5/04/2011
Mise en oeuvre étape par étape | ISO 2… Text Size Identif iant
PORTAIL
EMPLOI
COMMUNAUTÉ
FORUM
TÉLÉCHARGEMENTS
BOUTIQUE
ÉVÉNEMENTS
•• • •• • • • • • • •
NEW SL SLETTER
S'ABONNER
Mise en oeuvre étape par étape SMQHSE, Méthodolo Méthodolo gie, Conseil www.certificationiso.fr Conseil Certification ISO Formation, Audit, Coa ching SMQHSE, ITIL v3 Foundation + exam scenario based e-learning course includes ITIL First Aid Kit campus.itpreneurs.com Gestion Audit Interne Logiciel de gestion intégrée de l’ensemble des activités d’audit www.enablon.fr Cet article présente le panorama détaillé de l'ensemble des mesures à mettre en œuvre pour tout organisme souhaitant aller vers ISO/IEC 27001. Le détail des actions et mesures à réaliser est donné ci-dessous. 1. Définition tion et Gestion du SMSI 2. Exigences relatives à la documentation 3. Responsabilité de la Direction 4. Audits 4. Audits internes du SMSI 5. Revue de Direction 6. Amélioration 6. Amélioration du SMSI
1. Définition et Gestion du SMSI 1.1. Établi É tablissement ssement du SMSI L'organisme sme doit met tre en œuvre un SMSI ( Système de Man Management agement de la Sécurité té ). Ce SMSI doit être documenté, maintenu, surveillé, amélioré de manière permanente. Sa mise en œuvre inclut une analyse des risques, ainsi que la mise en œuvre de contre-mesures pour diminuer les risques pesant sur l'information et l'entreprise. L'organisme sme qui souhaite souhaite met tre en œuvre ISO/IEC 27001 d oit : Définir le périmètre, autrement dit les activités, sur lequel s'applique le SMSI, et justifier les cas échéant les domaines exclus de ce périmètre. Le niveau de détail attendu concerne tous les actifs (matériels, logiciels, patrimoine). 1.1.2. Faire une déclaration d'intention (Politique) reprenant les éléments décidés au point précédent. Au delà d'une déclaration d'intention il s'agit là de définir l'orientation donnée à la Politique Sécurité afin d'impulser le projet. La politique est un document écrit et signé par la Direction et doit contenir à minima : 1.1.1.
La façon de sera géré le projet, q uels en sont les object ifs (mesurabl (mesurables) es) et comment sera traitée la Sécurité té de l'information, l'information, Comment est gérée la veille réglementaire et sécuritaire afin de s'assurer que l'organisme répond bien à ces exigences externes (vis-à-vis de la législation, des clients, des fournisseurs), Faire re référence de manière ère e xplicite cite à la méthode dont sont gé rés les risques, sques, et comment ils seront seront é valués ués La signature des membres de la Direction
1.1.3.
Définir la ou les méthodes d'évaluation des risques, c'est-à-dire comment ils seront identifiés, évalués, réduits ou annihilés. A ce titre l'organisme doit : Choisir une méthode d'évaluation du risque, dont l'objectif est de recenser tous les risques qui pèsent sur l'Information et de les classifier selon des critères de probabilité, de vulnérabilité et d'impact. Lister les critères Lister critères e t ni niveaux veaux selon selon lesquels les es risques risques seront accep tés. Exemple : u ne e ntrepris ntreprisee pe ut dans certains certains décider que le coût de réduct ion du risque est trop élevé par rapport à sa probabilité de survenance. Remarque : Les mét hodes te lles Remarque es qu'EBIOS qu' EBIOS ou MEHARI sont access accessibl ibles es gratuitement et permett ent de réaliser iser couvrir l'ensemble l'ensemble du d is isposi positif tif de Gestion des risques. Compte-tenu du cycle d'amélioration continue qui s'applique au SMSI la méthode de Gestion du risque sera revue annuellement et il convient de garder la même méthode afin que les données du risque risque puissent êt re comparées.
1.1.4.
