Information

  • Lieu

  • Préparée par

  • Date et heure

  • Emplacement

4. Contexte de l'organisation

  • 4.1 Comprendre l'organisation et son contexte

  • L'organisme doit déterminer les observations externes et internes qui sont pertinentes par rapport à son objectif et qui affectent sa capacité à atteindre le ou les résultats escomptés de son système de gestion de la sécurité des informations.

  • 4.2 Comprendre les besoins et les attentes des parties intéressées

  • L'organisme doit déterminer<br>a) les parties intéressées qui sont concernées par le système de management de la sécurité de l'information ; et<br>b) les exigences de ces parties intéressées en matière de sécurité de l'information

  • 4.3 Déterminer la portée du système de gestion de la sécurité de l'information

  • L'organisme doit déterminer les limites et l'applicabilité du système de gestion de la sécurité des informations afin d'en établir le champ d'application.

  • 4.4 Système de gestion de la sécurité de l'information

  • L'organisme doit établir, mettre en œuvre, maintenir et améliorer en permanence un système de gestion de la sécurité de l'information, conformément aux exigences de la présente Norme internationale.

5. Direction

  • 5.1 Direction et engagement

  • La direction doit fournir la preuve de son engagement à l'égard de l'établissement, de la mise en œuvre, de l'exploitation, de la surveillance, de l'examen, de la maintenance et de l'amélioration du SGSI :

  • 5.1 (a) s'assurer que la politique de sécurité de l'information et les objectifs de sécurité de l'information sont établis et compatibles avec l'orientation stratégique de l'organisation ;

  • 5.1 (b) assurer l'intégration des exigences du système de gestion de la sécurité de l'information dans les processus de l'organisation ;

  • 5.1 (c) s'assurer que les ressources nécessaires au système de gestion de la sécurité de l'information sont disponibles ;

  • 5.1 (d) communiquer l'importance d'une gestion efficace de la sécurité des informations et de la conformité aux exigences du système de gestion de la sécurité des informations ;

  • 5.1 (e) s'assurer que le système de gestion de la sécurité de l'information atteint le ou les résultats escomptés ;

  • 5.1 (f) diriger et soutenir les personnes qui contribuent à l'efficacité du système de gestion de la sécurité de l'information ;

  • 5.1 (g) promouvoir une amélioration continue ; et

  • 5.1 (h) soutenir d'autres rôles de gestion pertinents pour démontrer leur leadership dans leurs domaines de responsabilité.

  • 5.2 Politique

  • La direction générale doit établir une politique de sécurité de l'information qui :<br>a) est appropriée à l'objectif de l'organisation ;<br>b) comprend des objectifs de sécurité de l'information (voir 6.2) ou fournit le cadre permettant de définir des paramètres de sécurité de l'information ;<br>c) comprend un engagement à satisfaire aux exigences applicables en matière de sécurité de l'information ; et<br>d) comprend un engagement d'amélioration continue du système de gestion de la sécurité de l'information.<br><br>La politique de sécurité de l'information doit<br>e) être disponible sous forme d'informations documentées ;<br>f) être communiquée au sein de l'organisation ; et<br>g) être mise à la disposition des parties intéressées, le cas échéant

  • 5.3 Rôles, responsabilités et pouvoirs de l'organisation

  • La direction générale doit veiller à ce que les responsabilités et les pouvoirs relatifs aux rôles pertinents pour la sécurité des informations soient attribués et communiqués.

6. Planning

  • 6.1 Actions pour faire face aux risques et aux opportunités

  • 6.1.1 Généralités

  • Lors de la planification du système de gestion de la sécurité de l'information, l'organisme doit prendre en compte les observations visées au point 4.1 et les exigences visées au point 4.2 et déterminer les risques et les opportunités qui doivent être pris en compte pour :<br>a) s'assurer que le système de gestion de la sécurité de l'information peut atteindre le ou les résultats escomptés ;<br>b) prévenir, ou réduire, les effets indésirables ; et<br>c) réaliser une amélioration continue

  • 6.1.1 (d) L'organisation doit planifier des actions pour faire face à ces risques et opportunités ; et

  • 6.1.1 (e) La société doit planifier comment :<br>1) intégrer et mettre en œuvre ces actions dans son système de gestion de la sécurité de l'information<br>processus ; et<br>2) évaluer l'efficacité de ces actions.

