ISO 27001:2013

ISO 27001

Système de Management de la
Sécurité de l’Information

Date de publication octobre 2013
Nombre de pages (corps du document) 10
Nombre de pages (annexes) 13
Traduction en français Oui

Synthèse de la norme

ISO 27001:2013 est la norme centrale de la famille ISO 2700x, c’est la norme d’exigences qui définit les conditions pour mettre en oeuvre et documenter un SMSI.

La Norme internationale ISO 27001:2013 est décomposée en 6 chapitres principaux (du chapitre 4 au chapitre 10, ce qui représente 10 pages) :

  • Chapitre 4 : Contexte de l’organisation : périmètre du SMSI, interfaces, domaine d’application
  • Chapitre 5 : Leadership : Engagement de la Direction Générale et définition des responsabilités vis à vis du SMSI
  • Chapitre 6 :  Planification : Management des risques et définition du portefuille des mesures de sécurité
  • Chapitre 7 : Ressources : Ressources humaines et compétences, communication (interne & externe), gestion de la documentation (sécurité et SMSI), 
  • Chapitre 8 :  Fonctionnement : Contrôle opérationnels, appréciation et traitement des risques
  • Chapitre 9 : Evaluation des performances : Audit interne, revues de Direction, Surveillance, mesures, ..
  • Chapitre 10 : Amélioration : Traitement des non-conformités, actions correctives, amélioration continue

Exigences vis à vis de la documentation du SMSI

ISO 27001 exige certains documents :

  • Pour la partie définition du périmètre :
    • La politique du SMSI qui définit le périmètre du SMSI (business, légal, interfaces …) : ce document de quelques pages était souvent séparé de la PGSI, 
  • Pour la partie Gestion des Risques (voir ISO 27005) :
    • une description de la méthodologie d’appréciation du risques (attention donc aux méthodes « maison » faites avec 3 feuilles excel)
    • un rapport d’appréciation du risque
    • le plan de traitement du risque
  • Pour la partie déploiement
    • les procédures documentées, ISO 27001 n’exige pas procédure en particulier :
      • alors que l’ISO 9001:2008 exige qu’il ait des «procédures documentées» pour les six activités suivantes : Maîtrise des documents – Maîtrise des enregistrements – Audit interne – Maîtrise du produit non conforme – Actions correctives – Actions préventives
  • Pour la partie contrôle :
    • les enregistrements apportant la preuve que le SMSI est appliqué et fonctionne efficacement
    • mais également les rapports d’audit interne ou externe
    • l’ensemble de ces éléments devant être « lisibles, faciles à identifier et accessibles »

Evidemment ISO 27001 demande que la documentation soit bien gérée (circuit de validation, versionning, publiés, archivés, ..), bref il devient assez vite souhaitable de disposer d’un Wiki d’entreprise pour gérer cette ensemble documentaire.

Evolutions de la version ISO 27001:2013

Par rapport à la version 2005, cette évolution de la norme apporte des simplication et des clarifications :

  • l’élaboration de la politique de sécurité est de la responsabilité du Top Management
  • diminution du nombre de documents imposés (PGSI, Politique SMSI, ..)
  • possibilité d’utiliser une méthode de gestion des risques non documentée de façon formelle 
  • indication claire que l’annexe A des mesures de scéurité peut être complétée par des mesures de sécurité adaptées aux enjeux

Cette évolution peut être vue comme une ouverture pour simplifier la certification (qui en l’état reste facile), notamment pour les PME ou, si on est optimiste, pour oter tout le formalisme abscons des documents imposés que les auditeurs, en général, n’analysaient que rapidement. 

Quelques définitions

En fait le chapitre des définitions reprend les définitions des différentes normes « référentes » (ISO 73, ISO 9000)

mesure de sécurité (en l’anglais control dans la 27002) : moyens de gestion du risque, comprenant les politiques, les procédures, les lignes directrices, les pratiques ou l’organisation, qui peuvent être de nature administrative, technique, manégériale ou juridique

SMSI : partie du système de management global, basée sur une approche du risque lié à l’activité, visant à établir, mettre en oeuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l’information.

COPYRIGHT YSOSECURE © 2002 - 2021