Qu'est-ce qu'une déclaration d'applicabilité ?
En termes simples, dans sa quête de protection des actifs informationnels précieux et de gestion des installations de traitement de l'information, la SoA indique quels contrôles et politiques ISO 27001 sont appliqués par l'organisation. Il se compare au contrôle de l'Annexe A défini dans la norme ISO 27001 (décrit à la fin de ce document de normes ISO comme objectifs et contrôles de contrôle de référence).
La déclaration d'applicabilité se trouve dans le 6.1.3 des principales exigences de la norme ISO 27001, qui fait partie du 6.1 plus large, axé sur les actions visant à faire face aux risques et aux opportunités.
La SoA fait donc partie intégrante de la documentation obligatoire ISO 27001 qui doit être présentée à un auditeur externe lorsque le SMSI fait l'objet d'un audit indépendant, par exemple par un organisme de certification d'audit UKAS.
À qui s’applique la norme ISO 27001 ?
La norme ISO 27001 s'applique à tous les types et toutes les tailles d'organisations, y compris les entreprises publiques et privées, les organismes gouvernementaux et les organisations à but non lucratif. Le point commun, quels que soient la taille, le type, la géographie ou le secteur d'activité de l'organisation, est qu'elle vise à démontrer les meilleures pratiques en matière de gestion de la sécurité de l'information. Bien entendu, ces bonnes pratiques peuvent être interprétées différemment.
La norme ISO vise à développer un système de gestion des risques liés à la sécurité de l'information. Ainsi, en fonction de l'appétence des dirigeants de l'organisation pour le risque informationnel et de l'étendue des actifs pour gérer les risques, les contrôles et les politiques appliqués peuvent varier considérablement d'une organisation à l'autre, tout en répondant aux objectifs de contrôle ISO 27001.
Ce qui est clair cependant, c'est que l'obtention de la certification ISO 27001 grâce à un audit indépendant réalisé par un organisme de certification ISO agréé signifiera que l'organisation a atteint un niveau de contrôle reconnu (meilleures pratiques en tant que norme) pour les actifs informationnels et les installations de traitement.
La certification ISO 27001 donne aux parties intéressées, telles que les clients puissants et les prospects, un niveau de confiance plus élevé que les méthodes auto-développées ou les normes alternatives qui ne bénéficient pas du même audit indépendant ou de la même reconnaissance internationale.
Obtenez votre guide pour
Succès ISO 27001
Tout ce que vous devez savoir pour obtenir la norme ISO 27001 du premier coup
Obtenez votre guide gratuitPourquoi la SoA est-elle importante ?
Avec le champ d'application du système de gestion de la sécurité de l'information (4.3 de la norme ISO 27001), la SoA fournit une fenêtre récapitulative des contrôles utilisés par l'organisation. La SoA est une exigence essentielle pour obtenir la certification ISO du SMSI et, avec la portée, elle sera l'une des premières choses qu'un auditeur recherchera dans son travail d'audit.
Cette documentation devra être disponible pour examen lors de l'audit de certification de l'étape 1, mais elle ne sera approfondie que lors de l'audit de l'étape 2, lorsque l'auditeur testera certains des contrôles ISO 27001 et s'assurera qu'ils non seulement décrivent, mais démontrent de manière adéquate. les objectifs de contrôle sont atteints.
L'auditeur examinera l'inventaire des actifs informationnels, considérera les risques, leur évaluation et leur traitement, et recherchera des preuves matérielles que l'organisation a mis en œuvre de manière satisfaisante les contrôles qu'elle prétend pour gérer le risque.
La SoA et la portée couvriront les produits et services de l'organisation, ses actifs informationnels, ses installations de traitement, ses systèmes utilisés, les personnes impliquées et les processus métier, qu'il s'agisse d'une entreprise virtuelle individuelle ou d'une opération internationale multisite avec des milliers d'employés.
