🇬🇧 English version
ISO 2700110 min de lecture

Exigences documentaires ISO 27001

La documentation est un aspect fondamental de l'ISO 27001. Comprendre quelle documentation est requise, et pourquoi, vous aide à construire un SMSI efficace sans sur-ingéniérer ni sous-préparer.

Points clés

Point Résumé
Documents obligatoires L'ISO 27001 exige explicitement certaines informations documentées
Documentation totale Typiquement 30-35 documents pour un SMSI complet
Objectif Assure la cohérence, permet l'amélioration, fournit des preuves d'audit
Équilibre nécessaire Suffisant pour la compliance sans surcharge bureaucratique
Maintenance Les documents doivent être contrôlés, revus et maintenus à jour

Réponse rapide : L'ISO 27001 exige des informations documentées incluant le périmètre de votre SMSI, la politique de sécurité de l'information, la méthodologie et les résultats de l'évaluation des risques, la Déclaration d'Applicabilité, et les preuves que les contrôles fonctionnent. La plupart des organisations créent 30-35 documents, mais le nombre exact dépend de votre contexte et de comment vous choisissez d'organiser votre documentation.

Comprendre les exigences documentaires

Ce que signifie "Information documentée"

L'ISO 27001:2022 utilise le terme "information documentée" pour couvrir :

  • Documents : Politiques, procédures, lignes directrices (comment les choses doivent être faites)
  • Enregistrements : Preuves que les activités ont été réalisées (preuve que les choses ont été faites)

Les deux sont importants pour la certification :

  • Les documents définissent votre SMSI
  • Les enregistrements prouvent qu'il fonctionne

Pourquoi la documentation compte

Objectif Bénéfice
Cohérence Assure que les pratiques sont répétables
Communication Rend les attentes claires pour le personnel
Formation Fournit du matériel de référence
Preuves d'audit Démontre la conformité
Continuité Connaissances préservées si des personnes partent
Amélioration Baseline pour mesurer les progrès

Documentation obligatoire

Explicitement exigée par l'ISO 27001

La norme exige explicitement les informations documentées suivantes :

Document Référence clause Objectif
Périmètre SMSI 4.3 Définit les limites de votre SMSI
Politique de sécurité de l'information 5.2 Engagement sécurité de haut niveau
Méthodologie d'évaluation des risques 6.1.2 Comment vous identifiez et évaluez les risques
Résultats de l'évaluation des risques 6.1.2 Output de votre évaluation des risques
Plan de traitement des risques 6.1.3 Comment vous adressez les risques identifiés
Déclaration d'Applicabilité 6.1.3 d) Quels contrôles Annexe A s'appliquent et pourquoi
Objectifs de sécurité de l'information 6.2 Objectifs sécurité mesurables
Preuves de compétence 7.2 Preuve de compétence du personnel
Planification et contrôle opérationnels 8.1 Comment les opérations sont gérées
Enregistrements d'évaluation des risques 8.2 Documentation des activités d'évaluation des risques
Enregistrements de traitement des risques 8.3 Preuves d'implémentation du traitement des risques
Résultats de surveillance et mesure 9.1 Métriques de performance
Programme et résultats d'audit interne 9.2 Documentation d'audit interne
Résultats de revue de direction 9.3 Enregistrements de réunion de revue de direction
Non-conformité et action corrective 10.1 Preuves d'activités d'amélioration

Documentation spécifique aux contrôles

Beaucoup de contrôles de l'Annexe A exigent également des informations documentées, telles que :

Domaine de contrôle Documentation nécessaire
Contrôle d'accès Politique de contrôle d'accès, enregistrements d'accès utilisateurs
Gestion des actifs Inventaire des actifs, politique d'utilisation acceptable
Sécurité des opérations Procédures opérationnelles, enregistrements de changements
Gestion des incidents Procédure de réponse aux incidents, enregistrements d'incidents
Continuité d'activité Plans de continuité d'activité, résultats de tests
Relations fournisseurs Politique fournisseurs, évaluations fournisseurs

Ensemble de documentation SMSI typique

Structure courante

La plupart des organisations organisent leur documentation SMSI en couches :

Niveau 1 : Documents de politique
Déclarations de haut niveau d'intention et de direction

Niveau 2 : Procédures
Comment les politiques sont implémentées en pratique

Niveau 3 : Instructions de travail/Lignes directrices
Étapes détaillées pour des tâches spécifiques

Niveau 4 : Enregistrements/Preuves
Preuve que les activités ont eu lieu

Liste de documents représentative

Un SMSI typique inclut des documents tels que :

