Checklist de conformité ISO 27001 : Votre guide complet d'implémentation

Points clés

Point	Résumé
6 phases principales	Pré-implémentation → Contexte/Périmètre → Évaluation des risques → Contrôles → Opération → Certification
Travail préparatoire requis	Sponsorship exécutif, équipe projet, budget, sélection de plateforme de compliance
Documentation clé	Analyse de contexte, registre des parties prenantes, périmètre, évaluation des risques, Déclaration d'Applicabilité
Préparation à l'audit	L'audit interne + revue de direction doivent être complétés avant la certification
Délai	3-4 mois avec accompagnement expert (vs 9-12 mois en DIY)

Réponse rapide : L'implémentation ISO 27001 comporte 6 phases : configuration du projet, définition contexte/périmètre, évaluation des risques, implémentation des contrôles, opération et certification. Les jalons clés incluent la complétion de l'évaluation des risques, l'audit interne et la revue de direction avant l'audit de certification externe.

Checklist pré-implémentation

Sponsorship exécutif

• Identifier le sponsor exécutif
• Obtenir l'engagement de la direction
• Allouer le budget initial
• Définir le calendrier de certification
• Communiquer l'initiative à l'organisation

Configuration du projet

• Nommer un chef de projet SMSI
• Former l'équipe d'implémentation
• Définir le périmètre et les jalons du projet
• Créer le plan de projet
• Identifier les parties prenantes clés

Évaluation des ressources

• Identifier les ressources requises
• Évaluer les capacités internes
• Déterminer le besoin de support externe
• Planifier les besoins de formation
• Sélectionner la plateforme/outils de compliance

Phase 1 : Contexte et périmètre (Semaines 1-3)

Clause 4.1 : Contexte organisationnel

• Documenter les enjeux externes
  • Exigences légales/réglementaires
  • Conditions du marché
  • Tendances technologiques
  • Paysage concurrentiel
• Documenter les enjeux internes
  • Culture organisationnelle
  • Capacités actuelles
  • Politiques existantes
  • Systèmes d'information

Clause 4.2 : Parties intéressées

• Identifier toutes les parties prenantes
  • Clients
  • Employés
  • Régulateurs
  • Partenaires/fournisseurs
  • Actionnaires
• Documenter les exigences de chaque partie prenante
• Créer le registre des parties prenantes

Clause 4.3 : Périmètre du SMSI

• Définir les limites du SMSI
• Identifier les localisations incluses
• Identifier les unités métier incluses
• Identifier les systèmes inclus
• Documenter la déclaration de périmètre
• Documenter les exclusions avec justification

Clause 4.4 : Établissement du SMSI

• Comprendre toutes les exigences ISO 27001
• Planifier pour répondre à toutes les exigences
• Documenter le cadre du SMSI

Phase 2 : Leadership et planification (Semaines 3-6)

Clause 5.1 : Engagement du leadership

• Obtenir l'engagement formel de la direction
• Allouer les ressources
• Communiquer l'importance du SMSI
• Définir la structure de reporting

Clause 5.2 : Politique de sécurité de l'information

• Rédiger la politique de sécurité de l'information
• Inclure les objectifs de sécurité
• Inclure l'engagement de conformité
• Inclure l'engagement d'amélioration
• Obtenir l'approbation exécutive
• Communiquer à tous les employés
• Rendre la politique accessible

Clause 5.3 : Rôles et responsabilités

• Définir les rôles SMSI
  • Responsable/Propriétaire SMSI
  • Propriétaires de risques
  • Propriétaires de contrôles
  • Auditeur interne
• Documenter les responsabilités
• Communiquer les rôles
• Assurer l'autorité adéquate

Clause 6.1 : Évaluation des risques

• Définir la méthodologie d'évaluation des risques
  • Critères de risque
  • Critères d'acceptation des risques
  • Approche d'évaluation
• Identifier les actifs informationnels
• Identifier les menaces sur les actifs
• Identifier les vulnérabilités
• Évaluer la probabilité et l'impact
• Calculer les niveaux de risque
• Documenter le registre des risques

Clause 6.1 : Traitement des risques

• Déterminer les options de traitement des risques
• Sélectionner les contrôles appropriés
• Documenter le plan de traitement des risques
• Créer la Déclaration d'Applicabilité (SoA)
  • Tous les 93 contrôles Annexe A traités
  • Justification des inclusions
  • Justification des exclusions
  • Statut d'implémentation

Clause 6.2 : Objectifs de sécurité

• Définir des objectifs mesurables
• Documenter comment les objectifs seront atteints
• Attribuer les responsabilités
• Définir les délais
• Définir les métriques de succès

Phase 3 : Support et ressources (Semaines 6-9)

Clause 7.1 : Ressources

• Identifier les ressources requises
• Allouer le budget
• Affecter le personnel
• Acquérir les outils nécessaires
• Planifier les besoins continus

Clause 7.2 : Compétence

• Identifier les exigences de compétence
• Évaluer la compétence actuelle
• Identifier les besoins de formation
• Fournir la formation requise
• Conserver les preuves de compétence
  • Registres de formation
  • Certifications
  • Documentation d'expérience

