Accueil de l'Académie
Blogs
Documents les plus importants pour l'audit de certification ISO 27001
Fait partie de la collection ISO 27001
Fait partie de la collection NIS2

Documents les plus importants pour l'audit de certification ISO 27001

Collection ISO 27001
Documents les plus importants pour l'audit de certification ISO 27001
Collection NIS2
Documents les plus importants pour l'audit de certification ISO 27001
Cyberday blog
Documents les plus importants pour l'audit de certification ISO 27001

Bien que la documentation soit un élément essentiel de la norme ISO 27001, celle-ci porte essentiellement sur la mise en place d'un SMSI (système de gestion de la sécurité de l'information) efficace, fondé sur les risques et aligné sur l'activité de l'entreprise.

Certaines organisations considèrent la norme ISO 27001 comme un simple exercice à cocher pour passer un audit, en donnant la priorité à la paperasserie plutôt qu'à de réelles améliorations en matière de sécurité. Si vous trouvez que le processus est trop axé sur la paperasserie, il vaut la peine de réévaluer l'approche de la mise en œuvre pour la rendre plus pratique et plus efficace pour votre organisation.

Quel est le rôle des documents et de la documentation dans le cadre de la norme ISO 27001 ?

La documentation n'est qu'un mécanisme permettant d'assurer la cohérence, la responsabilité et l'auditabilité dans le cadre de l'élaboration du SMSI. Tout le monde peut certainement comprendre pourquoi il est important d'avoir des processus et des procédures liés à la sécurité de l'information écrits - et pas seulement dans la tête du RSSI ou d'un autre représentant clé de la sécurité de l'information.

La documentation est également importante d'un point de vue multiple :

  • Fournit des preuves : La documentation fournit des preuves de votre conformité et, d'une manière générale, rend votre sécurité de l'information vérifiable.
  • Amélioration de la cohérence : La documentation assure la cohérence et la clarté de la mise en œuvre de la sécurité.
  • Permet de rendre des comptes : La documentation permet de rendre des comptes et facilite la communication en matière de sécurité de l'information.

Il ne s'agit pas ici de documentation à l'ancienne. La documentation peut également être constituée, par exemple, de tâches et d'actifs, de leurs descriptions et de leurs propriétaires au sein d'un système SMSI intelligent. Nous ne parlons pas ici de documents Word difficiles à tenir à jour avec des journaux de version manuels. L'essentiel est que les choses soient définies.

Mais la norme ISO 27001 définit spécifiquement certains documents clés, qui doivent être rassemblés et facilement partageables, par exemple pour l'auditeur. Dans ce blog, nous présenterons ces documents les plus importants pour un audit de certification ISO 27001.

Quels sont les documents les plus importants pour l'audit de certification ISO 27001 ?

Cette section énumère les documents de premier niveau les plus importants pour la mise en œuvre de la norme ISO 27001 et donne un bref résumé de leur objectif et de leur importance.

Déclaration d'applicabilité (SoA)

Qu'est-ce que c'est ?

  • Un document énumérant tous les contrôles de la norme ISO 27002 et les détails de l'état de chaque contrôle (par exemple, l'état de la mise en œuvre du contrôle, une brève description de la mise en œuvre et les contrôles jugés non applicables).

Pourquoi est-ce important ?

  • La SdA est la référence centrale de votre SMSI.
  • Crée une vue d'ensemble permettant à votre organisation de suivre l'évolution de la mise en œuvre des contrôles ISO 27002.
  • Démontre le raisonnement de votre organisation derrière les contrôles sélectionnés pour atteindre les objectifs de sécurité.
  • Les auditeurs l'examinent souvent de près pour vérifier la cohérence avec votre évaluation des risques et d'autres documents.
  • Le document le plus important lors d'un audit de certification ISO 27001, car il concerne la mise en œuvre des 93 contrôles ISO 27002.

La déclaration d'applicabilité (SoA) de la norme ISO 27001 est un document au nom unique, mais elle peut parfois être désignée par d'autres noms (par exemple, déclaration de contrôle ISO 27001, cartographie des contrôles de l'annexe A ou déclaration d'applicabilité des contrôles ISO 27001). Bien que d'autres noms puissent parfois être utilisés, il est essentiel de conserver l'objectif principal de la déclaration d'applicabilité, qui est d'identifier les contrôles applicables, de justifier leur inclusion ou leur exclusion et de décrire leur mise en œuvre.

Description du SMSI de votre organisation et de son champ d'application

Qu'est-ce que c'est ?

  • ‍Cedocument doit expliquer à l'auditeur comment le SMSI de l'organisation est structuré, exploité et contrôlé. Il explique également quelles parties de l'organisation sont couvertes par le SMSI, quels sont les rôles clés correspondants, quel type d'information est lié au SMSI et comment il est contrôlé. En consultant ce document, l'auditeur saura comment trouver les principales informations relatives à l'audit de certification.

