EXIGENCES ISO / CEI 27001

1. Domaine d'application

La présente Norme internationale spécifie les exigences relatives à l'établissement, à la mise en œuvre, à la mise à jour et à l'amélioration continue d'un système de management de la sécurité de l'information dans le contexte d'une organisation.

La présente Norme internationale comporte également des exigences sur l'appréciation et le traitement des risques de sécurité de l'information, adaptées aux besoins de l'organisation.

Les exigences fixées dans la présente Norme internationale sont génériques et prévues pour s'appliquer à toute organisation, quel que soient son type, sa taille et sa nature.

Il n'est pas admis qu'une organisation s'affranchisse de l'une des exigences spécifiées aux Articles 4 à 10 lorsqu'elle revendique la conformité à la présente Norme internationale.

2. Références normatives

Les documents suivants, en tout ou partie, sont référencés de manière normative dans le présent document et sont indispensables à son application.

Pour les références datées, seule l'édition citée s'applique.

Pour les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels amendements).

3. Termes et définitions

Pour les besoins du présent document, les termes et définitions fournis dans la norme ISO / CEI 27000 s'appliquient.

4. Contexte de l'organisation

4.1 Compréhension de l'organisation et de son contexte.

 L'organisation doit déterminer les enjeux externes et internes pertinents compte tenu de sa mission et qui influent sur sa capacité à obtenir le(s) résultat(s) attendu(s) de son système de management de la sécurité d'information.

4.2 Compréhension des besoins et des attentes des parties intéressées.

L'organisation doit déterminer :

1) Les parties intéressées qui sont concernées par le système de management de la sécurité de l'information.

2) Les exigences de ces parties intéressées concernant la sécurité de l'information.

4.3 Détermination du domaine d'application du système de management de la sécurité de l'information.

Pour établir le domaine d'application du système de management de la sécurité de l'information, l'organisation doit en déterminer les limites et l'applicabilité.

Lorsqu'elle établit ce domaine d'application, l'organisation doit prendre en compte : 

1) Les enjeux externes et internes auxquels il est fait référence au point 4.1.

2) Les exigences auxquelles il est fait référence au point 4.2.

3) Les interfaces et les dépendances existant entre les activités réalisées par l'organisation et celles réalisées par d'autres organisation en son sein ou en prestations externes.

Le domaine d'application doit être disponible sous forme d'information documentée.

4.4 Système de management de la sécurité de l'information

L'organisation doit établir, mettre en œuvre, tenir à jour et améliorer continuellement un système de management de la sécurité de l'information, conformément aux exigences de la présente Norme internationale.

5.Leadership

5.1 Leadership et engagement

La direction doit faire preuve de leadership et affirmer son engagement en faveur du système de management de la sécurité de l'information en :

1) s'assurant qu'une politique et des objectifs sont établis en matière de sécurité de l'information et qu'ils sont compatibles avec l'orientation stratégique de l'organisation;

2) s'assurant que les exigences liées au système de management de la sécurité de l'information sont intégrées aux processus métiers de l'organisation;

3) s'assurant que les ressources nécessaires pour le système de management de la sécurité de l'information sont disponibles;

4) communiquant sur l'importance de disposer d'un management de la sécurité de l'information efficace et de se conformer aux exigences du système de management de la sécurité de l'information;

5) s'assurant que le système de management de la sécurité de l'information produit le ou les résultats escomptés;

6) orientant et soutenant les personnes pour qu'elles contribuent à l'efficacité du système de management de la sécurité de l'information;

7) promouvant l'amélioration continue;

8) aidant les autres managers concernés à faire également preuve de leadership dès lors que cela s'applique à leurs domaines de responsabilités.