Clause 7.3 : Sensibilisation

• Développer le programme de sensibilisation
• Communiquer la politique de sécurité
• Expliquer les contributions individuelles au SMSI
• Communiquer les implications de non-conformité
• Suivre la complétion de la sensibilisation

Clause 7.4 : Communication

• Définir les exigences de communication
  • Quoi communiquer
  • Quand communiquer
  • Avec qui
  • Méthodes de communication
  • Qui communique
• Implémenter les canaux de communication
• Documenter les communications

Clause 7.5 : Information documentée

• Créer la documentation requise
  • Politiques
  • Procédures
  • Enregistrements
• Implémenter le contrôle documentaire
  • Contrôle de version
  • Processus d'approbation
  • Contrôle d'accès
  • Règles de rétention
• Établir le processus de collecte de preuves

Phase 4 : Implémentation des contrôles (Semaines 9-16)

Contrôles organisationnels (Thème 5)

Politiques et gouvernance

• Politique de sécurité de l'information (5.1)
• Rôles et responsabilités documentés (5.2)
• Séparation des fonctions implémentée (5.3)
• Contact avec les autorités établi (5.5)
• Processus de threat intelligence (5.7)
• La gestion de projet inclut la sécurité (5.8)

Gestion des actifs

• Inventaire des actifs créé (5.9)
• Politique d'utilisation acceptable (5.10)
• Processus de restitution des actifs (5.11)
• Schéma de classification des données (5.12)
• Procédure d'étiquetage de l'information (5.13)
• Politique de transfert d'information (5.14)

Contrôle d'accès

• Politique de contrôle d'accès (5.15)
• Processus de gestion des identités (5.16)
• Gestion de l'authentification (5.17)
• Gestion des droits d'accès (5.18)

Gestion des fournisseurs

• Politique de sécurité des fournisseurs (5.19)
• Les accords fournisseurs incluent la sécurité (5.20)
• Sécurité de la supply chain adressée (5.21)
• Processus de monitoring des fournisseurs (5.22)
• Exigences de sécurité cloud (5.23)

Gestion des incidents

• Plan de réponse aux incidents (5.24)
• Processus d'évaluation des événements (5.25)
• Procédures de réponse aux incidents (5.26)
• Processus de leçons apprises (5.27)
• Procédure de collecte de preuves (5.28)

Continuité d'activité

• Sécurité pendant les perturbations (5.29)
• Plan de continuité TIC (5.30)

Conformité

• Exigences légales identifiées (5.31)
• Mesures de protection de la PI (5.32)
• Protection des enregistrements (5.33)
• Exigences de vie privée traitées (5.34)
• Procédures opérationnelles documentées (5.37)

Contrôles des personnes (Thème 6)

• Processus de vérification des antécédents (6.1)
• Les contrats d'emploi incluent la sécurité (6.2)
• Formation de sensibilisation à la sécurité (6.3)
• Processus disciplinaire (6.4)
• Responsabilités de fin de contrat (6.5)
• NDA en place (6.6)
• Sécurité du travail à distance (6.7)
• Mécanisme de signalement des événements (6.8)

Contrôles physiques (Thème 7)

• Périmètres physiques définis (7.1)
• Contrôles d'entrée physique (7.2)
• Bureaux et salles sécurisés (7.3)
• Surveillance physique (7.4)
• Protection environnementale (7.5)
• Procédures des zones sécurisées (7.6)
• Politique bureau/écran propre (7.7)
• Protection des équipements (7.8)
• Sécurité des actifs hors site (7.9)
• Contrôles des supports de stockage (7.10)
• Protection des services généraux (7.11)
• Sécurité du câblage (7.12)
• Maintenance des équipements (7.13)
• Élimination sécurisée (7.14)

Contrôles technologiques (Thème 8)

Endpoint et accès

• Sécurité des appareils endpoint (8.1)
• Gestion des accès privilégiés (8.2)
• Restrictions d'accès à l'information (8.3)
• Protection du code source (8.4)
• Authentification sécurisée implémentée (8.5)
• Gestion de la capacité (8.6)
• Protection anti-malware (8.7)
• Gestion des vulnérabilités (8.8)

Configuration et données

• Gestion de la configuration (8.9)
• Processus de suppression des informations (8.10)
• Masquage des données si nécessaire (8.11)
• Prévention des fuites de données (8.12)
• Procédures de sauvegarde (8.13)
• Redondance implémentée (8.14)

Monitoring

• Logging implémenté (8.15)
• Activités de monitoring (8.16)
• Synchronisation des horloges (8.17)

Sécurité réseau

• Utilitaires privilégiés contrôlés (8.18)
• Installation de logiciels contrôlée (8.19)
• Contrôles de sécurité réseau (8.20)
• Sécurité des services réseau (8.21)
• Ségrégation réseau (8.22)

Sécurité applicative

• Filtrage web (8.23)
• Cryptographie implémentée (8.24)
• SDLC sécurisé (8.25)
• Exigences de sécurité applicative (8.26)
• Architecture sécurisée (8.27)
• Pratiques de codage sécurisé (8.28)

