ARTICLE 04 A 10 :
ARTICLES EXIGENCES
Compréhension de
4.1 l’organisation et de son Déterminer les enjeux externes et internes pertinents
contexte
Compréhension des besoins Déterminer :
4.2 et des attentes des parties a.Les parties intéressées ;
intéressées b.Les exigences de ces parties intéressées.
Contexte de
4 Détermination du domaine Déterminer les limites et l’applicabilité :
l’organisation
d’application du système de a.Les enjeux externes et internes 4.1;
4.3
management de la sécurité b.Les exigences 4.2 ;
de l’information c.Les interfaces et les dépendances ;
Système de management
4.4 de la sécurité de établir, mettre en œuvre, tenir à jour et améliorer continuellement un SMSI
l’information
Faire preuve de leadership et affirmer son engagement en faveur du SMSI :
a.S’assurer qu’une politique et des objectifs sont établis ;
b.S’assurer que les exigences liées au SMSI sont intégrées aux processus métiers ;
c.S’assurer que les ressources nécessaires sont disponibles ;
d.Communiquer sur l’importance de disposer d’un SMSI efficace et conforme aux
5.1 Leadership et engagement
exigences ;
e.S’assurer que le SMSI produit les résultats escomptés ;
f.Orienter et soutenir les personnes SMSI ;
g.Promouvoir l’amélioration continue ;
h.aider les autres managers concernés
Établir une politique de sécurité :
5 Leadership
a.Adaptée à la mission ;
b.Inclut des objectifs de sécurité 6.2 ;
c.Inclut l’engagement de satisfaire aux exigences ;
5.2 Politique
d.Inclut l’engagement d’œuvrer pour l’amélioration continue ;
e.Disponible sous forme d’information documentée;
f.Communiquée au sein de l’organisation;
g.mise à la disposition des parties intéressées.
S’assurer que les responsabilités et autorités des rôles sont attribuées et communiquées
Rôles, responsabilités et
au sein de l’organisation. Elle doit désigner un responsable SMSI qui :
5.3 autorités au sein de
a.Assure la conformité aux exigences ;
l’organisation
b.Rend compte à la direction des performances du SMSI.
6 Planification 6.1 Actions liées aux risques et 6.1.1 Généralités Déterminer les risques et opportunités :
opportunités a.S’assurer que le SMSI peut atteindre les résultats
escomptés ;
b.Limiter les effets indésirables ;
c.Appliquer une démarche d’amélioration continue
d.Les actions menées pour traiter ces risques et opportunités;
� e.la manière: d’intégrer et de mettre en œuvre les actions au
sein des processus du SMSI et d’intégrer et de mettre en
œuvre les actions au sein des processus
Définir et appliquer un processus d’appréciation des risques :
a.Établir et tenue à jour les critères de risque : critères
d’acceptation et critères de réalisation des appréciations ;
b.S’assure que la répétition de ces appréciations des risques
produit des résultats cohérents, valides et comparables ;
c.Identifie les risques S.I: Appliquer le processus
d’appréciation des risques et identifier les propriétaires des
risques.
Appréciation des
6.1.2 d.Analyse les risques de S.I : Apprécier les conséquences
risques de S.I
potentielles (6.1.2 c) et procéder à une évaluation réaliste
(6.1.2 c) et déterminer les niveaux des risques.
e.Evaluer les risques de S.I : Comparer les résultats d’analyse
des risques avec les critères de risque déterminés et
prioriser les risques analysés pour le traitement des risques.
L’organisation doit conserver des informations
documentées sur le processus d’appréciation des
risques de sécurité de l’information.
6.1.3 Traitement des Définir et appliquer un processus de traitement des risques :
risques de a.Choisir les options de traitement des risques appropriées ;
sécurité de b.Déterminer les mesures nécessaires à la mise en œuvre des
l’information options de traitement des risques ;
c.Comparer les mesures déterminées (6.1.3) avec celles de
l’Annexe A et Vérifier qu’aucune mesure nécessaire n’a été
omise ;
d.Produire une déclaration d’applicabilité contenant les
mesures nécessaires (6.1.3) et la justification de leur
insertion et la justification de l’exclusion de mesures de
l’Annexe A ;
e.Élaborer un plan de traitement des risques ;
f.Obtenir des propriétaires des risques l’approbation du plan
de traitement des risques et l’acceptation des risques
résiduels
� Etablir des objectifs de la S.I qui doivent :
a.Être cohérents avec la politique de S.I ;
b.Être mesurables (si possible) ;
c.Tenir compte des exigences applicables à la S.I et des résultats de l’appréciation et du
traitement des risques ;
Objectifs de sécurité de
d.Être communiqués ;
6.2 l’information et plans pour
e.Être mis à jour quand cela est approprié.
les atteindre
f.Déterminer ce qui sera fait;
g.Déterminer les ressources qui seront nécessaires ;
h.Déterminer qui sera responsable;
i.Déterminer es échéances;
j.Déterminer la façon dont les résultats seront évalués.