L'organisme doit identifier les risques sur son écosystème et à ce titre il doit : Produire une liste exhaustive des actifs (uniquement dans le périmètre du SMSI) ainsi que les propriétaires des ces actifs. Ce travail d'inventaire doit faire l'objet d'un document (tableur, base base de données, CMDB, CMDB, etc.) Identifier les menaces qui pèsent sur les actifs listés, Identifier er de quelle manière manière ce s menaces peuvent ê tre e xploitée tée s, Identifier les impacts de ces vulnérabilités, en termes d'intégrité, de confidentialité, de disponibilité et de non-répudiation, sur le patrimoine informationnel de l'organism l'organismee
1.1.5.
Une fois les risques identifiés l'organisme doit en produire une analyse et une évaluation documentée. Celle-ci doit contenir à minima :
itil.fr/…/isoiec-27001-mise-en-oeuvre-…
1/7
5/04/2011
Mise en oeuvre étape par étape | ISO 2… Pour chacun des risques quel est l'impact potentiel de l'exploitation d'une vulnérabilité, donc d'un risque pour l'organisme, Une évaluation de la probabilité que l'occurrence d'un risque identifié intervienne, compte-tenu de l'analyse réalisée sur les menaces et vulnérabilités, Une estimation des niveaux de risques, La liste des risques acceptables qui ne seront pas traités, en fonction des critères préétablis, ainsi que la liste des risques nécessitant un traitement
Puis l'organisme doit définir les méthodes de traitement des risques et évaluer la façon dont elles seront mises en œuvre (élimination des SPOF, acceptation du risque compte -tenu de sa faible probabilité de survenance, et c.). 1.1.6.
Une fois la phase d'évaluation des risques réalisée il convient à présent de définir, de manière mesurable, les objectifs de sécurité que souhaite atteindre l'entreprise, et de quelle manière ces mesures seront mises en œuvre. Remarque : Pour plus d'information une liste, non exhaustive des objectifs est accessible dans la norme ISO/IEC 27001. 1.1.7.
La formalisation des objectifs de sécurité dans un document doit être soumise pour approbation à la Direction, qui doit notamment statuer sur les risques résiduels qui seront acceptés ou non. 1.1.8.
1.1.9.
Suite à l'approbation, la Direction doit autoriser explicitement (par écrit) la mise en œuvre du SMSI dans les conditions établies ci-dessus.
1.1.10.
A présent il s'agit de formaliser une DDA (Déclaration d 'applicabilité ) laquelle inclut à minima :
La liste des mesures de sécurité que l'organisme souhaite mettre en œuvre et la justification de ces choix, La liste des mesures de sécurité d'ores et déjà mise en œuvre par l'organisme, Et l'exclusion, le cas échéant des dispositions sécurité que l'organisme ne souhaite pas mettre en œuvre. Les raisons de ces exclusions doivent être décrites et expliquées (justifiées). Remarque : Cette phase de préparation est probablement la plus important dans le sens ou elle détermine l'ensemble des dispositions organisationnelles et sécuritaires que l'organisme va mettre en œuvre. Si la politique et l'analyse des risques ne sont pas adaptés à la finalité de l'entreprise, le déroulement du projet pourra s'en trouver sérieusement complexifié. Notez par ailleurs que la démarche s'inscrit dans un cycle itératif (PDCA) et qu'il faut donc aborder ISO/IEC 27001 comme un projet à moyen/long termes, aussi fixez vous des objectifs réalistes.
1.2. Mise en œuvre et fonctionnement du SMSI La mise en œuvre du SMSI implique un certain nombre de taches parmi lesquelles l'organisme doit : Lister dans un document de planification, les actions à mettre en œuvre pour traiter les risques identifiés en amont. Chaque risque doit être pondéré par une priorité fonction de sa probabilité de survenance et du poids évent uel de son impact sur l'information et l'organisme. A ce tt e é tape il est recommandé d'utiliser un diagramme de GANT afin de pondérer chacune des actions par sa priorité ainsi que sa charge de traitement en jours/homme. Cela vous permettra d'avoir une vue précise de la durée de mise en œuvre du SMSI. 1.2.1
Mettre en œuvre les actions listées dans le document de planification de traitement du risque. Le plan doit comprendre l'ensemble des moyens (financier, budget) et ressources (humaines, matérielles, logicielles) allouées par la Direction au traitement des risques. Il est important d'allouer les ressources nécessaires afin que les taches soient exécu tée s de manière ef ficace. 1.2.2
1.2.3
En fonct ion des objectifs de Sécurité dé finis en 2.1.1.7, l'organisme doit mettre en œuvre les mesures de sécurité définies au même point.
