Que sont les clauses de l’ISO 27001 ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Cet article vous donne un aperçu de la norme ISO 27001 et des moyens les plus simples de la mettre en œuvre, ainsi que quelques conseils et astuces pour votre propre mise en œuvre. [Sources : 1]

La norme ISO 27001 fournit des lignes directrices pour la mise en œuvre et la maintenance d’un système de gestion de la sécurité de l’information (SGSI), qui comprend les politiques, les procédures et les normes qui définissent le standard de fonctionnement d’une entreprise. Dans cet article, il faut expliquer comment vous pouvez utiliser les exigences de la norme ISO 27002 pour établir, mettre en œuvre, maintenir et améliorer en permanence un système de gestion de la sécurité de l’information (SGSI). ISM, qui impose un certain nombre d’exigences pour la conception, la mise en œuvre, la maintenance et l’exploitation d’un ISM. Les IEC sont conçues pour soutenir les organisations dans la mise en œuvre et la maintenance des systèmes de gestion de la sécurité de l’information (SGSI) et leur amélioration continue. ISM et fournissent des lignes directrices pour leur conception et leur mise en œuvre ainsi que pour leur amélioration continue. [Sources : 8,13,21,12]

En particulier, la norme ISO 27001 est conçue comme une norme pour la mise en œuvre et la maintenance des systèmes de gestion de la sécurité de l’information (SGSI) et leur amélioration continue. [Sources : 22]

Il s’agit souvent de l’une des fonctions les plus difficiles à mettre en œuvre lorsque cela est nécessaire, de manière à répondre aux exigences de la norme, en particulier pour les petites organisations. Cependant, pour vous faciliter la tâche, il faut compilé un guide pour tous ceux qui mettent en œuvre ou auditent les contrôles de la norme ISO 27001. Il est idéal car il couvre tout ce qui permet de répondre aux exigences de ses contrôles et aux exigences techniques pour une mise en œuvre réussie. [Sources : 11,2,3]

La norme ISO / IEC 27001 (2013) s’adresse aux organisations qui souhaitent améliorer leurs systèmes de sécurité de l’information en utilisant des meilleures pratiques et des normes bien connues en matière de sécurité de l’information et en obtenant des garanties de sécurité contraignantes. Faites attention à ce que vous écrivez dans le cadre du SMSI (système de management de la sécurité de l’information) tel que défini dans la clause 7 de l’ISO 27001. Renseignez-vous sur le contexte de votre organisation, comment il est défini selon la norme ISO 27001, quelles parties intéressées sont identifiées et assignées selon la norme ISO 22301, et comment le champ d’application du SMSI a été défini. [Sources : 19,20,20,8]

Pour en savoir plus sur les exigences de la norme ISO 27001, téléchargez le texte intégral de la norme et la documentation technique pour chaque clause. Les paragraphes 1 à 3 sont utilisés pour mettre en évidence les normes, mais sont moins importants dans la mise en œuvre d’ISO 27001. Cette clause est importante pour que l’ISO 27000 comprenne que les conditions spécifiées dans la norme s’appliquent également à l’ISO 28001. Les informations sur la mise en œuvre de cette clause sont disponibles dans l’ISO 27003 et ne sont pas couvertes par l’ISO 29001 (2013) ou l’ISO 26002 (2014). [Sources : 6,10,9,20]

Les clauses suivantes (4-10), qui fournissent un résumé des exigences de l’ISO 27001, obligatoires pour les entreprises souhaitant se conformer à la norme, sont examinées plus en détail dans d’autres articles. [Sources : 20]

Le paragraphe 8 de la norme ISO 27001 impose aux entreprises d’identifier les opérations de traitement à externaliser et de s’assurer qu’elles restent sous contrôle. Cette clause sert essentiellement de base à la conformité aux autres clauses de la norme (4-10). Il est souligné que la direction générale dispose d’un plan basé sur les bons objectifs et les bonnes informations. Il y a deux clauses (5-6) sur l’externalisation et une clause (7-8) sur la sous-traitance. [Sources : 16,17,14]