7 Support 7.1 Ressources Identifier et fournir les ressources nécessaires
a. Déterminer les compétences nécessaires
b. S’assurer que ces personnes sont compétentes sur la base d’une formation initiale
ou continue ou d’une expérience appropriée;
7.2 Compétence c.Mener des actions pour acquérir les compétences nécessaires et évaluer l’efficacité des
actions entreprises ;
d. conserver des informations documentées appropriées comme preuves de ces
compétences
Les personnes doivent :
a. Etre sensibilisées à la politique de la S.I ;
7.3 Sensibilisation
b. Avoir conscience de leur contribution à l’efficacité du SMSI ;
c.Avoir conscience des implications de toute non-conformité aux exigences requises.
a. Sur quels sujets communiquer;
b. A quels moments communiquer;
7.4 Communication c.Avec qui communiquer;
d. Qui doit communiquer;
e. Les processus par lesquels la communication doit s’effectuer.
7.5 Informations documentées SMSI doit inclure :
a.Les informations documentées exigées par la 27001 ;
b.Les informations documentées que l’organisation juge
7.5.1 Généralités
nécessaires à l’efficacité du SMSI, en fonction de la taille de
l’organisation, la complexité des processus et la compétence des
personnes.
Les informations documentées doivent s’appropriées :
a.Identification et description (par exemple titre, date, auteur,
numéro de référence);
Création et
7.5.2 b.Format (par exemple langue, version logicielle, graphiques) et
mise à jour
support (par exemple, papier, électronique);
c.Examen et approbation du caractère approprié et pertinent des
informations.
7.5.3 Maîtrise des S’assurer de :
informations a.Qu’elles sont disponibles et conviennent à l’utilisation, où et
� quand elles sont nécessaires;
b.Qu’elles sont correctement protégées ;
c.Distribution, accès, récupération et utilisation;
documentée d.Stockage et conservation, y compris préservation de la lisibilité;
s e.Contrôle les modifications (par exemple, contrôle des
versions);
f.La durée de conservation et suppression.
Planifier, mettre en œuvre et contrôler les processus nécessaires et réalisation 6.1
Planification et contrôle
8.1 Mettre en œuvre des plans pour atteindre les objectifs définis en 6.2
opérationnels
S’assurer que les processus externalisés sont définis et contrôlés
Fonctionnemen Réaliser des appréciations des risques de sécurité de l’information à des intervalles
8 Appréciation des risques de
t 8.2 planifiés ou quand des changements significatifs sont prévus ou ont lieu, en tenant
sécurité de l’information
compte des critères établis en 6.1.2 ;
Traitement des risques de
8.3 Mettre en œuvre le plan de traitement des risques ;
sécurité de l’information
Déterminer :
a.Ce qu’il est nécessaire de surveiller et de mesurer ;
b.Les méthodes de surveillance, de mesurage, d’analyse et d’évaluation, selon le cas,
Surveillance, mesures, pour assurer la validité des résultats;
9.1
analyse et évaluation c.Quand la surveillance et les mesures doivent être effectuées ;
d.Qui doit effectuer la surveillance et les mesures ;
e.Quand les résultats de la surveillance et des mesures doivent être analysés et évalués ;
f.Qui doit analyser et évaluer ces résultats.
Réaliser des audits internes à des intervalles planifiés pour déterminer si le SMSI est :
a.Conforme aux exigences propres de l’organisation et celles du 27001 ;
b.Efficacement mis en œuvre et tenu à jour ;
c.Planifier un ou plusieurs programmes d’audit,
9.2 Audit interne d.Définir les critères d’audit et le périmètre de chaque audit;
Évaluation des e.Sélectionner des auditeurs et réaliser des audits qui assurent l’objectivité et
9
performances l’impartialité
f.S’assurer qu’il est rendu compte des résultats des audits à la direction concernée;
g.Conserver des informations documentées comme preuves
La direction doit procéder à la revue du SMSI, afin de s’assurer qu’il est toujours
approprié, adapté et efficace. Elle doit prendre en compte :
a.L’état d’avancement des actions décidées ;
b.Les modifications des enjeux externes et internes ;
c.Les retours sur les performances de S.I : les non-conformités et les actions correctives,
9.3 Revue de direction les résultats de l’évaluation de la surveillance et des mesures, les résultats d’audit; et la
réalisation des objectifs.
d.Les retours d’information des parties intéressées ;
e.Les résultats de l’appréciation des risques et l’état d’avancement du plan de traitement
des risques ;
f.Les opportunités d’amélioration continue.
1 Amélioration 10. Non-conformité et actions a.Réagir à la non-conformité : La maîtriser et la corriger ; traiter les conséquences ;
� b.Évaluer pour éliminer la non-conformité pour qu’elle ne se reproduit plus : Examiner,
Déterminer les causes et si des non-conformité similaires existes ;
c.Mettre en œuvre toutes les actions requises;
1 correctives d.Réviser l’efficacité de toute action corrective mise en œuvre ;
0 e.Modifier, si nécessaire, le SMSI ;
f.Conserver des informations documentées de la nature des non-conformités ;
g.Conserver des informations documentées des résultats de toute action corrective.
10. L’organisation doit continuellement améliorer la pertinence, l’adéquation et l’efficacité du
Amélioration continue
2 SMSI.