  • 6.1.2 Évaluation des risques liés à la sécurité de l'information

  • 6.1.2 (a) établit et maintient des critères de risque pour la sécurité de l'information qui comprennent :<br>1) les critères d'acceptation des risques ; et<br>2) les critères d'exécution des évaluations des risques pour la sécurité de l'information ;

  • L'organisme doit définir et appliquer un processus d'évaluation des risques de sécurité des informations qui :

  • 6.1.2 (b) garantit que des évaluations répétées des risques pour la sécurité de l'information produisent des résultats cohérents, valides et comparables ;

  • 6.1.2 (c) identifie les risques liés à la sécurité de l'information :<br>1) applique le processus d'évaluation des risques de sécurité de l'information pour identifier les risques associés à la perte de confidentialité, d'intégrité et de disponibilité des informations dans le cadre du système de gestion de la sécurité de l'information ; et<br>2) identifie les propriétaires des risques ;

  • 6.1.2 d) analyse les risques liés à la sécurité de l'information :<br>1) évalue les conséquences potentielles qui résulteraient si les risques identifiés au point 6.1.2 c) 1) se matérialisaient ;<br>2) évalue la probabilité réaliste de l'occurrence des risques identifiés au point 6.1.2 c) 1) ; et<br>3) détermine les niveaux de risque ;

  • 6.1.2 e) évalue les risques liés à la sécurité de l'information :<br>1) compare les résultats de l'analyse des risques avec les critères de risque établis en 6.1.2 a) ; et<br>2) classer les risques analysés par ordre de priorité pour le traitement des risques.

  • 6.1.3 Traitement des risques liés à la sécurité de l'information

  • L'organisme doit définir et appliquer un processus de traitement des risques liés à la sécurité des informations pour :

  • 6.1.3. (a) sélectionner des options appropriées de traitement des risques liés à la sécurité de l'information, en tenant compte des résultats de l'évaluation des risques ;

  • 6.1.3 (b) déterminer tous les contrôles nécessaires pour mettre en œuvre la ou les options de traitement des risques de sécurité de l'information choisies ;

  • 6.1.3 (c) comparer les contrôles déterminés au point 6.1.3 (b) ci-dessus avec ceux de l'annexe A et vérifier qu'aucun contrôle nécessaire n'a été omis ;

  • 6.1.3 (d) produire une déclaration d'applicabilité qui contient les contrôles nécessaires (voir 6.1.3.b et c) et la justification des inclusions, qu'elles soient mises en œuvre ou non, et la justification des exclusions de contrôles de l'annexe A ;

  • 6.1.3 (e) formuler un plan de traitement des risques liés à la sécurité de l'information ; et

  • 6.1.3 (f) obtenir l'approbation du plan de traitement des risques pour la sécurité de l'information par les propriétaires des risques et l'acceptation des risques résiduels pour la sécurité.

  • 6.2 Objectifs de sécurité de l'information et plans pour les atteindre

  • L'organisme doit établir des objectifs de sécurité des informations aux fonctions et niveaux pertinents.

  • Les objectifs de sécurité de l'information doivent<br>a) être cohérents avec la politique de sécurité de l'information ;<br>b) être mesurables (si possible) ;<br>c) tenir compte des exigences applicables en matière de sécurité de l'information, ainsi que des résultats de l'évaluation et du traitement des risques ;<br>d) être communiqués ; et<br>e) être mis à jour, le cas échéant.

  • Lors de la planification de la manière d'atteindre ses objectifs de sécurité de l'information, l'organisation doit déterminer :<br>f) ce qui sera fait ;<br>g) quelles ressources seront nécessaires ;<br>h) qui sera responsable<br>i) quand elle sera achevée ; et<br>j) comment les résultats seront évalués.

7. Assistance

  • 7.1 Ressources

  • L'organisme doit déterminer et fournir les ressources nécessaires pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue du système de gestion de la sécurité de l'information.

  • 7.2 Compétences

  • L'organisation doit :

  • 7.2 (a) déterminer la compétence nécessaire de la ou des personnes effectuant un travail sous son contrôle qui affecte ses performances en matière de sécurité de l'information ;

  • 7.2 (b) s'assurer que ces personnes sont compétentes sur la base d'un enseignement, d'une formation ou d'une expérience appropriés ;

  • 7.2 (c) le cas échéant, prendre des mesures pour acquérir la compétence nécessaire, et évaluer l'efficacité des mesures prises ; et

  • 7.2 (d) conserver les informations documentées appropriées comme preuve de compétence.

  • 7.3 Sensibilisation

  • Les personnes effectuant un travail sous le contrôle de l'organisation doivent être informées de :

  • 7.3 (a) la politique de sécurité de l'information ;

  • 7.3 (b) de leur contribution à l'efficacité du système de gestion de la sécurité de l'information, y compris les avantages d'une meilleure performance en matière de sécurité de l'information ; et

  • 7.3 (c) des conséquences de la non-conformité aux exigences du système de gestion de la sécurité de l'information.

