Scribd
Importer
41 vues4 pages

Documents Du SMSI

Le document présente une hiérarchie structurée des documents nécessaires pour un Système de Management de la Sécurité de l'Information (SMSI) selon l'ISO 27001, classés en quatre niveaux : politiques, procédures, instructions de travail et enregistrements. Chaque niveau détaille les éléments essentiels, des politiques stratégiques approuvées par la direction aux procédures opérationnelles et guides techniques. Il souligne également l'importance de l'évaluation de la pertinence, de l'approbation, de la mise en œuvre et de l'efficacité des documents par les auditeurs.

Transféré par

Tedjini Amine
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
41 vues4 pages

Documents Du SMSI

Le document présente une hiérarchie structurée des documents nécessaires pour un Système de Management de la Sécurité de l'Information (SMSI) selon l'ISO 27001, classés en quatre niveaux : politiques, procédures, instructions de travail et enregistrements. Chaque niveau détaille les éléments essentiels, des politiques stratégiques approuvées par la direction aux procédures opérationnelles et guides techniques. Il souligne également l'importance de l'évaluation de la pertinence, de l'approbation, de la mise en œuvre et de l'efficacité des documents par les auditeurs.

Transféré par

Tedjini Amine
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Absolument.

La force d'un Système de Management de la Sécurité de l'Information (SMSI) selon l'ISO


27001 repose sur un ensemble cohérent et hiérarchisé de documents. Voici une liste exhaustive et
structurée de toutes les communications et politiques de sécurité possibles, classées par niveau.

Hiérarchie des Documents du SMSI

Niveau 1 : Politiques (Intentions et Directives de la Direction)

Niveau 2 : Procédures (Comment mettre en œuvre les politiques)

Niveau 3 : Instructions de travail / Guides (Détails techniques pour une tâche spécifique)

Niveau 4 : Enregistrements (Preuves de l'activité et de la conformité)

---

1. Politiques de Niveau 1 (Stratégiques et Approuvées par la Direction)

A. Politique Fondamentale
Politique de Sécurité de l'Information (SMSI) : Le document fondateur, approuvé par la direction, qui
définit le cadre, les objectifs généraux, les principes directeurs et l'engagement de l'organisation en
matière de sécurité de l'information. C'est une exigence explicite de l'ISO 27001 (clause 5.2).

B. Politiques Spécifiques (ou Politiques Thématiques)


Ces politiques détaillent la position de l'organisation sur des domaines clés.

Politique de Classification et de Maîtrise de l'Information : Définit les niveaux de classification (ex:


Publique, Interne, Confidentiel, Restreint) et les règles de manipulation pour chaque niveau.

Politique de contrôle d'accès : Établit les règles pour l'attribution, la review et la révocation des droits
d'accès aux systèmes et données (principe du moindre privilège).

Politique de gestion des mots de passe : Définit les exigences de complexité, de longueur, de durée de
vie et de confidentialité des mots de passe.

Politique d'utilisation acceptable des actifs (AUP) : Définit les règles d'usage acceptable des ressources
informatiques (postes de travail, internet, email, cloud).

Politique de sécurité physique et environnementale : Couvre le contrôle d'accès aux locaux, les
mesures de protection contre les intrusions, les incendies, les dégâts des eaux.
Politique de sécurité des réseaux : Définit les règles pour la segmentation réseau, les configurations
des pare-feux, la gestion des connexions distantes (VPN).

Politique de cryptographie : Établit les règles pour l'utilisation et la gestion du chiffrement (protocoles,
gestion des clés) pour protéger les données au repos et en transit.

Politique de développement sécurisé (Secure SDLC) : Définit les exigences de sécurité à intégrer dans
le cycle de vie du développement logiciel.

Politique de gestion des fournisseurs et de la chaîne logistique : Établit les exigences de sécurité pour
le traitement des informations avec les tiers (audits, clauses contractuelles).

Politique de gestion des incidents de sécurité : Définit le processus de détection, reporting,


investigation et réponse aux incidents.