Les clients instruits et puissants présentant un risque informationnel important (par exemple en raison du RGPD ou d'autres actifs d'informations commerciales) peuvent vouloir consulter le champ d'application et la SoA avant d'acheter auprès d'un fournisseur, pour s'assurer que la certification ISO couvre effectivement les domaines de l'entreprise impliqués dans leur actifs.
Il ne sert à rien d'avoir une certification ISO avec un Scope et un SoA pour un siège social au Royaume-Uni lorsque le risque réel lié au traitement de l'information se déroule dans un bâtiment offshore avec des ressources hors de portée ! C'est en fait l'une des raisons pour lesquelles les organismes de certification encouragent désormais les domaines d'application « de l'organisation entière », ce qui bien sûr peut signifier qu'une déclaration d'applicabilité beaucoup plus large et plus approfondie est requise.
En résumé, une SoA bien présentée et facile à comprendre montre la relation entre les contrôles applicables et mis en œuvre de l'Annexe A, compte tenu des risques et des actifs informationnels concernés. Cela donnera une grande confiance à un auditeur ou à toute autre partie intéressée sur le fait que l'organisation prend la gestion de la sécurité de l'information au sérieux, surtout si tout cela est intégré dans un système de gestion de la sécurité de l'information holistique.
Qu'est-ce que l'Annexe A ISO 27001 ?
L'Annexe A de la norme ISO 27001 est un catalogue des objectifs et des contrôles de contrôle de sécurité de l'information qui doivent être pris en compte lors de la mise en œuvre de la norme ISO 27001. Le terme technique utilisé pour l'ISO concerne la « justification » du contrôle. La SoA indiquera si le contrôle de l'Annexe A est :
- Applicable et implémenté comme contrôle maintenant
- Applicable mais non mis en œuvre en tant que contrôle (par exemple, cela pourrait faire partie d'une amélioration pour le futur et capturé dans 10.2 dans le cadre d'une amélioration, ou la direction est prête à tolérer le risque compte tenu de ses autres priorités de contrôle mises en œuvre)
- Sans objet (notez que si quelque chose est considéré comme non applicable, l'auditeur cherchera à comprendre pourquoi il en est ainsi et un enregistrement documenté doit également être conservé à ce sujet dans la SoA).
Les contrôles doivent être revus et régulièrement mis à jour au cours du cycle de vie de 3 ans de la certification ISO. Cela fait partie de la philosophie d’amélioration continue de la gestion de la sécurité de l’information intégrée dans la norme. Compte tenu du rythme croissant de croissance de la cybercriminalité, la cybersécurité évolue également rapidement, de sorte que moins qu'un examen annuel des contrôles pourrait potentiellement accroître l'exposition aux menaces de l'organisation.
Combien de contrôles existe-t-il dans la norme ISO:27001 ?
Les contrôles de l'annexe A de la norme ISO 27001:2022 ont été restructurés, consolidés et modernisés. Les 93 contrôles (contre 114 en 2013) sont désormais classés en quatre groupes de contrôle clés, au lieu des 14 domaines de la version précédente.
1. Contrôles organisationnels (37 contrôles)
Ce qu'il couvre :
Ces contrôles se concentrent sur la gouvernance, la gestion des risques, la sécurité opérationnelle et la conformité.
Pourquoi cette catégorie a été fusionnée et mise à jour :
- Conformité et gestion des risques simplifiées – Auparavant, les contrôles liés à la conformité étaient dispersés dans plusieurs domaines (par exemple, A.18 – Conformité et A.6 – Organisation de la sécurité de l’information).
- Focus sur la gouvernance de la sécurité moderne – L’évaluation des risques, la veille sur les menaces et la sécurité des fournisseurs sont désormais unifiées sous cette catégorie pour s’aligner sur l’évolution des pratiques commerciales.
- Meilleure intégration avec la norme ISO 31000 (gestion des risques) – Aide les organisations à aligner les méthodologies d’évaluation et de traitement des risques sur les normes mondiales.
Contrôles clés dans cette catégorie :
- A.5.7 – Threat Intelligence (Nouveau) – Ajouté pour répondre à la surveillance des menaces en temps réel et au partage de renseignements.
- A.5.21 – Gestion des incidents de sécurité de l’information (fusionné) – Consolide les exigences précédentes en matière de réponse aux incidents et de journalisation.
- A.5.31 – Exigences légales, statutaires, réglementaires et contractuelles (fusionnées) – Combine A.18.1.1 (Identification de la législation applicable et des exigences contractuelles) et A.18.1.4 (Confidentialité et protection des informations personnelles identifiables) pour un cadre de conformité unique.
2. Contrôles des personnes (8 contrôles)
Ce qu'il couvre :
Ces contrôles traitent des risques liés à la sécurité humaine, notamment la sensibilisation à la sécurité, la formation et les responsabilités des employés.
Pourquoi cette catégorie a été fusionnée et mise à jour :
- Les personnes sont le maillon faible – Un pourcentage important de failles de sécurité se produisent en raison d’erreurs humaines, d’hameçonnage ou d’ingénierie sociale.
- Auparavant dispersés dans plusieurs domaines, les points A.7 (Sécurité des ressources humaines) et A.12 (Sécurité opérationnelle) contenaient des contrôles liés aux personnes, ce qui rendait plus difficile la gestion globale de la sensibilisation à la sécurité et de la formation.
- S'aligne sur les tendances en matière de formation du personnel en cybersécurité – Les programmes de sensibilisation à la sécurité mettent désormais l'accent sur l'apprentissage continu, les attaques de phishing simulées et la formation à la sécurité basée sur les rôles.
Contrôles clés dans cette catégorie :
- A.6.3 – Sensibilisation, éducation et formation en matière de sécurité de l’information (fusionné) – Combine A.7.2.2 (Sensibilisation, éducation et formation en matière de sécurité de l’information) avec des éléments de A.6.2 (Responsabilités internes de l’organisation) pour mettre davantage l’accent sur l’engagement continu des employés.
- A.6.1 – Vérification (mise à jour) – Renforcée pour inclure les vérifications des antécédents des entrepreneurs et les considérations relatives aux risques liés aux tiers.
3. Contrôles physiques (14 contrôles)
Ce qu'il couvre :
Cette section se concentre sur les mesures de sécurité physique visant à protéger les installations, les appareils et les centres de données.
Pourquoi cette catégorie a été fusionnée et mise à jour :
- Consolidation des contrôles de sécurité physique redondants – La version 2013 comportait des contrôles distincts pour différents aspects de la sécurité des installations, désormais rationalisés en une seule catégorie.
- Accent accru sur le travail à distance et la sécurité mobile – Les modèles de travail hybrides devenant la norme, les contrôles de sécurité traitent désormais des risques de sécurité liés au travail à domicile.
- Considérations relatives à la sécurité de l’IoT et des bâtiments intelligents – Les contrôles de sécurité physique sont mis à jour pour inclure les risques de sécurité de l’IoT et la surveillance alimentée par l’IA.
Contrôles clés dans cette catégorie :
- A.7.4 – Surveillance de la sécurité physique (Nouveau) – Traite des caméras de sécurité, des serrures intelligentes et de la détection d’intrusion en temps réel.
- A.7.5 – Travailler dans des zones sécurisées (mis à jour) – Inclut désormais des exigences de travail à distance sécurisé pour atténuer les risques liés aux effectifs hybrides et distants.
4. Contrôles technologiques (34 contrôles)
Ce qu'il couvre :
Ce groupe se concentre sur la sécurité de l’infrastructure informatique, la sécurité du cloud, le contrôle d’accès et la cryptographie.
Pourquoi cette catégorie a été fusionnée et mise à jour :
- Le paysage des cybermenaces a évolué – La version 2013 n’a pas entièrement abordé les cybermenaces modernes, notamment les ransomwares, les attaques basées sur le cloud et le piratage informatique basé sur l’IA.
- L’essor du Cloud Computing et des risques SaaS – Le nouveau contrôle de sécurité du cloud (A.5.23 – Sécurité de l’information pour les services cloud) aborde les environnements multi-cloud et les modèles de responsabilité partagée.