Catégorie Documents
SMSI de base Périmètre SMSI, Politique de sécurité, Méthodologie de risque, Déclaration d'Applicabilité
Organisationnels Rôles sécurité, Gestion des actifs, Classification de l'information
Personnel Utilisation acceptable, Travail à distance, Sensibilisation sécurité, Screening
Opérations Gestion des changements, Réponse aux incidents, Continuité d'activité, Backup
Contrôle d'accès Politique de contrôle d'accès, Provisioning utilisateurs, Accès privilégié
Techniques Chiffrement, Sécurité réseau, Développement sécurisé, Gestion des vulnérabilités
Tiers Sécurité fournisseurs, Sécurité cloud
Enregistrements Registre des risques, Audit interne, Revue de direction

Guidance sur le nombre de documents

Taille d'organisation Nombre typique de documents
Petite startup 25-30 documents
Entreprise moyenne 30-40 documents
Grande organisation 40-50+ documents

L'objectif n'est pas de minimiser ou maximiser ; c'est d'avoir une documentation appropriée à votre contexte.

Créer une documentation efficace

Principes de rédaction de politique

Des politiques efficaces sont :

Principe Application
Claires Langage sans ambiguïté, pas de jargon
Concises Assez longues pour être complètes, assez courtes pour être lues
Actionnables Assez spécifiques pour guider le comportement
Appropriées Adaptées à la taille et culture de votre organisation
Maintenues Revues et mises à jour régulièrement

Erreurs documentaires courantes

Erreur Meilleure approche
Copier des templates génériques Adapter à votre environnement réel
Sur-documenter Documenter ce qui est nécessaire, pas tout
Sous-documenter S'assurer que les éléments obligatoires sont couverts
Set and forget Cycle de revue et mise à jour régulier
Trop théorique Refléter les pratiques réelles
Pas de contrôle de version Suivre les changements et approbations

Exigences de contrôle documentaire

L'ISO 27001 exige que les informations documentées soient contrôlées :

Exigence Implémentation
Identification Titres clairs, numéros de version
Format Templates et structure cohérents
Revue et approbation Processus d'approbation défini
Distribution S'assurer que les versions actuelles sont disponibles
Stockage et protection Stockage sécurisé, accessible
Contrôle des changements Suivre et approuver les modifications
Rétention Périodes de rétention définies
Disposition Destruction sécurisée quand plus nécessaire

Documents clés en détail

1. Périmètre SMSI

Objectif : Définit les limites de votre système de management de la sécurité de l'information.

Devrait inclure :

  • Produits/services couverts
  • Fonctions business dans le périmètre
  • Emplacements physiques inclus
  • Systèmes et données couverts
  • Unités organisationnelles
  • Limites et exclusions (avec justification)

Exemple :

"Le SMSI couvre le développement, la livraison et le support de [Nom du Produit], incluant le traitement des données clients, l'infrastructure cloud (AWS), les systèmes IT corporate, et tout le personnel impliqué dans ces activités."

2. Politique de sécurité de l'information

Objectif : Déclaration de haut niveau de l'engagement du management et de la direction sécurité.

Devrait inclure :

  • Engagement du management envers la sécurité
  • Objectifs ou framework de sécurité
  • Conformité aux exigences
  • Engagement d'amélioration continue
  • Applicabilité de la politique
  • Fréquence de revue

Longueur : Typiquement 2-4 pages

3. Méthodologie d'évaluation des risques

Objectif : Définit comment votre organisation identifie, analyse et évalue les risques.

Devrait inclure :

  • Approche d'identification des risques
  • Critères d'analyse des risques (échelles de probabilité, d'impact)
  • Critères d'évaluation des risques (niveaux de risque, seuils d'acceptation)
  • Options de traitement des risques
  • Fréquence de revue

4. Déclaration d'Applicabilité (SoA)

Objectif : Documente quels contrôles de l'Annexe A s'appliquent à votre organisation et pourquoi.

Devrait inclure pour chacun des 93 contrôles :

  • Référence et titre du contrôle
  • Applicable (Oui/Non)
  • Justification pour l'inclusion ou l'exclusion
  • Statut d'implémentation
  • Brève description de l'implémentation (optionnel)

Voir notre guide détaillé de la SoA

5. Registre des risques

Objectif : Documente les risques identifiés et leur traitement.