Politique de continuité d'activité et reprise après sinistre (PRA/PCA) : Cadre la planification et la testing
des plans pour assurer la disponibilité des systèmes critiques.

Politique de conformité : S'assure que le SMSI respecte les exigences légales, réglementaires (RGPD,
NIS 2, etc.) et contractuelles.

---

2. Documents de Niveau 2 (Procédures et Plans - "Le Comment")

Ces documents décrivent les processus pour implémenter les politiques.

Procédure de gestion des risques : Méthodologie pour identifier, analyser, évaluer et traiter les risques
liés à la sécurité de l'information.

Procédure de management des compétences et de sensibilisation : Détaille le programme de


formation et de sensibilisation à la sécurité pour tous les employés.

Procédure de gestion des assets : Processus d'inventaire, de classification et de gestion du cycle de vie
des actifs informationnels.

Procédures opérationnelles :

Procédure de gestion des sauvegardes et de restoration.

Procédure de gestion des logs et de monitoring.

Procédure de gestion des vulnérabilités et des correctifs (patching).

Procédure de gestion des configurations sécurisées (hardening).

Procédure de gestion des médias (utilisation, transport, destruction).


Procédure de gestion des incidents : Détaille les étapes précises de la réponse aux incidents (roles,
alerting, containment, eradication, recovery).

Procédure de gestion des changements : Processus pour évaluer et approuver tout changement ayant
un impact sur la sécurité des systèmes.

Plan d'audit interne : Planification et méthodologie pour les audits internes du SMSI.

Procédure de gestion des actions correctives et préventives (CAPA) : Méthode pour investiguer les
non-conformités et mettre en place des corrections.

---

3. Documents de Niveau 3 (Instructions de Travail et Guides - "Le


Quoi")

Des documents plus techniques et spécifiques.

Guide de configuration sécurisée pour les serveurs Windows/Linux.

Guide de configuration sécurisée pour les équipements réseau (switch, routeur, firewall).

Guide de développement sécurisé pour les programmeurs.

Checklist de sécurisation pour une nouvelle application.

Modèle de clause contractuelle de sécurité pour les fournisseurs.

Guide des bonnes pratiques pour le télétravail.

---

4. Communications et Preuves (Enregistrements - Niveau 4)

Ce sont les preuves tangibles de l'activité et de l'efficacité du SMSI.

Communications Internes :

Campagnes de sensibilisation (emails, affiches, formations).

Communications ciblées (alertes sécurité, rappels des politiques).


Comptes-rendus de réunions (revue de direction, comité de pilotage SMSI).

Rapports d'audit interne et plans d'actions associés.

Communications Externes :

Déclarations de conformité pour les clients ou partenaires.

Communications avec les autorités en cas d'incident majeur (CNIL, ANSSI).

Échanges avec les fournisseurs sur les exigences de sécurité.

Enregistrements (Preuves) :

Registre des risques et plan de traitement des risques.

Registre des incidents de sécurité et rapports d'investigation.

Rapports de revue de direction.

Resultats des audits (internes et externes).

Preuves de formation et de sensibilisation des employés.

Logs d'accès, rapports de monitoring, rapports de scans de vulnérabilités.

Procès-verbaux de tests des plans de reprise d'activité (PRA).

Principe Clé pour l'Auditeur

L'auditeur ne va pas simplement vérifier l'existence de ces documents. Il va surtout évaluer :

1. La pertinence : Le document est-il adapté au contexte de l'organisation ?

2. L'approbation : Est-il officiellement approuvé et diffusé ?

3. La mise en œuvre : Est-ce que la pratique sur le terrain correspond à ce qui est écrit dans la
procédure ? (Vérification par l'observation et l'échantillonnage).

4. L'efficacité : Le processus/document permet-il d'atteindre les objectifs de sécurité visés ?

Cette liste est un idéal à adapter à la taille, la complexité et le contexte de risque de chaque
organisation. Toutes les politiques ne sont pas obligatoires, mais elles doivent couvrir les domaines
pertinents identifiés par l'analyse des risques.

Vous aimerez peut-être aussi