Les cyberattaques sont fréquentes de nos jours et nombre d’entreprises cherchent à obtenir la certification ISO 27001. En 2016, le nombre d’entreprises qui a obtenu cette certification a augmenté de 20 % comparativement à 2015.

En effet, la certification ISO 27001 est liée à la sécurité de l’information et fournit un cadre solide pour la protection des données dans les organisations de toutes tailles et de différents domaines d’activités.

Elle est donc importante pour les entreprises qui ont une exposition accrue au risque de cyberattaque. Pour obtenir cette certification, la norme ISO 27001 préconise un certain nombre d’exigences qui vont de la planification, la mise en œuvre, le contrôle aux actions correctives.

La clause 7.5 de cette norme porte “informations documentées” et permet de vérifier la conformité d’une organisation aux exigences de la certification ISO 27001.

À travers cet article, nous découvrons ensemble les exigences de cette clause et comment elle démontre la conformité des organisations à l’ISO 27001.

Qu’est-ce qu’une information documentée ?

Les informations documentées sont l’ensemble des informations que les organisations doivent contrôler dans une organisation. Il peut s’agir :

  • D’un enregistrement ;
  • D’une procédure ;
  • D’un rapport ;
  • D’une norme.

ISMS Documented Information

Source : wixstatic

Le terme document désigne une information créée dans le but de permettre à l’organisation de mieux fonctionner. À titre d’exemple, on peut citer :

  • Des critères ;
  • Des directives ;
  • Des spécifications ;
  • Des instructions.

Quant à l’enregistrement, il fournit la preuve des actions mises en œuvre. Elle concerne les :

  • Formations réalisées ;
  • Contrôles opérationnels ;
  • Contrôles internes ;
  • Actions correctives.

Le document est une information souvent utilisée qui doit être mise à jour au besoin. L’enregistrement quant à lui est l’historique :

  • D’un événement ;
  • D’une activité ;
  • D’une action.

Ordinateur ouvert illustrant un document

Source : livvet

Dans le jargon de la norme ISO 27001, l’expression “maintenir les informations documentées”  décrit les documents et “conserver les informations documentées” décrit les enregistrements.

La norme ISO 27001 emploie le terme “information documentée” pour désigner à la fois les documents et les enregistrements. Ils sont aussi fréquemment appelés “documentation”.

Quelle est l’importance des informations documentées ?

En matière de sécurité informationnelle, les informations documentées sont essentielles pour le bon fonctionnement d’un Système de Gestion de Sécurité informationnelle (SGSI). Elles permettent aux organisations de définir et de communiquer :

  • Leurs objectifs de sécurité ;
  • Leurs politiques de sécurité ;
  • Les rôles des personnes impliquées dans le SGSI ;
  • Et les procédures.

L importance de la documentation

Source : practicum

Elles sont également importantes pour auditer le SGSI et pour assurer sa stabilité lorsque certains employés clés sont remplacés. Par ailleurs, les informations documentées sont nécessaires pour prouver la conformité à la norme ISO 27001 en enregistrant :

  • Les activités ;
  • Les décisions prises ;
  • Les résultats des processus du SGSI ;
  • Les contrôles de sécurité.

La documentation permet aux organisations de s’assurer que les processus sont exécutés de manière cohérente avec les objectifs de sécurité. Elle établit ce que les organisations doivent faire et montre que leurs actions sont conformes avec ce qu’elles disent.

7.5.1. Généralité sur la clause 7.5 de la norme ISO 27001

La clause 7.5 décrit les exigences relatives à la tenue des documents et des enregistrements pertinents qui soutiennent les activités du SGSI.