- Conformité en matière de protection des données et de confidentialité – De nouveaux contrôles tels que A.8.11 (Masquage des données) et A.8.12 (Prévention des fuites de données) sont conformes au RGPD, à la norme ISO 27701 et aux réglementations mondiales en matière de confidentialité.
Contrôles clés dans cette catégorie :
- A.8.11 – Masquage des données (nouveau) – Protège les informations personnelles identifiables et les données sensibles à l’aide de techniques de tokenisation et d’anonymisation.
- A.8.12 – Prévention des fuites de données (nouveau) – Met en œuvre des politiques DLP pour empêcher les transferts de données non autorisés.
- A.8.9 – Gestion de la configuration (Nouveau) – Corrige les erreurs de configuration dans les applications cloud et SaaS, une cause majeure de violations de données.
- A.8.23 – Filtrage Web (Nouveau) – Protège les utilisateurs contre les sites Web malveillants, les tentatives d’hameçonnage et les téléchargements infectés par des logiciels malveillants.
- A.8.28 – Codage sécurisé (mis à jour) – Renforce les pratiques de cycle de vie de développement logiciel (SDLC) sécurisées pour réduire les vulnérabilités logicielles.
Résumé des modifications par rapport à la norme ISO 27001:2013
| ISO 27001:2013 (114 contrôles) | ISO 27001:2022 (93 contrôles) | Raison du changement |
|---|---|---|
| 14 domaines de contrôle | 4 groupes témoins principaux | Simplifie la gestion et s'aligne sur les cadres de cybersécurité modernes |
| Contrôles de conformité redondants | Unifié dans A.5.31 | Combine les exigences légales, réglementaires et contractuelles |
| Contrôles RH, de sensibilisation et d'incident distincts | Consolidé sous contrôle du peuple | Accent accru sur la culture de sécurité et la sensibilisation des employés |
| Manque de menaces modernes en matière de cybersécurité | Ajout de renseignements sur les menaces, de sécurité cloud et de DLP | Traite les ransomwares, les risques liés au cloud et les vecteurs d'attaque modernes |
Attributs de contrôle ISO 27001:2022 et alignement NIST CSF
Introduction de la norme ISO 27001:2022 attributs de contrôle pour améliorer la classification et améliorer l'alignement avec les cadres de cybersécurité tels que NIST CSFCes attributs aident les organisations à mapper leurs contrôles à des domaines de sécurité plus larges, ce qui facilite la mise en œuvre de la conformité entre les cadres.
Attributs de contrôle dans la norme ISO 27001:2022
| Attribut | Description | Cartographie du LCR du NIST |
|---|---|---|
| Type de contrôle | Définit si le contrôle est préventif, détective ou correctif | Identifier, protéger, détecter, réagir, récupérer |
| Propriétés de sécurité des informations | Spécifie lequel Principe de la triade de la CIA (Confidentialité, Intégrité, Disponibilité) le contrôle protège | Protéger, détecter, récupérer |
| Concepts de cybersécurité | Associe le contrôle aux concepts de cybersécurité tels que gouvernance, gestion des identités, détection des menaces, sécurité des données, résilience | Toutes les fonctions du NIST CSF |
| Capacités opérationnelles | Définit le domaine de sécurité qu'il prend en charge, par exemple surveillance, journalisation, réponse aux incidents, contrôle d'accès | Protéger, détecter, réagir |
| Domaines de sécurité | Liens vers des domaines de sécurité plus larges tels que sécurité du réseau, protection des données, gestion des risques, sécurité du cloud | Identifier, protéger, détecter |
Cartographie des contrôles ISO 27001:2022 selon le NIST CSF
| Contrôle ISO 27001:2022 | Type de contrôle | Propriété de la CIA | Concept de cybersécurité | Capacité opérationnelle | Domaine de sécurité | Fonction CSF du NIST |
|---|---|---|---|---|---|---|
| A.5.7 – Renseignements sur les menaces | Préventif | Confidentialité, intégrité | Surveillance et détection des menaces | Journalisation, analyse | Gestion des Risques | Identifier, détecter |
| A.8.11 – Masquage des données | Préventif | Confidentialité | Protection des données, confidentialité | Sécurité des données | Gestion des données | Protéger |
| A.8.12 – Prévention des fuites de données | Préventif, Détective | Confidentialité | Sécurité des terminaux, sécurité du réseau | Surveillance, prévention | Sécurité du cloud et des terminaux | Protéger, détecter |
| A.8.9 – Gestion de la configuration | Préventif | Intégrité, Disponibilité | Durcissement de la sécurité | Maintenance du système | Network Security | Protéger |
Avantages de l'utilisation des attributs de contrôle
- Gouvernance et conformité améliorées – Facilite la justification des contrôles dans les audits pour ISO 27001, NIST et SOC 2.
