Clause 4.4 : Système de management de la sécurité de l’information

par | Sep 9, 2021 | ISO 27001 | 0 commentaires

4.4 Système de management de la sécurité de l’information

L’exigence 4.4 de la norme internationale ISO 27001, Systèmes de Management de la Sécurité de l’Information (SMSI) est une clause à part entière. Elle est simple à comprendre et facile à traiter. Une partie qui ne vous prendra que quelques minutes.

Cependant, il est nécessaire que l’entreprise puisse penser aux contours qu’il comporte avant de vite cocher la case et de passer à autre chose.

Voyons ensemble les éléments à considérer sur le SMSI pour ne pas rater certaines opportunités.

Qu’est-ce que la norme ISO 27001 ?

La norme ISO 27001 est celle qui assure la sécurité de l’information de votre entreprise. Elle est créée par des organismes internationaux et a pour objectif de protéger l’entreprise contre :

  • Les cyberattaques ; 
  • Les vols ; 
  • Les pertes d’informations ou financières.

Le but principal de la norme ISO 27001 est fondé sur trois aspects de l’information. Elle œuvre donc pour assurer :

  • La confidentialité de l’information ;
  • L’intégrité de l’information ;
  • La disponibilité de l’information. 

Le-SMSI-selon-ISO-27001-2-Preparation-a-un-projet-de-SMSI-et-le-cycle-PDCA-LISO-27001 (1)

Source : researchgate

Elle peut s’appliquer à toutes les entreprises, peu importe la taille ou le secteur. Mis à part le fait d’aider les entreprises à bien gérer la sécurité de leurs informations, il existe une certification pour les entreprises qui ont su bien intégrer cette norme à leurs structures.

La certification ISO 27001 est obtenue, lorsqu’une entreprise invite un organisme de certification accrédité pour lui faire un audit. Lorsque ce dernier s’avère concluant, l’organisme de certification délivre à l’entreprise un certificat ISO 27001. 

Elle est valide pour une période de 3 ans au cours de laquelle la structure de certification vérifiera si l’entreprise tient bon dans la marche du système de management de la sécurité de l’information instauré.

La certification n’est pas une chose vaine bien au contraire, elle octroie un avantage commercial ainsi que professionnel pour les entreprises et les personnes qui l’obtiennent.

Clause 4.4 : Le SMSI et ses contours.

La clause 4.4 de la norme ISO 27001 est une clause de quelques lignes seulement jugée souvent sans grande utilité.

Titrée comme, système de management de la sécurité de l’information, cette clause dit ceci : 

L’entreprise doit mettre en œuvre, maintenir et améliorer continuellement un système de gestion de la sécurité de l’information qui se doit d’être conforme aux exigences de la norme ISO 27001. 

Sans plus tarder, nous allons passer directement aux choses à comprendre pour mieux respecter cette exigence.

SMSI autonome ou intégré 

La question que vous devez vous poser lorsque vous commencez la procédure de mise en œuvre est de savoir, comment votre système de management de la sécurité de l’information doit être. 

Aimeriez-vous qu’il soit : 

  • Un système évoluant de manière indépendante (autonome) dans votre entreprise ;
  • Un système qui figure tel un manuel à parcourir par les usagers ;
  • Un système intégré à un élément bien particulier.

Par exemple, lorsque vous détenez ISO 9001, 14001 ou 45001, il est quasi normal d’intégrer les exigences de la norme ISO 27001 au document de norme que vous avez créé. Sur ce plan, nous devons vous rappeler qu’il est important et impératif de détenir un document unique dans lequel vous intégrez toutes les normes ISO auxquelles vous avez opté.

Ce ne sera pas une tâche compliquée à effectuer, car toutes les normes ISO possèdent la même structure de haut niveau. Il s’agit :

  • Portée ;
  • Références normatives ;
  • Termes et définitions ;
  • Contexte de l’organisation :
  • Leadership ;
  • Planification ;
  • Support ;
  • Opération ;
  • Performance ;
  • Amélioration de l’évaluation.

Nous sommes en présence ici, de la structure de niveau supérieur ISO. Elle liste les titres à suivre par toutes les normes ISO actuelles. Ce qui favorise une méthode de travail beaucoup plus fluide et est probablement la méthode idéale pour l’intégration

Pour intégrer les exigences de norme ISO 27001, vous pouvez tout simplement parcourir le système 9001/14001/45001, pour rechercher à quel niveau inclure la portée.

Concernant le système autonome, c’est avec un grand oui que nous répondons à la question : “Est-ce qu’un SMSI peut évoluer de manière indépendante dans une entreprise ?” 

En effet, votre système ne peut qu’être autonome, si vous ne détenez pas d’autres normes que la norme ISO 27001 à intégrer dans le document.

Élaboration minutieuse du SMSI

Vous devez cogiter par rapport à la liste des éléments que contient la stipulation de la clause 4.4, puis réfléchir aux actions que vous devez entreprendre pour mieux atteindre les objectifs.

Surveillance SMSI

Source : Docplayer

Voici les éléments élaborés d’une certaine manière :

  • Instituer/Établir : Un coup d’œil dans le dictionnaire nous informe qu’il s’agit de construire ou de fonder quelque chose sur une base solide. De la même manière quand il s’agit du SMSI, il constitue la base de création de toutes vos procédures et instructions. Le point de démarrage de tous les processus en exécution ;
  • Mise en œuvre : À ce niveau, plusieurs personnes s’en mêlent les pinceaux. N’est-ce pas la même chose qu’établir disent-ils ? Bien évidemment que non ! Mettre en œuvre est le fait d’effectuer réellement une action, il peut s’agir donc de former votre personnel a employé le système et à s’y intégrer parfaitement. Il existe plusieurs moyens de mise en œuvre, choisissez ce qui va dans l’intérêt de votre entreprise. Surtout, ne forcez pas. Prenez le soin de bien examiner la compatibilité des actions avec le système bien avant la mise en œuvre ;
  • Maintenir : La maintenance de votre système consiste à ce que vous mainteniez votre système à jour, que vous respectiez les exigences légales et que vous utilisiez les meilleures méthodes qui seront bénéfiques pour votre entreprise ;
  • Amélioration permanente : Vous ne voudrez probablement pas que votre système se fige. Si c’est le cas, cela ne veut pas dire qu’il se tient sur place, mais il risque de reculer. Non seulement ça, cela signifie que vos employés ne s’activent pas et n’emploient pas le système de sécurité. Il vous revient d’être en mesure de prouver que votre système tient debout, s’améliore et apporte une réelle valeur à l’entreprise. Et surtout un système qui ne serait pas un handicap pour la croissance de votre entreprise.

Par ailleurs, pour chaque élément précité, vous devez identifier les personnes qui pourront intervenir à chaque fois. Cela pourrait être les parties prenantes et les personnes dont leur implication s’avère nécessaire pour le bon fonctionnement du SMSI. 

Résumé 

La clause 4.4 souhaite qu’on la mette en exécution tout comme les autres exigences que requiert la norme ISO 27001. 

Elle parle du système de management de la sécurité de l’information, qui est un concept facile à comprendre et à traiter. Du moins, pour ceux qui ont lu cet article bien sûr. 

Nous y avons décrit quelques facteurs dont il faut tenir compte pour réussir son SMSI. Mais si vous avez des préoccupations ou des apports, n’hésitez pas à les partager avec nous dans les commentaires.

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *