Vos politiques et procédures définissent le quoi et le comment du Système de Management de la Sécurité de l'Information (SMSI) de votre organisation. Votre documentation est la preuve que vous utiliserez pour démontrer la robustesse de vos contrôles de sécurité à votre auditeur.
Quel genre de documentation de conformité ISO/CEI 27001 est requis pour votre audit ?
Liste de la documentation du Système de Management de la Sécurité de l'Information (SMSI)
Un audit de certification ISO 27001 typique nécessitera la documentation pour :
- Clause 4.3 : Périmètre du SMSI
- Clause 5.2 : Politique de sécurité de l'information
- Clause 5.5.1 : Toute information documentée que l'organisation juge nécessaire pour soutenir le SMSI
- Clause 6.1.2 : Processus/méthodologie d'évaluation des risques de sécurité de l'information
- Clause 6.1.3 : Plan de traitement des risques de sécurité de l'information et Déclaration d'applicabilité (SoA)
- Clause 6.2 : Objectifs de sécurité de l'information
- Clause 7.1.2 et 13.2.4 : Rôles et responsabilités de sécurité définis
- Clause 7.2 : Preuve de compétence
- Clause 8.1 : Inventaire des actifs, utilisation acceptable des actifs et planification opérationnelle
- Clause 8.2 et 8.3 : Résultats de l'évaluation des risques de sécurité de l'information et du traitement des risques de sécurité de l'information
- Clause 9.1 : Politique de contrôle d'accès, preuve de surveillance du SMSI et suivi des indicateurs
- Clause 9.2 : Processus d'audit interne documenté et rapports d'audit interne complétés
- Clause 9.3 : Résultats des revues de direction
- Clause 10.1 : Preuve de toutes les non-conformités et des actions correctives prises
- Clause 12.4 : Journaux d'activité des utilisateurs, exceptions et incidents de sécurité
Liste de la documentation de l'annexe A
Toutes les clauses de l'annexe A sont requises pour la conformité ISO 27001 et peuvent impliquer une quantité substantielle de documentation. Voici quelques exemples de documents qui sont généralement créés pour la certification ISO 27001 :
- Clause 6.2.1 : Politiques sur les appareils mobiles, BYOD et le télétravail
- Clause 7.5 : Processus de contrôle des documents et contrôles pour la gestion des enregistrements
- Clause 8.2.1 : Politique de classification de l'information
- Clauses 8.3 et 11.2 : Politique de rétention et de disposition des données
- Clauses 9.2, 9.3, 9.4 : Politique de mots de passe
- Clause 11.1.5 : Procédures de travail dans les zones sécurisées
- Clause 11.2 : Politiques de bureau clair et d'écran clair
- Clauses 12.1 et 14.2 : Politique de gestion des changements
- Clause 12.3 : Politique de sauvegarde des données
- Clause 13.2 : Politique de transfert de données
- Clause 14.2.5 : Principes de développement/ingénierie logicielle sécurisée
- Clause 15.1.1 : Politique de sécurité des fournisseurs
- Clause 16.1.5 : Procédure de gestion des incidents
- Clause 17.1 : Procédures de continuité des activités
- Clause 18.1.1 : Exigences légales, réglementaires et contractuelles
Préparation de la documentation pour votre auditeur
Organiser votre documentation vous évitera des maux de tête et vous aidera à compléter votre audit de Stage 1 à temps. La révision de la documentation permet à votre auditeur de mieux comprendre vos systèmes avant de commencer un audit de Stage 2.
Lors de la collecte de la documentation pour votre audit, envisagez un format de rapport standard qui inclut :
- La raison pour laquelle la politique ou la procédure a été créée
- Le département responsable de l'approbation, de la mise en œuvre et de la mise à jour de la politique
- Les dates d'approbation et de mise en œuvre
- Les systèmes, processus ou applications affectés par la politique
- Le suivi de l'acceptation de la politique par les utilisateurs
Une manière plus simple de créer des documents obligatoires ISO 27001
L'un des aspects les plus fastidieux de la conformité ISO 27001 est la création de politiques et la collecte de la documentation requise. À mesure que vous vous préparez pour votre audit de certification, vous aurez probablement des centaines de documents à créer, à collecter, à organiser avec les bons contrôles et à maintenir à jour.
Secureframe simplifie et rationalise l'ensemble du processus de préparation et de maintien de votre certification ISO 27001. Nous vous aiderons à construire un ISMS conforme, à surveiller votre pile technologique pour les vulnérabilités et à gérer les risques. Planifiez une démonstration dès aujourd'hui pour en savoir plus.