Information documente

Source : isoconsultantkuwait

Le SGSI doit comprendre dans un premier temps les informations documentées exigées par la norme ISO 27001. Il s’agit de décrire comment l’organisation satisfait les exigences fondamentales des clauses :

  • 4.1 L’organisation et son contexte
  • 4.2 Compréhension des besoins et des attentes des parties intéressées
  • 4.3 Détermination du domaine d’application du système de management de la sécurité de l’information
  • 4.4 Système de management de la sécurité de l’information
  • 5 Leadership
  • 5.1 Leadership et engagement
  • 5.2 Politique
  • 5.3 Responsabilités et autorités
  • 6 Planification
  • 6.1 Actions liées aux risques et opportunités
  • 6.2 Objectifs de sécurité et planification
  • 7 Support
  • 7.1 Ressources
  • 7.2 Compétence
  • 7.3 Sensibilisation
  • 7.4 Communication
  • 7.5 Informations documentées
  • 8 Fonctionnement
  • 8.1 Planification et contrôle opérationnels
  • 8.2 Appréciation des risques de sécurité de l’information
  • 8.3 Traitement des risques de sécurité de l’information
  • 9 Évaluation des performances
  • 9.1 Surveillance, mesures, analyse et évaluation
  • 9.2 Audit interne
  • 9.3 Revue de direction
  • 10 Amélioration
  • 10.1 Non-conformité et actions correctives
  • 10.2 Amélioration continue

L’évaluation et le traitement des risques qui conduisent à la sélection des contrôles des annexes (A) doivent aussi apparaître dans la documentation. Lorsqu’un contrôle n’est pas essentiel à une organisation, elle doit le prouver par la documentation.

Elements de la doxumentation

Source : auditagency

Par exemple, une organisation peut ne pas avoir besoin de zones de livraison et de chargement comme le recommande l’annexe A 11.1.6 lorsqu’elle mène une activité purement numérique.

Dans ce cas, elle doit montrer à l’auditeur qu’elle a considéré qu’il n’y a pas de risque. Par conséquent, elle n’a pas besoin d’effectuer ce contrôle. Le SGSI doit ensuite comporter les informations documentées que l’organisation juge nécessaires à l’efficacité de son système.

Clause 7.5.2 — Création et mise en œuvre de la documentation

La norme ISO 27001 exige de la clarté dans la documentation. Pour cela, les organisations doivent s’assurer pendant l’élaboration et l’actualisation des informations documentées que les éléments suivants sont appropriés :

  • La reconnaissance (référence) : s’assurer que chaque document est facilement et individuellement identifiable. Un numéro de référence permet par exemple de vite trouver un document et un titre permet de savoir de quoi le document parle ;

Les informations a donner pour la reference

Source : canalblog

  • Le format et le support : il s’agit de comment les informations sont présentées et les documents sont constitués. La langue joue un rôle important dans ce cas et les documents peuvent être en papier ou en version électronique ;
  • L’examen, l’approbation de l’exactitude et de la conformité : l’ensemble des documents qui constituent la documentation doit être examiné par quelqu’un de compétent qui montre qu’ils sont adéquats et en phase avec les objectifs.

Par ailleurs, les organisations doivent éviter la duplication des données dans les informations documentées en utilisant des références croisées au lieu de reproduire la même information dans plusieurs documents.

Clause 7.5.3 — Contrôle des informations documentées pour l’ISO 27001

La norme ISO 27001 se repose sur le principe de trois éléments comme représenté sur l’image ci-dessous.

Les trois elements de la securite informatique

Source : matrox

Il est donc crucial que le SGSI reste en phase avec ce principe. Pour cela, les informations documentées exigées par l’ISO 27001 et celles essentielles au SGSI doivent être contrôlées pour s’assurer :

  • Qu’elles sont accessibles et adaptées à l’utilisation tout au long du cycle de vie du SGSI ;
  • Qu’elles sont protégées de manière adéquate contre la perte de confidentialité, l’usage inapproprié ou la perte d’intégrité.
  • Afin qu’elles soient véritablement utiles, les informations documentées que les organisations utilisent pour mettre en œuvre et maintenir leurs SGSI doivent :
  • Être exactes ;
  • Être compréhensibles pour les personnes qui les exploitent souvent ou occasionnellement ;

Personnes qui exploitent le docuent de control

Source : ifsqn

Appuyer les organisations dans le respect des exigences légales et dans la gestion des risques de sécurité. Pour cela, les organisations doivent mettre en place des processus pour garantir que :

  • Les informations documentées sont mises à jour notamment par les personnes appropriées avant d’être diffusées ;
  • L’accès aux informations documentées n’est pas susceptible de provoquer une modification accidentelle, la corruption, la suppression ou la consultation par des personnes auxquelles elles ne sont pas destinées ;
  • Les informations sont supprimées de manière sécurisée ou renvoyées à leur propriétaire lorsque cela est nécessaire ;
  • Les modifications apportées aux informations seront suivies de matière à maintenir le processus sous contrôle.