5.2 Politique

La direction doit établir une politique de la sécurité de l'information qui :

1) est adaptée à la mission de l'organisation;

2) inclut des objectifs de sécurité de l'information (voir en 6.2) ou fournit un cadre pour l'établissement de ces objectifs;

3) inclut l'engagement de satisfaire aux exigences applicables en matière de sécurité de l'information;

4) inclut l'engagement d'œuvrer pour l'amélioration continue du système de management de la sécurité de l'information.

La politique de sécurité de l'information doit:

1) être disponible sous forme d'information documentée;

2) être communiquée au sein de l'organisation;

3) être mise à la disposition des parties intéressées, le cas échéant.

5.3 Rôles, responsabilités et autorités au sein de l'organisation

La direction doit s'assurer que les responsabilités et autorités des rôles concernés par la sécurité de l'information sont attribuées et communiquées au sein de l'organisation.

La direction doit désigner qui a la responsabilité et l'autorité de:

1) s'assurer que le système de management de la sécurité de l'information est conforme aux exigences de la présente Norme internationale;

2) rendre compte à la direction des performances du système de management de la sécurité de l'information.

La direction peut également attribuer des responsabilités et autorités pour rendre compte des performances du système de management de la sécurité de l'information au sein de l'organisation.

6. Planification

6.1 Actions liées aux risques et opportunités

6.1.1 Généralités

Lorsqu'elle conçoit son système de management de la sécurité de l'information, l'organisation doit tenir compte des enjeux de 4.1 et des exigences de 4.2 et déterminer les risques et les opportunités qui nécessitent d'être abordés pour :

1) s'assurer que le système de management de la sécurité de l'information peut atteindre le ou les résultats escomptés;

2) empêcher ou limiter les effets indésirables;

3) appliquer une démarche d'amélioration continue.

L'organisation doit planifier:

1) les actions menées pour traiter ces risques et opportunités

2) la manière :

a) d'intégrer et de mettre en œuvre les actions aux sein des processus du système de management de la sécurité de l'information;

b) d'évaluer l'efficacité de ces actions.

6.1.2 Appréciation des risques de sécurité de l'information

L'organisation doit définir et appliquer un processus d'appréciation des risques de sécurité de l'information qui :

1) établit et tient à jour les critères de risque de sécurité de l'information incluant:

a) les critères d'acceptation des risques;

b) les critères de réalisation des appréciations des risques de sécurité de l'information;

2) s'assurer que la répétition de ces appréciation des risques produit des résultats cohérents, valides et comparables;

3) identifie les risques de sécurité de l'information :

a) applique le processus d'appréciation des risques de sécurité de l'information pour identifier les risque liés à la perte de confidentialité, d'intégrité et de disponibilité des informations entrant dans le domaine d'application du système de management de la sécurité de l'information;

b) identifie les propriétaires des risques;

4) analyse les risques de sécurité de l'information :

a) apprécie les conséquences potentielles dans le cas où les risques identifiés en 6.1.2 se concrétisent;

b) procède à une évaluation réaliste de la vraisemblance d'apparition des risques identifiés en 6.1.2;

c) détermine les niveaux des risques;

5) évalue les risques de sécurité de l'information :

a) compare les résultats d'analyse des risques avec les critères de risques déterminés en 6.1.2;

b) priorise les risques analysés pour le traitement des risques.

L'organisation doit conserver des informations documentées sur le processus des risques de sécurité de l'information.

6.1.3 traitement des risques de sécurité de l'information

L'organisation doit définir et appliquer un processus de traitement des risques de sécurité de l'information pour :

1) choisir les options de traitement des risques appropriées, en tenant compte des résultats de l'appréciation des risques;

2) déterminer toutes les mesures nécessaires à la mise en œuvre de(s) (l')option(s) de traitement des risques de sécurité de l'information choisie(s);

Les organisations peuvent concevoir ces mesures, le cas échéant, ou bien les identifier à partir de n'importe quelle source.