La norme ISO 27001 reconnaît la nécessité pour les organisations de se protéger contre les accès non autorisés par les fournisseurs. Cette clause stipule que les exigences énoncées dans la norme ISO 27001 doivent s’inscrire dans le contexte de l’organisation. Les clauses de la norme ISO 27002 décrivent les exigences obligatoires (ISM) qui doivent être mises en œuvre pour qu’une organisation soit conforme à la norme. [Sources : 7,10,8]

Le paragraphe 6 définit les exigences en matière de gestion des risques que les organisations souhaitant mettre en œuvre la norme ISO 27001 doivent respecter. Les exigences relatives à la gestion des risques de l’ISO 27001 sont contenues dans les lignes directrices sur la gestion des risques de l’ISO 26001 et dans les clauses de la norme ISO 27002. [Sources : 15,15]

L’annexe A est la section de la norme ISO 27001 qui décrit les 114 contrôles que vous devez prendre en compte pour votre système de gestion de la sécurité de l’information. Pour plus d’informations sur l’annexe A, voir cet article et un guide rapide des contrôles dans l’annexe B. Une liste des domaines et des objectifs de chaque contrôle est disponible à l’annexe B, tandis que des conseils détaillés sur la manière de mettre en œuvre les contrôles sont disponibles dans la norme ISO 27002 (2013). Comment structurer un document comme l’ISO 27001 : un bref aperçu de la structure du document lui-même et de son fonctionnement. [Sources : 4,20,6]

Le noyau absolu de la norme ISO 27001 est l’évaluation, l’analyse et la gestion des risques de sécurité. Le paragraphe 6 est appelé planification, mais qu’est-ce que cela signifie réellement en matière de risques et que peut-on déduire de la structure d’un SGSI ? Comme de nombreuses autres normes ISO, la norme ISO 27001 suit un cycle PDCA et fournit 114 objectifs de contrôle et de maîtrise que vous pouvez utiliser pour traiter les risques identifiés au paragraphe 6. La liste ci-dessous contient une liste de contrôleurs qui peuvent répondre aux exigences de la norme ISO 26001, en commençant par la directive A-5 sur la sécurité de l’information. Comme pour les autres normes ISO 27002 (2013) et ISO 28001 (2014), la norme ISO 29001 suit le cycle PDCA, de sorte que la direction du SGI sait jusqu’où et comment l’entreprise a traversé ce cycle. [Sources : 13,1,20,0]

Sources:

  • [0] : https://www.isaca.org/resources/isaca-journal/past-issues/2011/2011-planning-for-and-implementing-iso-27001
  • [1] : https://www.assentriskmanagement.co.uk/what-are-the-requirements-of-iso-27001/
  • [2] : https://www.sync-resource.com/iso-27001-implementation-guide/
  • [3] : https://www.itgovernance.eu/blog/en/a-guide-to-implementing-and-auditing-iso-27001
  • [4] : https://risk3sixty.com/learn/iso-27001-understanding-the-basics/
  • [5] : https://www.british-assessment.co.uk/insights/what-are-the-iso-27001-requirements/
  • [6] : https://www.2sb.co.uk/certification-information/iso-27001-certification-information
  • [7] : https://bestpractice.biz/iso-27001-controls-what-is-annex-a15/
  • [8] : https://www.horangi.com/horangipedia/what-is-iso-27001
  • [9] : https://blog.compliancecouncil.com.au/blog/iso-27001-vs.-iso-27002-whats-the-difference
  • [10] : https://www.vistainfosec.com/blog/guide-on-iso-27001-controls/
  • [11] : https://www.schellman.com/blog/2015/10/iso-27001-deep-dive/
  • [12] : https://en.wikipedia.org/wiki/ISO/IEC_27001
  • [13] : https://www.theregister.com/2017/04/18/protect_your_digital_enterprise_iso_27001_explainer/
  • [14] : https://www.openfield.eu/en/what-are-the-similarities-between-gdpr-iso-27001/
  • [15] : https://www.apomatix.com/blog/iso-27001-and-the-risk-management-process/
  • [17] : https://www.pivotpointsecurity.com/blog/surviving-stage-1-iso27001-audit-isms-objectives/
  • [19] : https://www.riskmanagementstudio.com/best-practice-iso-27001-required-documentation/
  • [20] : https://advisera.com/27001academy/blog/2019/06/03/iso-27001-requirements-and-structure/
  • [22] : https://www.varonis.com/blog/iso-27001-compliance/