Le document officiel ISO/IEC 27001:2022 est divisé en plusieurs sections, appelées clauses, et en annexes. Celles que vous devez connaître sont les clauses 4 à 10 et l'annexe A.

Les clauses 4 à 10 énumèrent toutes les exigences qu'un système de gestion de la sécurité de l'information (SGSI) doit satisfaire avant de pouvoir être certifié ISO 27001. L'annexe A liste 114 contrôles de sécurité qu'une organisation peut mettre en œuvre pour satisfaire ces exigences.

Dans cet article, nous passerons en revue les clauses. Pour plus de détails sur les contrôles de l'annexe A, consultez notre article sur les contrôles ISO 27001.

Clause 4 : Contexte de l'entreprise

Le SGSI doit documenter ce qu'il est censé faire.

Pourquoi des actifs d'information sont-ils sous la responsabilité de votre entreprise et à quoi les utilisez-vous ?

L'auditeur ne peut faire une évaluation précise de l'efficacité de votre SGSI qu'une fois qu'il en comprend les objectifs. Une entreprise qui gère les noms des clients dans un registre d'hôtes a besoin d'un SGSI très différent d'une entreprise qui collecte les numéros de sécurité sociale pour des services fiscaux.

Pour répondre aux exigences de la clause 4, documentez ce que fait votre organisation, ce que les clients attendent de vous et la portée de votre SGSI.

Clause 5 : Leadership

Pour qu'un SGSI soit efficace, il doit être pleinement soutenu par la direction.

Les auditeurs ISO 27001 doivent savoir que les dirigeants se sentent responsables du succès du SGSI. Il est également essentiel qu'ils se sentent liés par celui-ci et ne croient pas que leurs rôles exécutifs les placent au-dessus des politiques du SGSI.

Si les cadres supérieurs ne sont pas directement impliqués, des leaders dédiés devraient être désignés pour surveiller, tester et améliorer les processus de sécurité de l'information. Il ne doit y avoir aucun doute sur la responsabilité de chaque aspect du SGSI.

Clause 6 : Planification

La clause 6 traite de la gestion des risques. La documentation devrait montrer :

  • Comment vous identifiez et analysez chaque risque de sécurité de l'information
  • Votre processus de choix de la réponse à chaque risque
  • À quoi ressemblent l'évitement, la tolérance et la mitigation des risques pour votre équipe

La clause 6 concerne également les opportunités. En plus d'atténuer les risques, une exigence de l'ISO 27001 est que vous devez nommer des objectifs pour votre SGSI et établir des plans pour les atteindre. Pour répondre aux exigences de la clause 6, vous devez être capable de définir le succès de votre SGSI.

Clause 7 : Support

Atteindre le niveau de sophistication requis par l'ISO 27001 pour un SGSI demande beaucoup de soutien. La clause 7 implique la création d'un plan pour garantir que les ressources de support seront toujours disponibles.

Les principales de ces ressources sont l'expertise humaine. À chaque fois que votre organisation travaille avec des données client, quelqu'un doit être disponible pour comprendre comment le SGSI fonctionne dans le contexte approprié.

La clause 7 détaille également l'une des exigences cruciales de l'ISO 27001 : un système de communication. Les personnes responsables de la sécurité de l'information doivent disposer de canaux dédiés et toujours ouverts pour discuter de la mise en œuvre et de l'amélioration des politiques du SGSI.

Clause 8 : Opérations

La clause 6 concerne l'évaluation et l'analyse des risques. La clause 8 s'appuie sur ces exigences pour discuter de la mise en œuvre des évaluations des risques.

Pour répondre aux exigences de la clause 8, construisez sur votre travail des clauses 6 et 7. La documentation de la clause 8 rassemble les éléments énoncés dans les clauses 6 et 7 en un plan cohérent, du début à la fin.

Clause 9 : Évaluations des performances

Les deux dernières clauses, 9 et 10, forment un ensemble. Elles vous obligent à documenter comment vous prévoyez d'améliorer continuellement le SMSI de votre organisation.

La clause 9 traite de la surveillance. Pour commencer, vous devrez documenter comment vous mesurez l'efficacité de votre SMSI et comment savoir si vous obtenez des résultats fiables. Des processus comme les tests de pénétration apparaissent souvent ici.

Vous aurez également besoin d'un plan pour réaliser des audits internes afin de garantir que vous restez conforme à la norme ISO 27001 après la fin de votre audit de certification.

Clause 10 : Amélioration continue

La clause 10 concerne la gestion des dommages. Comment réagir si vous repérez une non-conformité dans votre SMSI (définie comme tout échec à suivre les politiques SMSI établies) ?

Une non-conformité pourrait être le résultat d'une simple erreur humaine. Elle pourrait également provenir d'un acteur hostile tentant de voler des données de votre système. Pour prévenir efficacement les risques, vous avez besoin d'un plan cohérent pour traiter une aberration.

Une fois que vous avez résolu un problème, comment consolider le système pour qu'il ne se reproduise plus ? Un SMSI certifiable doit être dans un état constant de croissance et d'amélioration.

ISO 27001:2002 : Mises à jour de l'annexe A

Une mise à jour de la norme ISO 27001 a été officiellement publiée en octobre 2022, intitulée ISO/IEC 27001:2022 Information Security, Cybersecurity, and Privacy Protection. Les mises à jour des clauses SMSI 4-10 comprennent de légers changements de formulation et de structure.

Par exemple, les changements apportés à la clause 6 : Planification suppriment les ambiguïtés et le langage obsolète (c'est-à-dire les objectifs de contrôle).

En termes de changements structurels, la clause 9.2 : Audit interne a été divisée en 9.2.1 : Général et 9.2.2 : Programme d'audit interne. Cependant, les exigences restent les mêmes.

De même, la clause 9.3 : Revue de direction a été divisée en trois sous-sections — 9.3.1 : Général, 9.3.2 : Entrées de la revue de direction, et 9.3.3 : Résultats de la revue de direction. La version 2022 introduit également une nouvelle clause 6.3 : Planification des changements.