3) comparer les mesures déterminées ci-dessus en 6.1.3 avec celles de l'Annexe A et vérifier qu'aucune mesure nécessaire n'a été omise;

L'Annexe A comporte une liste détaillée d'objectifs et de mesure. Les utilisateurs de la présente Norme internationale sont invités à se reporter à l'Annexe A pour s'assurer qu'aucune mesure nécessaire n'a été négligée.

Les objectifs sont implicitement inclus dans les mesures choisies. Les objectifs et les mesures énumérés dans l'Annexe A ne sont pas exhaustifs, des objectifs et des mesures additionnels peuvent s'avérer nécessaires. 

4) produire une déclaration d'applicabilité contenant les mesures nécessaires (voir en 6.1.3) et la justification de leur insertion, le fait qu'elles soient mises en œuvre ou non, et la justification de l'exclusion de mesure de l'Annexe A;

5) élaborer un plan de traitement des risques de sécurité de l'information;

6) obtenir des propriétaires des risques l'approbation du plan de traitement des risques et l'acceptation des risques résiduels de sécurité de l'information.

L'organisation doit conserver des informations documentées sur le processus de traitement des risques de sécurité de l'information.

L'appréciation des risques de sécurité de l'information et le processus de traitement figurant dans la présente Norme internationale s'alignent sur les principes et les lignes directrices générales fournies dans l'ISO 31000.

6.2 Objectifs de sécurité de l'information et plans pour les atteindre

L'organisation doit établir, aux fonctions et niveaux concernés, des objectifs de sécurité de l'information.

Les objectifs de sécurité de l'information doivent:

1) être cohérents avec la politique de sécurité de l'information;

2) être mesurables (si possible);

3) tenir compte des exigences applicable à la sécurité de l'information, des résultats de l'appréciation et du traitement des risques;

4) être communiqués;

5) être mise à jour quand cela est approprié.

L'organisation doit conserver des informations documentées sur les objectifs liés à la sécurité de l'information.

Lorsqu'elle planifie la façon à atteindre ses objectifs de sécurité de l'information, l'organisation doit déterminer:

1) ce qui sera fait;

2) les ressources qui seront nécessaires;

3) qui sera responsable;

4) les échéances;

5) la façon dont les résultats seront évalués.


7. SUPPORT

7.1 Ressources

L'organisation doit identifier et fournir les ressources nécessaires à l'établissement, la mise en œuvre, la tenue à jour et à l'amélioration continue du système de management de la sécurité informatique.

7.2 Compétence

L'organisation doit:

1) déterminer les compétences nécessaires de la ou des personnes effectuant, sous son contrôle, un travail qui a une incidence sur les performances de la sécurité de l'information;

2) s'assurer que ces personnes sont compétentes sur la base d'une formation initiale ou continue ou d'un expérience appropriée;

3) le cas échéant, mener des actions pour acquérir les compétences nécessaires et évaluer l'efficacité des actions entreprises;

4) conserver les informations documentées appropriées comme preuves de ces compétences.

Les actions envisageables peuvent notamment inclure la formation, l'encadrement ou la réaffectation du personnel actuellement employé ou le recrutement, direct ou en sous-traitance, de personne compétentes.

7.3 Sensibilisation

Les personnes effectuant un travail sous contrôle de l'organisation doivent:

1) être sensibilisées à la politique de sécurité de l'information;

2) avoir conscience de leur contribution à l'efficacité du système de management de la sécurité de l'information, y compris aux effets positifs d'une amélioration des performances de la sécurité de l'information;

3) avoir conscience des implications de toute non-conformité aux exigences requises par le système de management de la sécurité de l'information.

7.4 Communication

L'organisation doit déterminer les besoins de communication interne et externe pertinents pour le système de management de la sécurité de l'information, et notamment:

1) sur quels sujets communiquer;

2) à quels moments communiquer;

3) avec qui communiquer;

4) qui doit communiquer;

5) les processus par lesquels la communication doit s'effectuer.