  • 7.4 Communication

  • L'organisme doit déterminer le besoin de communications internes et externes relatives au système de gestion de la sécurité de l'information, y compris :

  • 7.4 (a) sur ce qu'il faut communiquer ;

  • 7.4 (b) quand communiquer ;

  • 7.4 (c) avec qui communiquer ;

  • 7.4 (d) qui doit communiquer ; et

  • 7.4 (e) les procédés par lesquels la communication est effectuée.

  • 7.5 Informations documentées

  • 7.5.1 Généralités

  • Le système de gestion de la sécurité de l'information de l'organisation doit comprendre :

  • 7.5.1 (a) les informations documentées requises par la présente Norme internationale ; et

  • 7.5.1 (b) les informations documentées déterminées par l'organisme comme étant nécessaires à l'efficacité du système de gestion de la sécurité des informations.

  • 7.5.2 Création et mise à jour

  • Lors de la création et de la mise à jour d'informations documentées, l'organisme doit s'assurer qu'elles sont appropriées :

  • 7.5.2 (a) l'identification et la description (par exemple, un titre, une date, un auteur ou un numéro de référence) ;

  • 7.5.2 (b) le format (par exemple, la langue, la version du logiciel, les graphiques) et le support (par exemple, papier, électronique) ; et

  • 7.5.2 (c) examen et approbation de la pertinence et de l'adéquation.

  • 7.5.3 Contrôle des informations documentées

  • Les informations documentées requises par le système de gestion de la sécurité de l'information et par la présente Norme internationale doivent être contrôlées pour garantir :

  • 7.5.3 (a) elles sont disponibles et adaptées à l'utilisation, où et quand elles sont nécessaires ; et

  • 7.5.3 (b) elles sont protégées de manière adéquate (par exemple contre la perte de confidentialité, l'utilisation abusive ou la perte d'intégrité).

  • Pour le contrôle des informations documentées, l'organisme doit aborder les activités suivantes, selon le cas :

  • 7.5.3 (c) la distribution, l'accès, la récupération et l'utilisation ;

  • 7.5.3 (d) le stockage et la conservation, y compris la préservation de la lisibilité ;

  • 7.5.3 (e) le contrôle des modifications (par exemple, le contrôle des versions) ; et

  • 7.5.3 (f) la conservation et la disposition.

  • Les informations documentées d'origine externe, déterminées par l'organisation comme étant nécessaires à la planification et au fonctionnement du système de gestion de la sécurité de l'information, doivent être identifiées comme appropriées et contrôlées.

8. Opérations

  • 8.1 Planification et contrôle opérationnels

  • L'organisme doit planifier, mettre en œuvre et contrôler les processus nécessaires pour répondre aux exigences de sécurité de l'information et pour mettre en œuvre les actions définies au point 6.1. L'organisme doit également mettre en œuvre des plans pour atteindre les objectifs de sécurité de l'information déterminés au point 6.2.

  • L'organisme doit conserver les informations documentées dans la mesure nécessaire pour avoir la certitude que les processus ont été exécutés comme prévu.

  • L'organisme doit contrôler les changements planifiés et examiner les conséquences des changements involontaires, en prenant des mesures pour atténuer tout effet négatif, le cas échéant.

  • L'organisme doit s'assurer que les processus externalisés sont déterminés et contrôlés.

  • 8.2 Évaluation des risques liés à la sécurité de l'information

  • L'organisme doit effectuer des évaluations des risques pour la sécurité des informations à intervalles planifiés ou lorsque des changements importants sont proposés ou se produisent, en tenant compte des critères établis au point 6.1.2.a.

  • L'organisme doit conserver des informations documentées sur les résultats des évaluations des risques pour la sécurité des informations.

  • 8.3 Traitement des risques liés à la sécurité de l'information

  • L'organisme doit mettre en œuvre le plan de traitement des risques liés à la sécurité des informations.

  • L'organisme doit conserver des informations documentées sur les résultats du traitement des risques pour la sécurité des informations.

9. Évaluation des performances

  • 9.1 Suivi, mesure, analyse et évaluation

  • L'organisme doit évaluer les performances en matière de sécurité des informations et l'efficacité du système de gestion de la sécurité des informations.

  • L'organisme doit déterminer :

  • 9.1 (a) ce qui doit être surveillé et mesuré, y compris les processus et les contrôles de sécurité de l'information ;

  • 9.1 (b) les méthodes de surveillance, de mesure, d'analyse et d'évaluation, le cas échéant, pour garantir des résultats valides ;

  • 9.1 (c) quand la surveillance et la mesure doivent être effectuées ;

  • 9.1 (d) qui doit surveiller et mesurer ;

  • 9.1 (e) quand les résultats de la surveillance et des mesures seront analysés et évalués ; et

  • 9.1 (f) qui doit analyser et évaluer ces résultats.