Pourquoi est-ce important ?

  • Définit le domaine d'action de la mise en œuvre de votre SMSI.
  • Permet de s'assurer que tout le monde (équipe interne, auditeurs, parties prenantes) sait clairement ce qui est couvert par le SMSI et quel type de contenu s'y rapporte.
  • Une mauvaise harmonisation du champ d'application peut entraîner des non-conformités lors de la certification.

Politique de sécurité de l'information de l'organisation

Qu'est-ce que c'est ?

  • ‍Undocument de haut niveau décrivant l'engagement de votre organisation en matière de sécurité de l'information, le respect des meilleures pratiques sélectionnées et, par exemple, le rôle de l'encadrement supérieur pour garantir le respect des règles et le soutien nécessaire au travail.

Pourquoi est-ce important ?

  • Donne le ton pour le SMSI et démontre le soutien de la direction générale.
  • Fournir des conseils aux employés et aux parties prenantes sur l'importance de la sécurité.
  • Ce document doit être communiqué aux employés et partageable par les autres parties prenantes, c'est pourquoi les entreprises n'y ajoutent généralement pas beaucoup de détails (il faut s'en tenir au niveau le plus élevé).
  • Il s'agit souvent de l'un des premiers documents que les auditeurs demandent à consulter.

Procédure de gestion des risques

Qu'est-ce que c'est ?

  • ‍Décritvotre processus d' identification, d'évaluation et de traitement des risques liés à la sécurité de l'information. En résumé, ce document décrit votre méthode de gestion des risques.

Pourquoi est-ce important ?

  • La gestion des risques est au cœur de la norme ISO 27001.
  • Veille à ce que les risques soient identifiés et atténués de manière cohérente en fonction de l'appétence de votre organisation pour le risque.
  • Constitue la base d'une amélioration continue du point de vue des risques, après avoir obtenu la certification une première fois, par exemple.

Procédure d'audit interne

Qu'est-ce que c'est ?

  • ‍Décritvotre processus de réalisation des audits internes et de mise à jour du calendrier d'audit. Vous devrez être en mesure de présenter les résultats d'un audit interne réalisé conformément à la procédure, avant l'audit de certification (sinon il s'agira d'une non-conformité majeure).

Pourquoi est-ce important ?

  • Les audits internes garantissent la conformité et l'efficacité du SGSI.
  • Fournit des preuves de l'amélioration continue et de la préparation aux audits de certification.
  • Permet d'identifier les faiblesses ou les lacunes avant que les auditeurs externes ne le fassent.

Procédure de révision de la gestion

Qu'est-ce que c'est ?

  • ‍Décritvotre processus de revue de direction. C'est l'un des principaux moyens par lesquels la direction de votre organisation participera à la sécurité de l'information. Vous devrez être en mesure de présenter les résultats d'une revue de direction effectuée conformément à la procédure, avant l'audit de certification (sinon il s'agira d'une non-conformité majeure).

Pourquoi est-ce important ?

  • Démontre l'implication active et l'engagement de la direction dans le SMSI.
  • Veille à l'alignement sur la stratégie de l'organisation et identifie les domaines à améliorer.
  • L'absence d'une revue de direction efficace est une non-conformité fréquente lors des audits.

Derniers résultats de l'audit interne et de la revue de direction

Qu'est-ce que c'est ?

  • ‍Votreauditeur vous demandera de lui fournir les résultats du dernier audit interne et de la dernière revue de direction avant l'audit de phase 1 . Ceux-ci montreront à l'auditeur que vous avez mis en œuvre les procédures correspondantes et que vous êtes en mesure d'effectuer ces actions clés de contrôle du SMSI.

Pourquoi sont-ils importants ?

  • Les audits internes mettent en évidence les lacunes ou les faiblesses qui peuvent être corrigées afin de renforcer le SMSI et d'assurer ainsi une amélioration continue.
  • Les résultats documentés fournissent la preuve des audits internes, une exigence de la clause 9.2 de la norme ISO 27001.
  • La revue de direction permet de s'assurer de l'engagement de l'encadrement supérieur en matière de sécurité de l'information et de veiller à ce que le SMSI continue à s'aligner sur les objectifs de l'entreprise, les changements réglementaires et l'évolution des risques.
  • Les auditeurs de certification s'attendront à voir les résultats documentés de la revue de direction comme preuve de la conformité à la clause 9.3 de la norme ISO 27001.

Procédure de sensibilisation du personnel

Qu'est-ce que c'est ?

  • Décrit votre processus visant à garantir que les employés, les sous-traitants et les tiers concernés sont conscients de leur rôle et de leurs responsabilités dans le maintien de la sécurité de l'information. Ce document doit, par exemple, décrire la manière dont vous formez les employés, leur fournissez des lignes directrices sur les opérations sécurisées et veillez à ce qu'ils s'engagent à suivre ces lignes directrices.