7.5 Informations documentées

7.5.1 Généralités

Le système de management de la sécurité de l'information de l'organisation doit inclure:

1) les informations documentées exigées par la présente Norme internationale;

2) les informations documentées que l'organisation juge nécessaires à l'efficacité du système de management de la sécurité de l'information.

L'étendue des informations documentées dans le cadre d'un système de management de la sécurité de l'information peut différer selon l'organisation en fonction de :

a) la taille de l'organisation, ses domaines d'activité et ses processus, produits et services;

b) la complexité des processus et de leurs interactions;

c) la compétence des personnes.

7.5.2 Création et mise à jour

Quand elle crée et met à jour ses informations documentées, m'organisation doit s'assurer que les éléments suivants sont appropriés:

1) identification et description (par exemple titre, date, auteur, numéro de référence);

2) format (par exemple langue, version logicielle, graphiques) et support (par exemple, papier, électronique);

3) examen et approbation du caractère approprié et pertinent des informations.

7.5.3 Maitrise des informations documentées

Les informations documentées exigées par le système de management de la sécurité de l'information et par la présente Norme internationale doivent être contrôlées pour s'assurer:

1) qu'elles sont disponibles et conviennent à l'utilisation, où et quand elles sont nécessaires;

2) qu'elles sont correctement protégées (par exemple, de toute perte de confidentialité, utilisation inappropriée ou perte d'intégrité).

Pour contrôler les informations documentées, l'organisation doit traiter des activités suivantes, quand elles lui sont applicables:

1) distribution, accès, récupération et utilisation;

2) stockage et conservation, y compris préservation de la lisibilité;

3) contrôle des modifications (par exemple contrôle des versions);

4) durée de conservation et suppression.

Les informations documentées d'origine externe que l'organisation juge nécessaires à la planification et au fonctionnement du système de management de la sécurité de l'information doivent être identifiées comme il convient et maîtrisées.

L'accès implique une décision concernant l'autorisation de consulkter les informations documentées uniquement, ou l'autorisation et l'autorité de consulter et modifier les informations documentées, etc.

8 Fonctionnement

8.1 Planifications et contrôles opérationnels

L'organisation doit planifier, mettre en œuvre et contrôler les processus nécessaires à la satisfaction des exigences liées à la sécurité de l'information et à la réalisation des actions déterminées en 6.1.

L'organisation doit également mettre en œuvre des plans pour atteindre les objectifs de sécurité de l'information définis en 6.2.

L'organisation doit conserver des informations documentées dans une mesure suffisante pour avoir l'assurance que les processus ont été suivis comme prévu.

L'organisation doit contrôler les modifications prévues, analyser les conséquences des modifications imprévues et, si nécessaire, mener des actions pour limiter tout effet négatif.

L'organisation doit s'assurer que les processus externalisées sont définis et contrôlés.

8.2 Appréciation des risques de sécurité de l'information

L'organisation doit réaliser des appréciations des risques de sécurité de l'information à des intervalles planifiées ou quand des changements significatifs sont prévus ou ont lieu, en tenant compte des critères établis en 6.1.2.

L'organisation  doit conserver des informations documentées sur les résultats des processus d'appréciation des risques de sécurité de l'information.

8.3 Traitement des risques de sécurité de l'information

L'organisation doit mettre en œuvre le plan de traitement des risques de sécurité de l'information.

L'organisation doit conserver des informations documentées sur les résultats du traitement des risques de sécurité de l'information.

9. Evaluation des performances

9.1 Surveillance, mesure, analyse et évaluation

L'organisation doit évaluer les performances de sécurité de l'information, ainsi que l'efficacité du système de management de la sécurité de l'information.

L'organisation doit déterminer:

1) ce qu'il est nécessaire de surveiller et de mesurer, y compris les processus et les mesures de sécurité de l'information;

2)  les méthodes de surveillance, de mesurage, d'analyse et d'évaluation, selon le cas, pour assurer la validité des résultats;

Il convient que les méthodes choisies donnent des résultats comparables et reproductibles pour être considérées comme valables.

3) quand la surveillance et les mesures doivent être effectuées;

4) qui doit effectuer la surveillance et les mesures;

5) quand les résultats de la surveillance et des mesures doivent être analysés et évalués;

6) qui doit analyser et évaluer ces résultats.

L'organisation doit conserver les informations documentées appropriées comme prévues des résultats de la surveillance et des mesures.

9.2 Audit interne

L'organisation doit réaliser des audits internes à des intervalles planifiée afin de recueillir des informations permettant de déterminer si le système de management de la sécurité de l'information:

1) est conforme:

a) aux exigences propres de l'organisation concernant son système de management de la sécurité de l'information;

b) aux exigences de la présente Norme internationale;

2) est efficacement mis en œuvre et tenu à jour.

L'organisation doit:

1) planifier, établir, mettre en œuvre et tenir à jour un ou plusieurs programmes d'audit, couvrant notamment la fréquence, les méthodes, les responsabilités, les exigences de planification et l'élaboration des rapports.

Le ou les programmes d'audit doivent tenir compte de l'importance des processus concernés et des résultats des audits précédents;

2) définir les critères d'audit et le périmètre de chaque audit;

3) sélectionner des auditeurs et réaliser des audits qui assurent l'objectivité et l'impartialité du processus d'audit;

4) s'assurer qu'il est rendu compte des résultats des audits à la direction concernée;

5) conserver des informations documentées comme preuves de la mise en œuvre du ou des programme(s) d'audit et des résultats d'audit.

9.3 Revue de direction

A des intervalles planifiés, la direction doit procéder à la revue du système de management de la sécurité de l'information mise en place par l'organisation, afin de s'assurer qu'il est toujours approprié, adapté et efficace.

La revue de la direction doit prendre en compte:

1) l'état d'avancement des actions décidées à l'issue des revues de direction précédentes;

2) les modifications des enjeux externes et internes pertinents pour le système de management de la sécurité de l'information;

3) les retours sur les performances de la sécurité de l'information, y compris les tendances concernant:

a) les non-conformités et les actions correctives;

b) les résultats de l'évaluation de la surveillance et des mesures;

c) les résultats des audits;

d) la réalisation des objectifs en matière de sécurité de l'information;

4) les retours d'information des parties intéressées;

5) les résultats de l'appréciation des risques et l'état d'avancement du plan de traitement des risques;

6) les opportunités d'amélioration continue.

Les conclusions de la revue de direction doivent inclure les décision relatives aux opportunités d'amélioration continue et aux éventuels changements à apporter au système de management de la sécurité de l'information.

L'organisation doit conserver des informations documentées comme preuves des conclusions des revues de direction.

10. Amélioration

10.1 Non-conformité et actions correctives

Lorsqu'une non conformité se produit, l'organisation doit: 

1) réagir à la non-conformité, et le cas échéant:

a) agir pour la maîtriser et la corriger ;

b) traiter les conséquences;

2) évaluer s'il est nécessaire de mener une action pour éliminer les causes de la non-conformité, de sorte qu'elle ne se reproduise plus, ou qu'elle ne se reproduise pas ailleurs. A cet effet l'organisation :

a) examine la non-conformité;

b) détermine les causes de non-conformité;

c) détermine si des non-conformités similaires existent; ou pourraient se produire;

3) mettre en œuvre toutes les actions corrective mise en œuvre;

4) modifier, si nécessaire, le système de management de sécurité de l'information.

Les actions correctives doivent être à la mesure des effets des non-conformités rencontrées.

L'organisation doit conserver des informations documentées comme preuves:

1) de la nature des non-conformités et de toute action subséquente;

2) des résultats de toute action corrective.

10.2 Amélioration continue

L'organisation doit continuellement améliorer la pertinence, l'adéquation et l'efficacité du système de management de la sécurité de l'information.