Devrait inclure :

  • Identifiant du risque
  • Description du risque
  • Actif/processus affecté
  • Menace et vulnérabilité
  • Notes de probabilité et d'impact
  • Niveau de risque (calculé)
  • Décision de traitement
  • Contrôles appliqués
  • Risque résiduel
  • Propriétaire du risque
  • Statut

Preuves et enregistrements

Quelles preuves collecter

Domaine de contrôle Exemples de preuves
Contrôle d'accès Listes d'utilisateurs, enregistrements de revue d'accès, configuration MFA
Gestion des changements Tickets de changement, enregistrements d'approbation, résultats de test
Sensibilisation sécurité Enregistrements de formation, certificats de complétion, matériaux
Réponse aux incidents Tickets d'incidents, timelines de réponse, leçons apprises
Gestion des vulnérabilités Rapports de scan, enregistrements de remédiation, statut de patching
Backup Logs de backup, enregistrements de tests de restauration
Gestion des fournisseurs Évaluations, contrats, enregistrements de surveillance

Fraîcheur des preuves

Différents types de preuves ont différentes exigences de fraîcheur :

Type de preuve Attente de fraîcheur
Formation sensibilisation sécurité Complétion annuelle
Revues d'accès Trimestrielle
Scans de vulnérabilités Mensuel ou continu
Tests de backup Intervalles réguliers (trimestriel typique)
Enregistrements d'incidents Période depuis le dernier audit
Revues de politiques Annuelle

Organiser les preuves

Organisation efficace des preuves :

Approche Bénéfices
Plateforme centralisée Source unique de vérité
Collecte automatisée Réduit l'effort manuel
Nommage cohérent Facile à localiser
Contrôle de version Piste d'audit claire
Contrôle d'accès Permissions appropriées

Maintenir la documentation

Cycle de revue

Type de document Fréquence de revue
Politiques Annuel minimum
Procédures Annuel ou sur changement
Évaluation des risques Annuel + sur changement significatif
SoA Annuel + sur changements de contrôles
Enregistrements À la génération

Déclencheurs de mise à jour

Mettez à jour la documentation quand :

  • Cycle de revue annuel
  • Changements organisationnels significatifs
  • Nouveaux systèmes ou processus
  • Conclusions d'incidents
  • Constats d'audit
  • Changements réglementaires
  • Feedback ou améliorations identifiées

Contrôle de version

Éléments essentiels de contrôle de version :

Élément Objectif
Numéro de version Suivre l'évolution du document
Date Quand approuvé/publié
Auteur Qui a écrit/mis à jour
Approbateur Qui a autorisé
Résumé des changements Ce qui a changé
Prochaine date de revue Quand revoir

Travailler avec des templates

Avantages des templates

Bénéfice Considération
Développement plus rapide Ne pas partir de zéro
Complétude Couvrir les éléments requis
Cohérence Formatage uniforme
Basés sur l'expérience Apprendre de ce qui fonctionne

Pièges des templates

Risque Mitigation
Contenu générique Personnaliser à votre contexte
Sur-complexité Simplifier pour votre taille
Normes obsolètes Assurer l'alignement ISO 27001:2022
Erreurs de copier-coller Revue attentive avant utilisation

Bonne pratique

Les templates sont un point de départ, pas une fin en soi. Chaque document devrait refléter votre organisation, vos processus et vos contrôles réels.

Questions courantes

Combien de pages devraient faire les politiques ?

Il n'y a pas d'exigence. Les politiques devraient être assez longues pour être complètes et assez courtes pour être lues. Pour les petites organisations, une politique de 2-3 pages est souvent suffisante. Évitez la complexité inutile.

Peut-on combiner des documents ?

Oui. Vous pouvez organiser la documentation comme ça fonctionne pour votre organisation. Ce qui compte c'est que le contenu requis existe et soit contrôlé, pas comment il est empaqueté.

Quel format devraient utiliser les documents ?

Pas de format requis. La plupart des organisations utilisent des documents Word, Google Docs, ou des plateformes de compliance dédiées. Choisissez ce qui est maintenable pour votre équipe.

Quel niveau de détail pour les procédures ?

Assez détaillées pour que quelqu'un puisse les suivre, assez concises pour qu'elles soient lues. Le bon niveau dépend de l'expertise de votre équipe et de la complexité du processus.

L'approche Bastion

Nous aidons les organisations à développer une documentation appropriée :

Défi Notre approche
Partir de zéro Templates pré-construits adaptés à votre contexte
Développement documentaire Rédaction experte avec votre revue et approbation
Cohérence Formatage et organisation uniformes
Complétude Couverture de toutes les exigences obligatoires
Maintenance Support continu pour les revues et mises à jour

Prêt à développer votre documentation SMSI ? Parlez à notre équipe

Sources

← PrécédentAudits externes ISO 27001 : À quoi s'attendre
Retour aux guides ISO 27001