Pourquoi est-ce important ?

  • L'une des principales exigences de la norme ISO 27001 est de veiller à ce que les employés soient conscients de leurs responsabilités en matière de sécurité de l'information (7.3 et, par exemple, contrôle A.7.2.2).
  • Les employés sont souvent le maillon faible de la sécurité, c'est pourquoi la sensibilisation peut réduire les menaces telles que l'hameçonnage, l'ingénierie sociale ou la mauvaise manipulation d'informations sensibles.
  • Un programme de sensibilisation solide reflète l'engagement de l'ensemble de l'organisation en faveur de la sécurité, ce qui est essentiel pour la certification ISO.

Politiques thématiques pour montrer la mise en œuvre des contrôles de l'annexe A

L'utilisation de politiques de sécurité basées sur des thèmes est un choix propre à votre organisation.

La norme ISO 27001 ne mentionne pas spécifiquement qu'il s'agit de documents partageables. L'essentiel est de définir clairement la mise en œuvre des contrôles correspondants.

Toutefois, certaines organisations décideront de créer des politiques de sécurité basées sur des thèmes, par exemple pour les thèmes populaires suivants :

  • Politique de gestion des accès : Elle définit la manière dont l'accès aux systèmes et aux données est géré et restreint.
  • Politique en matière de mots de passe : Spécifie les exigences en matière de complexité, d'expiration et de traitement des mots de passe.
  • Politique d'utilisation acceptable : Elle décrit l'utilisation autorisée des biens de l'entreprise (par exemple, Internet, courrier électronique).
  • Politique de réponse aux incidents : Fournit un processus étape par étape pour l'identification, la gestion et la résolution des incidents.
  • Politique de protection des données : Garantit la conformité avec les lois sur la confidentialité des données et protège les informations sensibles.
  • Politique en matière de travail à distance : Couvre les mesures de sécurité pour les employés travaillant hors site.
  • Politique de sécurité des fournisseurs : Gérer les risques associés aux fournisseurs et partenaires externes. Pourquoi des politiques ?

Vous devriez considérer les documents de politique de sécurité thématiques comme des outils facilitant le partage de l'information et la révision du contenu. La délégation et le contrôle effectifs des mesures de protection mises en œuvre (qu'elles soient technologiques, organisationnelles ou humaines) mentionnées dans les documents de politique sont bien mieux réalisés dans un outil SMSI intelligent - et non dans un document texte.

Principaux points à retenir concernant la norme ISO 27001 et les documents principaux

La norme ISO 27001 ne consiste pas à créer des documents pour le plaisir de la documentation. Il s'agit de tirer parti de ces documents pour mettre en place un SMSI fonctionnel, axé sur les risques, qui protège les actifs informationnels de votre organisation et soutient les objectifs de l'entreprise. Oui, les documents sont nécessaires, mais ce sont des outils, pas l'objectif.

  • Des documents interconnectés constituent la base du SMSI : Les documents clés - tels que la déclaration d'applicabilité (SoA), la procédure de gestion des risques, le champ d'application du SMSI, l'audit interne, la revue de direction et la politique de sécurité de l'information - fonctionnent ensemble pour former la colonne vertébrale de votre SMSI. Chaque document sert à définir, par exemple, la manière dont la gestion de la sécurité de l'information est maintenue, dont les contrôles sont appliqués ou dont l'amélioration continue est réalisée.
  • Concentrez-vous sur ce que vous définissez, et non sur le document lui-même : Les documents sont des outils qui vous aident à définir vos objectifs, vos processus et vos décisions en matière de sécurité. Mais l'accent est mis sur ce que vous définissez dans ces documents et sur la manière dont vous les mettez en pratique. Il ne s'agit pas de créer des documents parfaits, mais d'opérationnaliser ce que vous documentez.
  • Les auditeurs s'intéressent à la mise en œuvre : Les audits ISO 27001 ne se limitent pas à vérifier la présence de documents - ils visent à s'assurer que votre organisation fonctionne conformément à vos définitions documentées. C'est pourquoi il est essentiel d'aligner votre SMSI sur vos pratiques réelles.

Certaines organisations tombent encore dans le piège qui consiste à accorder trop d'importance à la certification en tant qu'objectif, en traitant ISO 27001 comme un exercice de case à cocher lourdement documenté. Cette approche est souvent source de frustration et donne l'impression que le processus est trop bureaucratique, ce qui nuit à la valeur réelle du SMSI.

Lorsque la norme ISO 27001 est mise en œuvre de manière efficace, les documents deviennent un élément naturel de votre programme de sécurité de l'information, qui vise à renforcer la posture de sécurité de votre organisation et à favoriser la confiance avec les parties prenantes.

Partager l'article