On réduit souvent la problématique de la documentation d’un SMSI a besoin de construire un systèmes documentaire sur 4 niveaux :
Mais les besoins de construire la documentation d’un SMSI vont bien au delà du seul besoin de documenter les processus liés à la sécurité. La rédaction des procédures doit permettre une meilleure compréhension du processus. Le fait d’écrire facilite un raisonnement rationnel scientifique.
Il faut s’inspirer des études et recherches sur les enjeux, bénéfices de la documentation de la qualité dans une organisation ISO 9000.
Un référentiel qualité ISO 9000 constitue un outil de management des connaissances qui conduit à une explicitation et une diffusion des savoirs dans l’entreprise. Si la documentation ISO 9000 est conçue d’emblée comme un système d’apprentissage avec objectif de création de connaissances, alors elle permettra ainsi :
Cela implique évidemment que la construction du référentiel documentaire soit un travail d’élaboration conjointe avec les collaborateurs concernés.
En revanche si ce travail est fait en le Responsable Qualité (ou Sécurité) et un consultant externe, alors il est clair qu’il n’y aura pas d’appropriation par l’organisation du modèle, mais bien un rejet car la démarche sera perçue comme une démarche formaliste, générant des règles bureaucratiques induisant perte de temps et inertie.
Malheureusement beaucoup de RSSI fonctionne dans ce modèle là, car il s’agit avant tout de produire rapidement des documents « crédibles ». Tant pis si les processus ne sont pas compris par les opérationnels, le RSSI compte sur l’organisation de boucles de contrôle pour les faire appliquer.
Ils sont identiques à ceux liés à la documentation d’autres systèmes de management, celui de la qualité notamment :
Néanmoins certains freins sont plus spécifiques aux SMSI :
Evidemment il ne faut compter sur un outil ne pourra pas résoudre des problèmes, néanmois l’utilisation d’un ECM de type ALFRESCO permettra :