ISO 27001

Imprimer
PDF

ISO 27001 :
Systèmes de management de la sécurité de l'information

 Date de publication
 oct 2005
Nombre de pages (corps du document)
 12
Nombre de pages (annexes)
 22
Traduction en français
 Oui

Synthèse de la norme

ISO 27001 est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui définit les conditions pour mettre en oeuvre et documenter un SMSI.

La Norme internationale ISO 27001 est décomposée en 6 chapitres principaux (du chapitre 4 au chapitre 8, ce qui représente 10 pages) :

  • Chapitre 4 :SMSI : Établissement et management du SMSI pour les 4 étapes du PDCA
    • Exigences générales
    • Établissement et management du SMSI
      • Établissement du SMSI (Planifier)
      • Mise en oeuvre et fonctionnement du SMSI (Déployer)
      • Surveillance et réexamen du SMSI (Contrôler)
      • Mise à jour et amélioration du SMSI (Améliorer)
    • Exigences relatives à la documentation
      • Généralités
      • Maîtrise des documents
      • Maîtrise des enregistrements
  • Chapitre 5 : Responsabilité de la direction
  • Chapitre 6 : Audits internes du SMSI
  • Chapitre 7 : Revue de direction du SMSI
  • Chapitre 8 : Amélioration du SMSI

Exigences vis à vis de la documentation du SMSI

ISO 27001 exige certains documents :

  • Pour la partie définition du périmètre :
    • La politique du SMSI qui définit le périmètre du SMSI (business, légal, interfaces ...) : ce document de quelques pages est parfois séparé de la PGSI
  • Pour la partie Gestion des Risques (voir ISO 27005) :
    • une description de la méthodologie d'appréciation du risques (attention donc aux méthodes "maison" faites avec 3 feuilles excel)
    • un rapport d'appréciation du risque
    • le plan de traitement du risque
  • Pour la partie déploiement
    • les procédures documentées, ISO 27001 n'exige pas procédure en particulier :
      • alors que l'ISO 9001:2008 exige qu'il ait des «procédures documentées» pour les six activités suivantes : Maîtrise des documents - Maîtrise des enregistrements - Audit interne - Maîtrise du produit non conforme - Actions correctives - Actions préventives
  • Pour la partie contrôle :
    • les enregistrements apportant la preuve que le SMSI est appliqué et fonctionne efficacement
    • mais également les rapports d'audit interne ou externe
    • l'ensemble de ces éléments devant être "lisibles, faciles à identifier et accessibles"

 

Les exigences de documentation

Comme pour tout Système de Management qui se respecte, cette norme définit des exigences relatives à la documentation :

Evidemment ISO 27001 demande que la documentation soit bien gérée (circuit de validation, versionning, publiés, archivés, ..), bref il est assez vite souhaitable de disposer d'un ECM pour gérer cette ensemble documentaire.

Quelques définitions

En fait le chapitre des définitions reprend les définitions des différentes normes "référentes" (ISO 73, ISO 9000)

mesure de sécurité (en l'anglais control dans la 27002) : moyens de gestion du risque, comprenant les politiques, les procédures, les lignes directrices, les pratiques ou l'organisation, qui peuvent être de nature administrative, technique, manégériale ou juridique

SMSI : partie du système de management global, basée sur une approche du risque lié à l'activité, visant à établir, mettre en oeuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l'information.