Développement et tests

• Tests de sécurité (8.29)
• Sécurité du développement externalisé (8.30)
• Séparation des environnements (8.31)
• Processus de gestion des changements (8.32)
• Protection des données de test (8.33)
• Protection des tests d'audit (8.34)

Phase 5 : Opération et preuves (Semaines 16-20)

Clause 8 : Opération

• Opérer les contrôles comme documenté
• Exécuter les évaluations des risques selon le calendrier
• Implémenter les actions de traitement des risques
• Collecter les preuves en continu
• Monitorer l'efficacité des contrôles
• Gérer les changements de manière appropriée

Collecte des preuves

• Preuves de contrôle d'accès
  • Enregistrements de provisioning utilisateur
  • Documentation de revue d'accès
  • Configuration MFA
• Preuves de formation
  • Enregistrements de complétion
  • Attestations
• Preuves de gestion des changements
  • Demandes de changement
  • Approbations
  • Enregistrements de déploiement
• Preuves de gestion des incidents
  • Logs d'incidents
  • Enregistrements de réponse
• Preuves de gestion des vulnérabilités
  • Rapports de scan
  • Enregistrements de remédiation
• Preuves de sauvegarde
  • Logs de sauvegarde
  • Résultats des tests de restauration

Phase 6 : Vérification et revue (Semaines 20-22)

Clause 9.1 : Monitoring et mesure

• Définir les métriques et KPI
• Implémenter les processus de monitoring
• Collecter les données de performance
• Analyser les résultats
• Reporter sur l'efficacité

Clause 9.2 : Audit interne

• Créer le programme d'audit interne
• Définir le calendrier d'audit
• Sélectionner/former le(s) auditeur(s) interne(s)
• Conduire l'audit interne
  • Toutes les clauses couvertes
  • Contrôles Annexe A représentatifs
• Documenter les conclusions
• Reporter à la direction
• Suivre les actions correctives

Clause 9.3 : Revue de direction

• Planifier la revue de direction
• Préparer les entrées de la revue
  • Statut des actions précédentes
  • Changements affectant le SMSI
  • Feedback de performance
  • Feedback des parties prenantes
  • Résultats de l'évaluation des risques
  • Opportunités d'amélioration
• Conduire la revue de direction
• Documenter les sorties
  • Décisions d'amélioration
  • Changements du SMSI
  • Besoins en ressources
• Conserver les enregistrements

Phase 7 : Audit de certification (Semaines 22-26)

Préparation pré-audit

• Revoir toute la documentation
• Vérifier la complétude des preuves
• Traiter les écarts
• Briefer le personnel clé
• Planifier l'audit Stage 1

Audit Stage 1 (Revue de documentation)

• L'auditeur revoit la documentation du SMSI
• Validation du périmètre
• Évaluation de la préparation
• Traiter les conclusions du Stage 1
• Planifier le Stage 2

Audit Stage 2 (Vérification d'implémentation)

• L'auditeur vérifie l'implémentation des contrôles
• Revue des preuves
• Interviews du personnel
• Tests des contrôles
• Traiter les non-conformités
• Recevoir le rapport d'audit

Post-audit

• Résoudre les non-conformités
• Soumettre les preuves d'action corrective
• Recevoir la décision de certification
• Célébrer la certification !
• Planifier les audits de surveillance

Checklist de maintenance continue

Tâches mensuelles

• Revoir les métriques de sécurité
• Vérifier la fraîcheur des preuves
• Traiter les problèmes de contrôle
• Mettre à jour le registre des risques si nécessaire

Tâches trimestrielles

• Conduire les revues d'accès
• Revoir le statut des fournisseurs
• Mettre à jour la documentation si nécessaire
• Reporter à la direction

Tâches annuelles

• Conduire l'audit interne
• Tenir la revue de direction
• Rafraîchir l'évaluation des risques
• Revoir et mettre à jour les politiques
• Préparer l'audit de surveillance

Référence rapide : Documentation minimale requise

Document	Clause
Périmètre du SMSI	4.3
Politique de sécurité de l'information	5.2
Méthodologie d'évaluation des risques	6.1.2
Déclaration d'Applicabilité	6.1.3
Plan de traitement des risques	6.1.3
Objectifs de sécurité de l'information	6.2
Preuves de compétence	7.2
Documents opérationnels du SMSI	8.1
Résultats de l'évaluation des risques	8.2
Résultats du traitement des risques	8.3
Résultats de monitoring	9.1
Résultats de l'audit interne	9.2
Résultats de la revue de direction	9.3
Enregistrements de non-conformité et action corrective	10.1

L'avantage Bastion

Checklist rendue actionnable

Bastion transforme cette checklist en un parcours guidé :

Défi	Solution Bastion
Liste écrasante	Roadmap priorisée
Suivi manuel	Suivi de progression automatisé
Création de documentation	Templates pré-construits
Collecte des preuves	Automatisée via les intégrations
Identification des écarts	Monitoring continu

---

Prêt à cocher votre implémentation ISO 27001 ? Parlez à notre équipe →