🇬🇧 English version
ISO 2700111 min de lecture

Exigences ISO 27001 : Guide complet des clauses 4-10

L'ISO 27001 est construite autour d'exigences obligatoires définies dans les clauses 4-10. Comprendre ces exigences est essentiel pour construire un SMSI conforme. Ce guide détaille chaque clause et ce que vous devez faire.

Points clés

Point Résumé
7 clauses obligatoires Les clauses 4-10 sont des exigences auditables ; les clauses 0-3 sont introductives
Clause 4 Contexte - définir le périmètre du SMSI et les exigences des parties prenantes
Clauses 5-6 Leadership & Planification - engagement de la direction, évaluation des risques, Déclaration d'Applicabilité
Clauses 7-8 Support & Opération - ressources, documentation, implémentation des contrôles
Clauses 9-10 Évaluation & Amélioration - audit interne, revue de direction, actions correctives

Réponse rapide : L'ISO/IEC 27001:2022 a 7 clauses obligatoires (4-10) plus 93 contrôles Annexe A organisés en 4 thèmes (Organisationnel, Personnes, Physique, Technologique). Les livrables clés incluent le document de périmètre, la politique de sécurité, l'évaluation des risques, la Déclaration d'Applicabilité, l'audit interne et les enregistrements de revue de direction.

Aperçu des clauses ISO 27001

Structure des clauses

Structure ISO 27001:2022 :

Clauses 0-3 : Introduction (non auditables) :

    1. Introduction
    1. Domaine d'application
    1. Références normatives
    1. Termes et définitions

Clauses 4-10 : Exigences (auditables) :

    1. Contexte de l'organisation
    1. Leadership
    1. Planification
    1. Support
    1. Opération
    1. Évaluation de la performance
    1. Amélioration

Annexe A : Objectifs et contrôles :

  • 93 contrôles en 4 thèmes

Quelles clauses sont requises ?

Clause Niveau d'exigence Notes
4-10 Obligatoire Aucune ne peut être exclue
Annexe A Obligatoire à considérer Peut exclure avec justification

Clause 4 : Contexte de l'organisation

Objectif

Établir la fondation de votre SMSI en comprenant votre organisation et les besoins des parties prenantes.

4.1 Compréhension de l'organisation et de son contexte

Exigence : Déterminer les enjeux externes et internes pertinents pour votre mission et affectant les résultats du SMSI.

Enjeux externes à considérer :

  • Exigences légales et réglementaires
  • Conditions du marché
  • Changements technologiques
  • Attentes clients
  • Paysage concurrentiel

Enjeux internes à considérer :

  • Structure organisationnelle
  • Culture et valeurs
  • Ressources et capacités
  • Systèmes d'information
  • Processus métier

Documentation : Document d'analyse du contexte

4.2 Compréhension des besoins et attentes des parties prenantes

Exigence : Identifier les parties intéressées et leurs exigences.

Partie prenante Exigences typiques
Clients Protection des données, disponibilité du service
Employés Sécurité de l'emploi, vie privée
Régulateurs Conformité légale
Actionnaires Gestion des risques, réputation
Partenaires Assurance de sécurité

Documentation : Registre des parties prenantes

4.3 Détermination du périmètre du SMSI

Exigence : Définir les limites et l'applicabilité du SMSI.

Considérations de périmètre :

  • Enjeux externes et internes (4.1)
  • Exigences des parties prenantes (4.2)
  • Interfaces et dépendances
  • Limites organisationnelles
  • Actifs informationnels inclus

Exemple de déclaration de périmètre :

"Le SMSI couvre le développement, la livraison et le support de [Nom du Produit], incluant toute l'infrastructure cloud, les systèmes de développement et les activités de traitement des données clients."

Documentation : Document de périmètre du SMSI

4.4 Système de Management de la Sécurité de l'Information

Exigence : Établir, implémenter, maintenir et améliorer continuellement le SMSI.

Cela englobe :

  • Toutes les exigences des clauses 4-10
  • Les contrôles Annexe A sélectionnés
  • Les contrôles additionnels selon besoin
  • Les exigences de documentation

Clause 5 : Leadership

Objectif

Assurer l'engagement de la direction et établir l'orientation sécurité de l'organisation.

5.1 Leadership et engagement

Exigence : La direction doit démontrer son leadership en :

Domaine d'engagement Preuve
S'assurer que le SMSI atteint ses objectifs Objectifs définis, résultats mesurés
Fournir des ressources Allocation budgétaire, personnel
Communiquer l'importance Communications, déclarations de politique
S'assurer que les résultats sont atteints Revues de direction, métriques
Soutenir l'amélioration continue Investissement dans les améliorations

5.2 Politique

Exigence : Établir une politique de sécurité de l'information qui :

Exigence de politique Description
Appropriée à la mission Alignée avec les objectifs business
Inclut des objectifs Buts de sécurité clairs
Inclut un engagement À satisfaire les exigences et s'améliorer
Communiquée Disponible à toutes les parties concernées
Documentée Écrite et maintenue

Éléments clés de la politique :

  • Objectif et périmètre
  • Objectifs de sécurité
  • Engagement de la direction
  • Rôles et responsabilités
  • Processus de revue et mise à jour

5.3 Rôles, responsabilités et autorités organisationnels

Exigence : Attribuer et communiquer les responsabilités de sécurité.