- Amélioration de l'alignement entre les cadres – Aide à cartographier les contrôles entre NIST CSF, CIS 18 et ISO 27701.
- Approche fondée sur les risques plus solide – Les organisations peuvent hiérarchiser les contrôles en fonction des facteurs de risque et des objectifs de sécurité.
- Sécurité du cloud et du travail à distance – Les attributs de contrôle mettent en évidence les nouveaux risques liés au cloud computing, aux effectifs hybrides et à la sécurité de la chaîne d’approvisionnement.
Quels contrôles dois-je inclure ?
La déclaration d'applicabilité constitue le lien principal entre votre évaluation des risques liés à la sécurité de l'information et votre travail de traitement, et indique « où » vous avez choisi de mettre en œuvre des contrôles de sécurité de l'information parmi les 93 objectifs de contrôle. (Un bon SoA sera également capable d'explorer pour montrer « comment » ils ont également été mis en œuvre.)
Bien que les contrôles de l'Annexe A fournissent une liste de contrôle utile à prendre en considération, la simple mise en œuvre des 93 contrôles de « bas en haut » peut s'avérer coûteuse et passer à côté des objectifs fondamentaux de la norme. Malheureusement, certains consultants et fournisseurs en sécurité de l'information vendant des « boîtes à outils complètes de documentation ISO 27001 » préconiseront cette approche, mais ce n'est pas la bonne façon de gérer la sécurité de l'information.
Il y a une raison pour laquelle les exigences fondamentales de la norme ISO 27001 de 4.1 à 10.2 sont présentes. Ils aident l’organisation à adopter une approche axée sur l’entreprise et la stratégie, selon une approche descendante. Après avoir examiné les enjeux, les parties intéressées, la portée et les actifs informationnels, l'organisation peut identifier les risques, puis les évaluer et envisager des traitements pour ces risques.
Les risques liés aux informations précieuses et aux installations de traitement, aux appareils, aux personnes impliquées, etc. doivent être évalués en gardant à l'esprit la confidentialité, l'intégrité et la disponibilité (CIA) des informations.
Cette répartition du CIA est également un aspect important que l'auditeur doit comprendre et démontre que l'organisation a pris en compte le risque de manière plus globale. Surtout, cela signifie également que la SoA a été développée avec cette approche plus globale, plutôt qu'une seule partie, par exemple en considérant uniquement le risque de perte d'informations suite à une violation.
Bien que l'organisation prenne en compte les risques liés à ses opérations, comme indiqué ci-dessus, il convient de noter que l'un des domaines de contrôle de l'annexe A, toujours applicable, est le « Contrôle : A.5.31 – Exigences légales, statutaires, réglementaires et contractuelles ». Cela implique de prendre également en compte les exigences des lois, réglementations et exigences contractuelles applicables. Ce point prend une importance croissante avec le RGPD de l'UE pour ceux qui traitent les informations des citoyens de l'UE, et de plus en plus dans le monde entier avec d'autres normes de confidentialité telles que POPI en Afrique du Sud, LGPD au Brésil et CCPA en Californie.