Outre ces mesures, les organisations doivent définir la durée de conservation acceptable des informations documentées et ce qu’il faut en fait lorsque leur délai de conservation arrive à expiration.

En ce qui concerne l’origine des informations documentées, elles proviennent des sources internes et externes. Lorsqu’elles sont d’origines externes, les informations documentées proviennent généralement :

  • Des clients ;
  • Des partenaires ;
  • Des fournisseurs ;
  • Des autorités de réglementation.

Les processus de contrôles des organisations doivent être en mesure de gérer efficacement les informations provenant des deux sources. 

Procedures de control du SI

Source : slideplayer

Pour un bon contrôle des documents, certaines organisations se dotent des éléments suivants :

  • Une petite équipe chargée de s’assurer que les documents nouveaux ou modifiés sont examinés avant d’être publiés. Elle vérifie aussi que ces documents sont stockés au bon endroit et sont retirés de la circulation lorsqu’ils sont remplacés ;
  • Un système de gestion électronique des documents qui génère des flux de travail et des contrôles automatiques ;
  • Un processus performant de sauvegarde des données électroniques et d’archivage ou de stockage des fichiers ;
  • Une sensibilisation régulière des employés au contrôle des documents, à la tenue des dossiers et aux exigences en matière d’accès et de conservation de l’information.

La quantité minimale de documentation requise par l’ISO 27001 ?

La norme ne définit pas l’étendue de la documentation et celle-ci peut différer d’une organisation à une autre. Elle est réellement déterminée par un certain nombre d’éléments à savoir :

  • La taille et les fonctions principales d’une organisation ;
  • La complexité et l’interaction des processus opérationnels ;
  • L’environnement de contrôle, éventuellement influencé par des obligations externes ;
  • La compétence du personnel ;
  • Toute autre obligation légale ou réglementaire.

En ce qui concerne les formats à utiliser pour la documentation, ils sont nombreux et comprennent :

  • Des documents Word ;
  • Des feuilles de calcules Excel ;
  • Des bases de données ;
  • Des audios ;
  • Des vidéos ;
  • Et d’autres services en ligne.

Formats de document

Source : planete-buzz

La création de la documentation doit toujours tenir compte du public cible. Toutefois, certaines procédures peuvent ne pas être documentées. Cependant, les organisations doivent s’assurer que ces procédures sont systématiquement :

  • Communiquées ;
  • Comprises ;
  • Appliquées ;
  • Efficaces.

Comment satisfaire les exigences de la clause 7.5 ?

En raison de l’importance de la documentation dans l’obtention de la certification ISO 27001, il est crucial de respecter toutes les exigences de la clause 7.5.

Protectam vous accompagne dans cette tâche et vous aide à prendre en compte facilement toutes les informations documentées recommandées par l’ISO 27001 ainsi que celles indispensables à la performance de votre SGSI.

Services de Protectam

Nos services vous permettront d’améliorer la maîtrise de vos documents en vous aidant à mettre en place un système de marquage approprié afin de détecter aisément les différences entre les documents sensibles et publics.

Protectam est spécialisé dans la cybersécurité et accompagne nos clients dans le processus d’obtention de la certification ISO 27001. Grâce aux experts que nous mettons à la disponibilité des organisations, nous leur permettons de réaliser d’énormes gains de temps et d’obtenir l’ISO 27001 au premier coup.

Conclusion

Au terme de cet article, il convient de retenir que la clause 7.5 traite des exigences de la norme ISO 27001 lors de la création et du contrôle des informations documentées.

Ces dernières sont indispensables pour soutenir un SGSI et pour démontrer la conformité des organisations à l’ISO 27001. Les exigences relatives à la nature exacte de la documentation sont réparties dans l’ensemble de la norme notamment dans chaque clause et dans les annexes.

Protectam met à votre disposition son savoir-faire et son expertise pour satisfaire les exigences de cette clause qui s’avère cruciale à l’obtention de la certification ISO 27001.