Définir les méthodes d'évaluation de l'efficacité des mesures (Sécurité et Réduction des risques) tels que l'audit interne. Les résultats de ces audits ou évaluation doivent ê tre e nregistrés et doivent pouvoir être comparés entre eux. 1.2.4
L'organisme doit mettre en œuvre un programmes destiné à sensibiliser et former toutes les parties prenantes sur les enjeux de la Sécurité. Il peut s'agir de formations internes, de publication de ne wslette r, de mise en œuvre d 'un intranet ou de co mmunications plus formelles. 1.2.5
1.2.6
A ce stade une o rganisation (équipe) interne est e n mesure de gé rer le SMSI
1.2.7
Et l'organisme s'assure de manière permanente de l'adéquation des ressources quant au maintien du SMSI et de ses activités.
Enfin, l'organisme doit s'assurer que les incidents de Sécurité sont gérés et doit dé crire puis mettre en œuvre de s procédures de traitement d es incidents de Séc urité. Il est recommandé de suivre le processus de t raitement des incidents classique, en revanche ce t ype d'incident doit ê tre cat égorisé e n incident de type "Sécurité". 1.2.8
1.3. Surv eillance et réex amen du SMSI Une fois le SMSI mis en œuvre, le modèle de PDCA recommande d'une part une surveillance permanente du Système, ainsi que des revues périodiques afin d'améliorer son fonct ionnement. A ce t itre l'organisme doit : 1.3.1.
Mettre en œuvre et suivre des procédures de Surveillance et de rée xamen afin de : Détect er les traitement s (risques et sécurité) en échecs ou q ui n'ont pas abouti au résultat e scompté, Identifier les incidents et failles de Sécurité, Permettre à la Direction de statuer sur l'efficacité des mesures (organisationnelles et technologiques) de Sécurité mises en œuvre , Mettre en œuvre de s indicateurs de Sécurité facilitant la compréhension de la Gestion de la Sécurité et permett ant si possible la détect ion proactive de s vulnérabilités potentiellement exploitables, Statuer sur l'efficacité des actions entreprises par l'organisme.
Réaliser à intervalle régulier des examens de l'efficacité du SMSI, ces examens incluent les résultats des audits, les incidents de "Sécurité" et vérifient que les objectifs de Sécurité sont atte ints. Notez que si les object ifs ne sont pas att eints il est important d e met tre en œuvre de s plans d'action visant à corriger la situation identifiée. 1.3.2.
'
itil.fr/…/isoiec-27001-mise-en-oeuvre-…
2/7
5/04/2011
r er que es ex gences e analysées et modifiées. . . .
cur
Mise en oeuvre étape par étape | ISO 2…
e organsme son sou enues par es mesures e caces. ans e cas con rare es mesures o ven
re revues,
L'analyse des risques doit êt re revue, après qu'un cycle de mise en œuvre de mesure de Sécurité e t d e réduct ion des risques ait é té mis en œuvre. Il doit explicitement statué sur le niveau de risque encouru par l'entreprise, e t prendre en compte les risques résiduels et le niveau de risque accept able. Ces analyses incluent tous les changements apportés : 1.3.4.
A l'organisme qui met en œuvre le SMSI, Aux technologies utilisées dans l'organisme, ou par ses fournisseurs, Aux orientations business et stratégiques de l'organisme, Aux processus métier de l'organisme, Aux (nouvelles) menaces, A l'efficacité de l'ensemble des mesures mises en œuvre dans le cadre du SMSI, A la réglementation en vigueur ou aux cont rats client (par exemple) 1.3.5.
Please login to chat
L'organisme doit assurer que des audits internes sont planifiés et exécutés
L'organisme doit mener des revues de Direction (annuelle ou biannuelle par exemple) statuant sur l'efficacité du SMSI et définissant les plans d'actions à mett re en œuvre pour en améliorer l'efficacité. 1.3.6.
1.3.7.
Suite à cela les plans de sécurité doivent ê tre mis à jour en tenant co mpte des actions et dé cisions actées e n revue de Direction.