Pour comprendre les attentes des réglementations en matière de confidentialité, cela dicte également que de nombreux contrôles ISO 27001 sont requis, que vous le pensiez ou non. Ainsi, un auditeur intelligent s’attendra à comprendre la législation applicable affectant votre organisation et la manière dont elle éclaire également votre choix de contrôles applicables dans la justification de la SoA.
Certains risques liés à la sécurité de l’information pourraient bien entendu être entièrement supprimés, transférés à une autre partie, traités ou tolérés. Tous ces contrôles de l’Annexe A vous aident ensuite à considérer et, le cas échéant, à mettre en œuvre la philosophie de transfert, de traitement ou de tolérance autour des risques. La SoA montre ensuite quelles mesures de sécurité des contrôles de l'Annexe A vous utilisez et comment vous les avez mises en œuvre, c'est-à-dire vos politiques et procédures.
Les objectifs de contrôle et les contrôles de l'Annexe A énumérés dans la norme ISO 27001 ne sont pas prescriptifs mais doivent être pris en compte et la justification de leur applicabilité est essentielle pour une certification indépendante émanant d'un organisme de certification ISO.
Obtenez une longueur d'avance de 81 %
Nous avons travaillé dur pour vous, vous offrant une longueur d'avance de 81 % dès votre connexion.
Il ne vous reste plus qu'à remplir les espaces vides.
ISO 27002 et la déclaration d'applicabilité
Qu'il s'agisse d'une certification indépendante ou simplement d'une conformité, lorsqu'ils sont associés aux directives complémentaires de la norme ISO 27002, les contrôles de l'Annexe A constituent une base positive sur laquelle s'appuyer pour toute organisation qui souhaite améliorer sa posture de sécurité des informations et exercer ses activités de manière plus sécurisée.
ISO 27002, est la norme complémentaire à la norme ISO 27001, fournit un code de bonnes pratiques et un aperçu utile des contrôles de sécurité de l'information et fournit ainsi un très bon catalogue d'objectifs de contrôle et de contrôles pour le traitement des risques ainsi que des conseils sur la manière de les mettre en œuvre.
Les mesures de sécurité (contrôles de l'annexe A) que vous déploierez pour gérer ces risques dépendront en réalité de votre organisation, de son appétit pour le risque et de sa portée, ainsi que de la législation applicable. Mais quoi qu’il en soit, il doit être présenté dans la déclaration d’applicabilité si vous souhaitez obtenir une certification ISO 27001 !
Quelles informations doivent être incluses dans la SoA ?
Résumons donc quelles informations doivent être incluses au minimum pour la SoA.
- Une liste des 93 contrôles de l'annexe A
- Que le contrôle soit mis en œuvre ou non
- Justification de son inclusion ou de son exclusion
- Une brève description de la manière dont chaque contrôle applicable est mis en œuvre, avec référence à la politique et au contrôle qui le décrivent de manière détaillée
Comme mentionné ci-dessus, la SoA est une fenêtre sur le SMSI de l'organisation. Si vous ne parvenez pas à montrer comment cette fenêtre s'ouvre sur la profondeur et la nature connectée du système de gestion de la sécurité de l'information, cela peut créer des problèmes. Imaginez la situation où l'auditeur se présente et que la feuille de calcul montrant les 93 contrôles est bien obsolète par rapport aux contrôles de gestion réels en place.
L'une des raisons les plus courantes d'échec d'un audit ISO 27001 est que l'auditeur n'est pas en mesure de faire confiance à l'administration du SMSI et que la documentation est mal gérée ou manquante. Le fait de disposer d'un « document » SoA autonome plutôt que d'une documentation intégrée et automatisée d'une SoA augmente ce risque.
Comment créer la déclaration d’applicabilité ?
Tant que la SoA contient les bonnes informations, qu'elle est exacte et à jour, vous pouvez la créer à partir de papier, de feuilles de calcul, de documents ou de systèmes professionnels qui l'automatisent dans le cadre de leur capacité GRC (gouvernance, réglementation et conformité) plus large. .
Dans un monde idéal, votre SoA ne changera pratiquement pas (notamment parce que les organismes de certification peuvent facturer les changements de version de la SoA). Cependant, ce qui se trouve sous la SoA, c'est-à-dire le cœur battant du SMSI lui-même, doit être dynamique en tant que représentation vivante de l'évolution de votre paysage de sécurité de l'information.
La SoA doit être revue lorsque vos politiques et contrôles sont révisés (au moins une fois par an), afin qu'elle continue de bénéficier d'un processus efficace compte tenu des 114 contrôles à prendre en compte.
Créer une feuille de calcul avec les contrôles comme liste de contrôle est un jeu d’enfant et assez rapide à faire. Cependant, faire cela avec la certitude que tous les travaux antérieurs de planification et de mise en œuvre de la sécurité de l'information autour des actifs, des risques et des contrôles ont été effectués dans le bon ordre et exprimés sous la forme d'un résumé de la SoA n'est pas aussi simple. Un auditeur voudra voir ce qui se trouve sous la simple ligne supérieure de 114 lignes dans une feuille de calcul.
Autrefois, présenter la SoA sous la forme d'un document détaillé de 200 pages impliquait vraiment beaucoup de travail, notamment pour le maintenir à jour à mesure que les politiques et les contrôles évoluaient. Il existe désormais des moyens bien meilleurs et plus simples d'automatiser la SoA et de tirer parti du travail acharné déjà effectué dans d'autres parties du SMSI.
Comment gagner du temps lors de la rédaction de votre déclaration d'applicabilité
La mise en place d'une SoA prend généralement beaucoup de temps à une organisation en raison de ce qui la guide. Si l’on réfléchit aux étapes impliquées dans sa création et au travail nécessaire pour cela, ce n’est pas étonnant :
- Tenir compte des enjeux, des parties intéressées et de la portée du SMSI
- Identifier les actifs informationnels et les installations et appareils de traitement à risque
- Évaluer et évaluer les risques associés à la sécurité des informations en utilisant les critères de confidentialité, d'intégrité et de disponibilité
- Évaluez ces risques, puis décidez lesquels des 114 contrôles de l’annexe A sont nécessaires.
- Comprendre et évaluer la législation applicable (et toutes les obligations contractuelles clés des clients puissants) pour mettre en évidence d'autres domaines de contrôle
- Décider de la manière de mettre en œuvre le contrôle en termes de politique, de procédure, de personnes, de technologie, etc.
- Créez ensuite le document SoA lui-même avec ces justifications sur l'applicabilité étant claires
- Idéalement, établir un lien avec les détails du contrôle, les risques et les actifs pour montrer que le SMSI fonctionne
- Et gérez-le de manière continue. Le SoA est une partie petite mais très importante d’un SMSI très complet. Bien réalisé, cela permettra à l’organisation de réussir ses audits et de renforcer la confiance des clients intelligents et des autres parties prenantes. Mal faite, une telle démarche perturberait et retarderait presque certainement le délai d'obtention de la certification et pourrait entraîner une perte d'activité ou des opportunités futures en raison de l'échec de l'obtention ou du maintien de la certification.
Accélérez le processus SoA avec ISMS.online
ISMS.online est un système complet de gestion de la sécurité de l'information qui, entre autres choses, facilite l'administration et la gestion de vos actifs informationnels, de vos risques, de vos politiques et de vos contrôles, le tout en un seul endroit.
Cela signifie également que la création de la SoA peut être automatisée et présentée de manière simple et efficace. Par conséquent, en plus d’autres avantages, comme le fait de gagner moins de temps pour obtenir la certification ISO 27001, cela accélère également le parcours de certification ISO.
Concentrez votre énergie sur la gestion de votre entreprise comme vous le souhaitez et consacrez du temps à ce que vous devez réaliser pour réussir, sans vous soucier de la manière de le faire. ISMS.online facilite grandement la réalisation de votre travail, y compris la SoA, à une fraction du coût et du temps des alternatives.
Réservez une démo de la plateformeAller au sujet
Obtenez une certification jusqu'à 5 fois plus rapidement
Remplissez simplement les blancs.
Demander demo Soumission