  • 9.2 Audit interne

  • L'organisme doit effectuer des audits internes à des intervalles planifiés pour fournir des informations sur le fait que le système de gestion de la sécurité de l'information :

  • 9.2 (a) est conforme<br>1) aux exigences propres à l'organisme pour son système de gestion de la sécurité de l'information ; et<br>2) aux exigences de la présente Norme internationale ;

  • 9.2 (b) est effectivement mis en œuvre et entretenu.

  • L'organisation doit :

  • 9.2 (c) planifier, établir, mettre en œuvre et maintenir un ou des programmes d'audit, y compris la fréquence, les méthodes, les responsabilités, les exigences de planification et les rapports. Le ou les programmes d'audit doivent tenir compte de l'importance des processus concernés et des résultats des audits précédents ;

  • 9.2 (d) définir les critères d'audit et la portée de chaque audit ;

  • 9.2 (e) sélectionner des auditeurs et réaliser des audits qui garantissent l'objectivité et l'impartialité du processus d'audit ;

  • 9.2 (f) s'assurer que les résultats des audits sont rapportés à la direction concernée ; et

  • 9.2 (g) conserver les informations documentées comme preuve du ou des programmes d'audit et des résultats de l'audit.

  • 9.3 Évaluation par la direction

  • La direction générale doit revoir le système de gestion de la sécurité de l'information de l'organisation à intervalles planifiés afin de s'assurer qu'il reste adapté, adéquat et efficace.

  • L'examen de la gestion doit prendre en compte les éléments suivants :

  • 9.3 (a) le statut des actions des revues précédentes de la direction ;

  • 9.3 (b) les changements dans les observations externes et internes qui sont pertinentes pour le système de gestion de la sécurité de l'information ;

  • 9.3 (c) un retour d'information sur les performances en matière de sécurité de l'information, y compris les tendances en matière de :<br>1) non conformités et actions correctives ;<br>2) résultats de la surveillance et de la mesure<br>3) résultats des audits ; et<br>4) de la réalisation des objectifs de sécurité de l'information ;

  • 9.3 (d) un retour d'information des parties intéressées ;

  • 9.3 (e) les résultats de l'évaluation des risques et l'état du plan de traitement des risques ; et

  • 9.3 (f) les possibilités d'amélioration continue.

  • Les résultats de l'évaluation par la direction doivent inclure les décisions relatives aux possibilités d'amélioration continue et à toute nécessité de modification du système de gestion de la sécurité des informations. L'organisme doit conserver les informations documentées comme preuve des résultats des évaluations par la direction.

10. Améliorations

  • 10.1 Non-conformité et actions correctives

  • Lorsqu'une non-conformité survient, l'organisme doit :

  • 10.1 (a) réagir à la non-conformité, et selon le cas :<br>1) prendre des mesures pour la contrôler et la corriger ; et<br>2) traiter les conséquences ;

  • 10.1 (b) évaluer la nécessité d'une action pour éliminer les causes de la non-conformité, afin qu'elle ne se reproduise pas ou ne se reproduise pas ailleurs, en :<br>1) examinant la non-conformité ;<br>2) déterminant les causes de la non-conformité ; et<br>3) déterminant si des non-conformités similaires existent ou pourraient se produire ;

  • 10.1 (c) mettre en œuvre toute action nécessaire ;

  • 10.1 (d) examiner l'efficacité de toute mesure corrective prise ; et

  • 10.1 (e) apporter des modifications au système de gestion de la sécurité des informations, si nécessaire.

  • Les actions correctives doivent être adaptées aux effets des non-conformités rencontrées.

  • L'organisme doit conserver les informations documentées comme preuve de :

  • 10.1 (f) la nature des non-conformités et les mesures prises par la suite, et

  • 10.1 (g) les résultats de toute action corrective.

  • 10.2 Améliorations continues

  • L'organisme doit améliorer en permanence l'adéquation, la pertinence et l'efficacité du système de gestion de la sécurité des informations.

Achèvement

  • Commentaires / recommandations

  • Nom et signature

The templates available in our Public Library have been created by our customers and employees to help get you started using SafetyCulture's solutions. The templates are intended to be used as hypothetical examples only and should not be used as a substitute for professional advice. You should seek your own professional advice to determine if the use of a template is permissible in your workplace or jurisdiction. You should independently determine whether the template is suitable for your circumstances.