1.3.8
Chacun des actions doit êt re enregistrée car elle peut faire l'objet de preuve dans le cadre d'un audit t ierce-partie (audit e xterne)
1.4. Mise à jour et amélioration du SMSI Afin d'assurer que le SMSI et en permanence à jour et que le dispositif s'améliore, l'organisme doit : S'assurer que les améliorations identifiées, qu'elle qu'en soit l'origine, soient mises en œuvre. Il se peut que certaines pistes d'amélioration ne soient pas mises en œuvre auquel cas il convient d'en justifier la raison, par exemple dans le plan de Sécurité. 1.4.1
Chaque incident, audit, ou non conformité peut-êt re à l'origine de la mise e n œuvre d'actions appropriées dont il faut apporte r la preuve de l'efficacité. Ces actions peuvent êt re correctives, c'est-à-dire qu'elles interviennent après l'occurrence de l'événement. Elles peuvent ê tre préventives, c'est-à-dire q u'elles interviennent avant l'occurrence de l'événement. Ces act ions doivent ê tre enregistrées, suivies, analysées et clôturées. La preuve de l'efficacité de c es actions doit être apportée. 1.4.2
L'ensemble de s parties prenantes d oit êt re t enu au courant des actions mises en œuvre. Les canaux de co mmunications (réunion, new slett er, intranet) doivent être ut ilisés à cet effe t. 1.4.3
1.4.4
Chaque action fait l'objet d'une revue dont l'objectif est d'apporte r la preuve de son efficacité.
2. Ex igences relatives à la documentation 2.1. Généralités La mise en œuvre d'une norme telle qu'ISO/IEC 27001 implique la nécessité de documenter, enregistrer, suivre les actions afin que toutes les activités soient traçables. Les décisions prises par la Direction, la Politique Sécurité doivent être formalisées sous une forme documentée et détaillée détaillant les orientations de la Politique, les revues de celle-ci et les objectifs mesurables que l'organisme souhaite atteindre par la mise en œuvre d'un SMSI. Afin de démontrer que les résultats des mesures (Sécurité et Risques) mises en œuvre sont conformes aux objectifs pris par l'organisme tout doit être documenté. Ces documentations incluent à minima : 2.1.1.
La Politique et les objectifs Sécurité
2.1.2.
Le périmètre d'application du SMSI
2.1.3.
Les procédures de Gestion de la Sécurité, des risques, des incident s de Sécurité e t les cont rôles (exemple : revue de processus) effect ués
2.1.4.
Une description de la méthode ret enue p our évaluer et gérer les risques
2.1.5.
La méthode de traitement des risques et sa planification
2.1.6.
Les procédures d'é valuation des mesures mises en œuvre atte stant d e leur e fficacité
2.1.7.
L'ensemble des enregistrements exigés par la norme ISO/IEC 27001
2.1.8.
La Déclaration d'Applicabilité (DdA)
2.2. Maitrise des doc uments L'ensemble des documents relatifs au SMSI doivent être protégés et maitrisés par une procédure qui définit les actions pour : 2.2.1.
Définir les circuits d'approbation des documents avant diffusion (aux équipes, clients et fournisseur),
2.2.2.
Définir les circuits de réexamen, de mise à jour et d'approbation des documents,
2.2.3.
Assurer que chacun des documents accessible est "versionné" et dispose d'un statut c orrespondant à son ét at,
itil.fr/…/isoiec-27001-mise-en-oeuvre-…
3/7
5/04/2011
Mise en oeuvre étape par étape | ISO 2…
2.2.4.
Rendre accessible ou cela est nécessaire les documents du SMSI,>
2.2.5.
Assurer le cycle de vie des documents, en intégrant les critères d'habilitation, jusqu'à l'archivage,
2.2.6.
Les documents provenant de l'ext érieur de l'entreprise do ivent être identifiés et identifiables par les équipes,
2.2.7.
La diffusion des documents doit être maitrisée, c'est-à-dire que les documents livrés et accessibles doivent suivre les procédures dédiées.
2.2.6.
Les documents périmés doivent être archivés et ne pas être à la porter des utilisateurs,
2.2.6.
Les documents périmés et archivés doivent être identifiés et identifiables si ils sont conservés.
2.3. Maitrise des enregistrements Les enregistrement s sont des document s apportant la preuve d'une activité donnée. La norme ISO/IEC 27001 impose d'ét ablir, de conserver des enregistrements, ils doivent êt re gérés, p rotégés et maitrisés comme les document s, dont ils sont un sous-ensemble. Des procédures de cont rôle pe rmettant d'identifier, de stocker, de g érer l'accès, de préciser la durée de co nservation, le mode d'élimination doivent êt re documentées, portées à la connaissance des utilisateurs et mises en œuvre.
