISO 27001 cherche à confirmer que les personnes effectuant le travail sont conscientes de :

• La politique de sécurité de l’information.
• Leur contribution à l’efficacité du SMSI, notamment grâce à ses performances améliorées.
• Que se passe-t-il lorsque le système de gestion de la sécurité de l'information n'est pas conforme à ses exigences.

En s'assurant que le personnel est compétent, les organisations peuvent gérer efficacement leurs performances en matière de sécurité des informations et protéger les données personnelles.

En savoir plus sur la version 7.3

7.4 – Communications

L'exigence 27001 de l'ISO 7.4 se concentre sur la nécessité pour les organisations d'établir des pratiques de communication efficaces pour garantir que les objectifs de sécurité de l'information sont atteints. Cela comprend la communication avec les parties prenantes concernées, le commissaire en cas de violation de données personnelles et entre toutes les parties impliquées.

L'exigence 27001 de l'ISO 7.4 recherche les éléments suivants :

• Que communiquer sur le SMSI.
• Quand cela sera communiqué.
• Qui fera partie de cette communication.
• Qui fait la communication.
• Comment tout cela se produit, c'est-à-dire quels systèmes et processus seront utilisés pour démontrer que cela se produit et est efficace

7.5 – Informations documentées

L'exigence 27001 de l'ISO 7.5 pour l'ISO 27001 vous demande de décrire votre système de gestion de la sécurité de l'information, puis de démontrer comment les résultats escomptés sont atteints pour l'organisation.

Il est extrêmement important que tout ce qui concerne le SMSI soit documenté et bien entretenu, facile à trouver, si l'organisation souhaite obtenir une certification ISO 27001 indépendante d'un organisme comme l'UKAS.

Les auditeurs certifiés ISO tirent une grande confiance de la bonne gestion et de la maintenance d’un système de gestion de la sécurité de l’information bien structuré.

8. Opération

8.1 – Planification et contrôle opérationnels

L'exigence 27001 de l'ISO 8.1 vise à assurer la sécurité des informations d'une organisation en planifiant et en contrôlant ses opérations.

Cela implique d'identifier et d'évaluer les risques associés aux opérations de l'organisation et de mettre en œuvre des contrôles de sécurité appropriés pour atténuer ces risques.

L'organisation doit également élaborer et mettre en œuvre des politiques et des procédures pour protéger ses informations contre tout accès, utilisation, divulgation, modification ou destruction non autorisés.

Il est très facile de démontrer cette exigence si l'organisation a déjà « montré son fonctionnement ». En développant le système de gestion de la sécurité de l'information pour se conformer aux exigences 6.1, 6.2 et en particulier 7.5 où l'ensemble du SMSI est bien structuré et documenté, cela atteint également 8.1 en même temps.

8.2 – Évaluation des risques liés à la sécurité de l’information

L'exigence 27001 de la norme ISO 8.2 exige que les organisations effectuent une évaluation des risques liés à la sécurité de l'information (ISRA) à intervalles planifiés ou lorsque des changements importants se produisent.

Le but de cette exigence est de garantir que les organisations sont conscientes des risques potentiels pour leur système de gestion de la sécurité de l'information et peuvent prendre les mesures nécessaires pour les atténuer.

Le processus implique l'identification, l'évaluation et la gestion des risques pour les actifs informationnels de l'organisation. Cela comprend l'analyse des actifs informationnels de l'organisation, l'identification des menaces et des vulnérabilités associées à ces actifs et l'évaluation de l'impact potentiel d'une faille de sécurité.

8.3 – Traitement des risques liés à la sécurité de l’information

L'exigence 27001 de la norme ISO 8.3 décrit l'obligation pour les organisations d'identifier, d'évaluer et de traiter les risques liés à la sécurité de l'information.

Cela implique d'identifier et d'évaluer les risques associés au traitement des données personnelles et de mettre en œuvre des mesures de sécurité appropriées pour atténuer ces risques. Ces mesures peuvent inclure le contrôle d'accès, le cryptage et la sauvegarde des données.

Les organisations doivent s'assurer que tous les processus, produits ou services fournis en externe et pertinents pour le système de gestion de la sécurité de l'information sont contrôlés. Des informations documentées sur les résultats du traitement des risques liés à la sécurité de l’information doivent également être conservées.

9. Évaluation des performances

9.1 – Suivi, mesure, analyse et évaluation

L'exigence 27001 de la norme ISO 9.1 exige que les organisations évaluent les performances du SMSI et examinent l'efficacité du système de gestion de la sécurité de l'information.

Si l'organisation cherche à obtenir la certification ISO 27001, l'auditeur indépendant travaillant dans un organisme de certification associé à l'UKAS (ou un organisme accrédité similaire au niveau international pour la certification ISO) examinera de près les domaines suivants :

• Ce qu'il a décidé de surveiller et de mesurer, ce ne sont pas seulement les objectifs, mais également les processus et les contrôles.
• Comment il garantira des résultats valides dans la mesure, le suivi, l’analyse et l’évaluation.
• Quand ces mesures, ce suivi, cette évaluation et cette analyse ont lieu et qui les effectue.
• Comment les résultats sont utilisés.

Comme tout le reste avec les normes ISO/CEI, y compris ISO 27001, les informations documentées sont essentielles – donc les décrire puis démontrer qu'elles se produisent est la clé du succès !

9.2 – Audit interne

L'exigence 9.2 de la norme ISO 27001 stipule qu'une organisation doit effectuer des audits internes à intervalles planifiés pour fournir des informations indiquant si le système de gestion de la sécurité de l'information :

• Se conforme aux propres exigences de l'organisation pour son système de gestion de la sécurité de l'information ; et répond aux exigences de la norme internationale ISO 27001.
• Si le SMSI est efficacement mis en œuvre et maintenu.

Cette exigence garantit que les organisations évaluent et améliorent régulièrement leur système de gestion de la sécurité de l’information afin de protéger leurs actifs informationnels et d’atteindre leurs objectifs de sécurité.

9.3 – Revue de direction

L'exigence 27001 de l'ISO 9.3 exige que les organisations effectuent régulièrement des revues de direction pour garantir l'adéquation, l'adéquation et l'efficacité continues de leur système de gestion de la sécurité de l'information.

Ces examens doivent être menés à intervalles planifiés, au moins une fois par an, et doivent impliquer la haute direction ou un représentant désigné.

L'objectif de la revue de direction est d'évaluer les politiques, procédures et contrôles de sécurité de l'information de l'organisation, ainsi que ses processus d'évaluation et de gestion des risques.

Cela implique également d'évaluer la conformité de l'organisation aux lois et réglementations applicables.

Au cours de l'examen, l'organisation doit évaluer l'efficacité de son système de gestion de la sécurité de l'information et identifier tout changement nécessaire pour garantir la conformité à la norme ISO 27001. L'examen doit également prendre en compte la performance de l'organisation dans la réalisation de ses objectifs en matière de sécurité de l'information.

10. Amélioration

10.1 – Non-conformité et actions correctives

L'exigence 27001 de la norme ISO 10.1 stipule que les organisations doivent établir un processus pour identifier, documenter et traiter tout écart par rapport à la norme ISO 27001, appelé non-conformité.

Les non-conformités peuvent inclure le non-respect des exigences de la norme, des déficiences dans le système de gestion de la sécurité de l'information ou tout autre problème pouvant conduire à une faille de sécurité.

Lorsqu'une non-conformité est identifiée, l'organisation doit prendre des mesures correctives pour y remédier. L'action corrective doit être adaptée à la gravité de la non-conformité et conçue pour éviter que des problèmes similaires ne se reproduisent à l'avenir.

L'efficacité de l'action corrective doit être revue régulièrement pour garantir que la non-conformité ne se reproduise pas.

10.2 – Amélioration continue

L'exigence 27001 de la norme ISO 10.2 stipule que les organisations doivent continuellement améliorer leur système de gestion de la sécurité de l'information (ISMS).

Cela signifie que les organisations doivent régulièrement revoir et mettre à jour leur SMSI pour garantir son efficacité et son alignement avec les objectifs de l'organisation, les exigences légales et réglementaires et la norme ISO 27001.

Le processus d'amélioration continue doit être surveillé et examiné pour garantir son efficacité, et tous les changements nécessaires doivent être apportés pour améliorer la pertinence, l'adéquation et l'efficacité du SMSI.