3. Responsabilité de la Direction 3.1. Implication de la Direction La direction donne l'impulsion à la Gestion de la Sécurité dans l'entreprise, elle est partie prenante dans la définition de la politique et des objectifs Sécurité mais aussi dans la mise en œuvre du SMSI. La preuve de l'implication de la Direction dans le SMSI doit être prouvée au travers notamment du fonctionnement, du réexamen, de la surveillance, de la mise à jour et de l'amélioration permanente du SMSI. A ce titre la Direction doit : 3.1.1.
Produire la Politique Sécurité,
3.1.2.
Donner l'assurance (la preuve) que le SMSI est planifié et que des objectifs sont suivis,
3.1.3.
Définir des rôles et des responsabilités en charge des missions initiés dans le cadre du SMSI,
S'assurer que les collaborateurs ont conscience des enjeux que représente leurs activités dans la réalisation des objectifs de sécurité de l'organisme. Cela passe par de la sensibilisation, de la formation. 3.1.4.
3.1.5.
Pourvoir l'organisme des moyens nécessaires pour la mise en œuvre du SMSI et assurer sa pérennité,
3.1.6.
Définir en amont comment seront acceptés les risques, sur quels critères,
3.1.7.
S'assurer que des audits internes planifiés à intervalle régulier ont lieu,
3.1.8.
Revoir périodiquement lors d'une revue de Direction les résultats du SMSI, statuer sur son efficacité et initier une amélioration du SMSI le cas échéant
3.2. Management des ressources 3.2.1. Mise à disposition des ressources
La mise en œuvre d'ISO/IEC 27001 impose à l'organisme de fournir des ressources (matérielles, logicielles, humaines, financières) nécessaires pour : 3.2.1.1.
Mettre en œuvre to utes les phases du SMSI,
3.2.1.2.
Assurer que les procédures Sécurité sont adaptées aux finalités business de l'entreprise,
3.2.1.3.
Assurer que les contraintes règlementaires et légales sont connues, analyser et que l'organisme y répond,
3.2.1.4.
S'assurer que toutes les dispositions préconisées dans le cadre du SMSI sont mises en œuvre,
3.2.1.5.
Assurer des réexamens périodiques du SMSI, des ses résultats et réévaluer les objectifs de Sécurité,
3.2.1.6.
Initier l'amélioration permanent et continue du SMSI.
3.2.2. Formation,
sensibilisation et compétences
Afin que le SMSI soit efficace et produise les résultats escomptés sur la Sécurité de l'Information, l'organisme doit assurer que les personnes impliquées dans des rôles et responsabilités du SMSI aient les compétences nécessaires à son maintien, en : 3.2.2.1.
Définissant les compétences nécessaires aux personnes intervenant dans le SMSI,
3.2.2.2.
Mettant en œuvre des actions de formation et sensibilisation,
En évaluant (à chaud et à froid) les formations dispensées aux équipes. Les formations peuvent être réalisées en interne ou par l'intermédiaire d'un organisme de formation, 3.2.2.3.
Les documents att estant d u niveau de f ormation initiale (diplômes) et professionnelle (expérience) doivent êt re conservé. A not é que des fiches de poste décrivant les qualifications nécessaires permettront d'identifier facilement les compétences que l'organisme possède et celles qu'il nécessite 3.2.2.4.
itil.fr/…/isoiec-27001-mise-en-oeuvre-…
4/7
5/04/2011
Mise en oeuvre étape par étape | ISO 2…
La sensibilisation et la formation s'applique aussi à l'ensemble des collaborateurs de l'organisme, qui doit avoir conscience des enjeux Sécurité.
4. Audits internes du SMSI L'organisme doit s'assurer que des audits internes sont planifiés à intervalle régulier et que le plan est accessible. Ce plan d'audit a pour objectifs de s'assurer que le SMSI et not amment les processus, les procédures et mesures sont : 4.1.
Conformes aux dispositions décrites dans la norme ISO/IEC 27001, mais aussi aux contraintes légales et réglementaires
4.2.
Conformes aux dispositions Sécurité décrites dans la Politique Sécurité
4.3.
Mis en œuvre et maintenus
4.4.
Sont réalisés tel que prévu dans le SMSI
Chaque processus doit êt re passé en revue, selon son degré d'importance. La fréquence des revues est d'une fois par an, tout efois l'organisme peut revoir les processus plusieurs fois. Les audits internes doivent faire l'objet d'une procédure documentée incluant les responsabilités, les exigences, les méthodes de restitution des audits. L'auditeur ne doit pas être la personne qui met en œuvre la Sécurité dans l'organisme.
5. Revue de Direction du SMSI 5.1. Généralités La Direction de l'organisme doit s'assurer de l'efficience du SMSI et des mesures de Sécurité et de Gestion des risques. A ce titre elle doit à minima une fois par an revoir le SMSI. La revue de Direction est l'occasion de s'assurer que le SMSI est pertinent (adapté aux finalités de l'organisme), adéquat (par rapport aux objectifs que s'est fixé l'organisme) et efficace (les résultats sont ils conformes aux objectifs). Le rapport de revue de Direction est enregistrement de la Norme ISO/IEC 27001 et sera exigible lors d'un audit t ierce partie. Les éléments de sortie de la revue doivent permett re d'améliorer le SMSI
5.2. Éléments d'entrée du réexamen Afin de préparer la revue de Direction, le Responsable Sécurité, doit collecter : 5.2.1.
Les résultats des audits de processus et des réexamens du SMSI,
5.2.2.
Les retours de t oute s les parties prenantes e t les suggestions d'amélioration de tout un chacun,
5.2.3.
Identifier les pistes qui permettraient d'améliorer la performance et l'efficience du SMSI,
5.2.4.
Faire un bilan de toutes les actions préventives et correctives mises en œuvre dans le cadre du SMSI,
5.2.5.
Les vulnérabilités, menaces, incident qui n'ont pas été traités et clôturés,
5.2.6.
Les résultats comparés aux objectifs visés qui permettront de définir l'efficacité du SMSI et des mesures de Sécurité mises en œuvre,
5.2.7.
Toutes les actions initiées suites aux revues de Direction antérieures, sauf exception pour la première,
5.2.8.
Tous les changements pouvant avoir un impact sur le SMSI tel qu'un changement d'organisation interne, une fusion, un d éménagement.
5.2.9.
Les données de recommandation d'amélioration issues des constats sur le cycle PDCA précédent
Lors de la revue de Direction to us ces éléments doivent être présentés et analysés par le Comité d e Direction afin de produire les éléments de sortie de la Revue.
5.3. Éléments de sortie du réexamen La revue de Direction doit impérativement produire dans le rapport de Revue les actions et décisions prises par la Direction par rapport aux éléments d'entrée. Ces actions et décisions vont alimenter le prochain cycle PDCA. Elles doivent porter sur : 5.3.1.
L'amélioration du SMSI, et décrire quelles actions seront entreprises dans ce sens,
5.3.2.
Les modifications à mettre en œuvre dans la gestion des risques et des mesures de traitement des risques appropriées aux décisions prises,
La mise à jour des processus et procédures, en fonction des e xigences business, de sécurité, de s processus métiers, des exigences légales et réglement aires, des obligations vis-à-vis des client s, 5.3.3.
5.3.4.
Allouer les ressources nécessaires pour les cas ou le niveau actuel est insatisfaisant,
5.3.5.
Analyser et préconiser des méthodes nouvelles pour valider l'efficacité du SMSI et de ses résultats (échantillonnage)
La revue de Direction est une des dispositions les plus importantes de la norme ISO/IEC 27001 puisqu'elle clôture le cycle PDCA. En clair elle statue sur l'efficacité annuelle du SMSI. De la qualité de sa préparation dépendra la qualité de l'exercice suivant. C'est aussi l'occasion de fédérer les collaborateurs et le management sur un enjeu important pour l'entreprise.
itil.fr/…/isoiec-27001-mise-en-oeuvre-…
5/7
5/04/2011
Mise en oeuvre étape par étape | ISO 2…
6.1. Amélioration continue Concept fort de s normes, te lle que ISO/IEC 27001, le PDCA ou concept de la roue de DEMING suggère de statuer sur les résultats de s processus et du système (ensemble des processus). Le SMSI ne déroge pas à cett e règle qui garantie que l'amélioration continue sera entret enue p ar des revues régulière. L'organisme qui met en œuvre ISO/IEC 27001 doit en conséquence améliorer en permanence le SMSI. A ce titre il doit utiliser tous les éléments à sa disposition et notamment la Revue de Direction, les rapports d'audits, la comparaison des résultats aux objectifs du SMSI, les actions préventives et correctives relevées dans le fonctionnement du SMSI.
6.2. Actions correctives Afin d'éliminer les causes des non-conformités (exemple : absence de procédure, manquement à un processus) relevées dans le SMSI l'organisme doit documenter une procédure visant à : 6.2.1.
Identifier chacune des non-conformités du SMSI,
6.2.2.
Déterminer les causes des non-conformités et les enregistrer,
6.2.3.
Évaluer les non-conformités et la nécessité d'entreprendre des actions pour les éradiquer et veiller à ce qu'elles ne réapparaissent pas.
6.2.4.
Pour les cas ou une action s'avère nécessaire, la mettre en œuvre,
6.2.5.
Enregistrer t out le cycle de vie de l'action correct ive,
S'assurer que la vérification des résultats de l'action correct ive sont conformes aux attent es, c'est à dire qu e l'action est e fficace e t que la non-conformité est durablement traitée . 6.2.6.
Les actions correctives interviennent en aval de la non-conformité, c'est une action réactive.
6.3. Action préventives Pour les cas ou l'organisme détecterait une non-conformité potentielle (c'est-à-dire qu'elle n'a pas eu lieu mais que cela pourrait être le cas), il doit mettre en œuvre une p rocédure document ée qui définit les exigences en termes de t raitement des actions préventives et qui prévoit : 6.3.1.
L'identification des non-conformités potentielles, ainsi que leur cause,
6.3.2.
La méthode d'évaluation des non-conformités e t la nécessité d'e ntreprendre des actions afin qu'elles ne se produisent pas.
6.3.3.
Le choix et la mise en œuvre de l'action préventive,
6.3.4.
L'enregistrement de t out le cycle de vie de l'action préventive,
La méthode p our s'assurer que les résultats de l'action préventive sont conformes aux attente s, c'est à dire que l'action est e fficace e t q ue la nonconformité n'est pas apparue 6.3.5.
Les actions préventives interviennent en amont de la non-conformité, c'est une action proactive. Vu: 4369
Envoyer par m ail
Bookmarker
Ajouter aux favoris
Rétrolien(0) Adres se URI pour un rétrolien sur cet artic le
Commentaires (0) Flux RSS pour les commentaires
Vous devez être enregistré pour écrire un commentaire.
Isocèle
Management de la sécurité Isocèle vous accompagne www.isocele.com
alarmes sé curité
Fonction même en dégroupage total Livraison 48h offerte en France tike-securite.fr
Séminaire ISIMAN
GRC = Gouvernance + Risques + Conformité => Performanc e www.keyword.fr
Sécurité des documents
Contrôle De Gestion
Lutter contre la contrefaçon et falsification des documents
Rencontrez les entreprises qui recrutent votre profil ! in n
itil.fr/…/isoiec-27001-mise-en-oeuvre-…
6/7
5/04/2011
.
Mise en oeuvre étape par étape | ISO 2… .
.
.
Destructeur haut volume
détruit vos archives, vos classeurs jusqu'à 1 tonne/heure www.intimus.fr
AIDE AVEC LE SITE
RECOMMANDER CE SITE
MENTIONS LÉGALES
SIGNALER UN BUG
CONTACT
Référentiels
Référentiels
Référentiels
Ressources
Médias
Méthodologie ITIL
PCA E-SCM UAT SASL-BISL M_O_R
ITIL ISO/IEC PRINCE2 COBIT CMMI
MOF SIX SIGMA LEAN SIX SIGMA AUTRES
Livres blancs Templates Audit Webinars Forums
Newsletter Événements Presse Partenaires
Processus ITIL Formatio n ITIL V2 Formation ITIL V3 Documents ITIL PDF Méthodologie ITIL
© 2008-2011 ITIL.FR - Tous droits réservés ITIL® and PRINCE2® are registered trademarks of the Office of Government Comme rce in the United K ingdom and other countries - ITIL.FR is not the offici al IT IL site Creative Commons Paternité - Partage des Conditions Initiales à l'Identique 3.0 Unported
itil.fr/…/isoiec-27001-mise-en-oeuvre-…
7/7