Rôles critiques :

Rôle Responsabilités
Direction Responsabilité globale, allocation des ressources
Responsable SMSI Implémentation, coordination, reporting
Propriétaires de risques Gestion des risques spécifiques
Propriétaires de contrôles Opération et maintenance des contrôles
Auditeur interne Vérification de l'efficacité du SMSI

Clause 6 : Planification

Objectif

Traiter les risques et opportunités, et établir les objectifs de sécurité.

6.1 Actions pour traiter les risques et opportunités

6.1.1 Généralités

Déterminer les risques et opportunités en considérant :

  • Le contexte (4.1)
  • Les exigences des parties prenantes (4.2)

Planifier des actions pour :

  • Atteindre les résultats visés du SMSI
  • Prévenir ou réduire les effets indésirables
  • Réaliser l'amélioration continue

6.1.2 Évaluation des risques de sécurité de l'information

Exigence : Définir et appliquer un processus d'évaluation des risques.

Processus d'évaluation des risques :

Étape 1 : Établir les critères :

  • Critères d'acceptation des risques
  • Critères pour effectuer les évaluations
  • Exigences de cohérence et validité

Étape 2 : Identifier les risques :

  • Identifier les actifs informationnels
  • Identifier les menaces
  • Identifier les vulnérabilités
  • Identifier les conséquences potentielles
  • Identifier les propriétaires de risques

Étape 3 : Analyser les risques :

  • Évaluer la probabilité
  • Évaluer l'impact
  • Calculer le niveau de risque

Étape 4 : Évaluer les risques :

  • Comparer aux critères
  • Prioriser pour le traitement
  • Documenter les décisions

Documentation :

  • Méthodologie d'évaluation des risques
  • Registre des risques
  • Résultats de l'évaluation des risques

6.1.3 Traitement des risques de sécurité de l'information

Exigence : Définir et appliquer un processus de traitement des risques.

Option de traitement Quand l'utiliser
Modifier (atténuer) Implémenter des contrôles pour réduire le risque
Accepter Risque dans la tolérance
Éviter Éliminer l'activité
Partager (transférer) Assurance, externalisation

Livrables clés :

  • Plan de traitement des risques
  • Déclaration d'Applicabilité (SoA)

La Déclaration d'Applicabilité doit inclure :

  • Les contrôles sélectionnés et leur justification
  • Le statut d'implémentation
  • Les contrôles exclus et leur justification

6.2 Objectifs de sécurité de l'information et planification

Exigence : Établir des objectifs de sécurité mesurables.

Les objectifs doivent être :

Caractéristique Exemple
Cohérents avec la politique Alignés avec les engagements de la politique de sécurité
Mesurables "Atteindre 100% d'adoption du MFA"
Prendre en compte les exigences Répondre aux besoins des parties prenantes
Monitorés Suivi régulier
Communiqués Connus des parties concernées
Mis à jour Révisés selon besoin

La planification doit déterminer :

  • Ce qui sera fait
  • Les ressources requises
  • Les parties responsables
  • Le calendrier d'achèvement
  • Comment les résultats seront évalués

Clause 7 : Support

Objectif

Fournir les ressources nécessaires à l'efficacité du SMSI.

7.1 Ressources

Exigence : Déterminer et fournir les ressources nécessaires.

Type de ressource Exemples
Financières Budget pour outils, formation, audits
Humaines Personnel sécurité, responsable SMSI
Infrastructure Outils de sécurité, systèmes
Temps Allocation pour les activités SMSI

7.2 Compétence

Exigence : Assurer la compétence du personnel pour les rôles SMSI.

Actions requises :

  • Déterminer la compétence requise
  • S'assurer de la compétence par éducation, formation ou expérience
  • Prendre des actions pour acquérir la compétence si nécessaire
  • Conserver les preuves de compétence

Preuves : Registres de formation, certifications, qualifications

7.3 Sensibilisation

Exigence : Le personnel doit être conscient de :

Domaine de sensibilisation Détails
Politique de sécurité Comprendre la politique
Leur contribution Comment ils soutiennent le SMSI
Implications de non-conformité Conséquences de ne pas se conformer

Preuves : Registres de complétion de formation, attestations

7.4 Communication

Exigence : Déterminer les besoins de communication interne et externe.

Aspect de communication Détermination nécessaire
Quoi communiquer Mises à jour sécurité, incidents, politiques
Quand communiquer Déclencheurs et calendriers
Avec qui Équipes internes, parties externes
Comment communiquer Canaux et méthodes
Qui communique Parties responsables

7.5 Information documentée

Exigence : Créer et maintenir la documentation requise.

7.5.1 Généralités

Inclure :

  • La documentation requise par l'ISO 27001
  • La documentation nécessaire à l'efficacité du SMSI

7.5.2 Création et mise à jour

Assurer l'appropriation de :

  • L'identification et la description
  • Le format et le support
  • La revue et l'approbation

7.5.3 Contrôle de l'information documentée

Assurer :

  • La disponibilité et l'adéquation
  • Une protection appropriée
  • Le contrôle de distribution et d'accès
  • Le stockage et la préservation
  • Le contrôle des modifications
  • La rétention et l'élimination

Clause 8 : Opération

Objectif

Exécuter le SMSI via la planification opérationnelle et la gestion des risques.

8.1 Planification et contrôle opérationnels

Exigence : Planifier, implémenter et contrôler les processus nécessaires au SMSI.

Activité Description
Établir des critères Définir les exigences de processus
Implémenter le contrôle Exécuter selon les critères
Conserver des enregistrements Maintenir les preuves d'exécution
Contrôler les changements Gérer les changements planifiés et non planifiés
Contrôler les processus externalisés Assurer la conformité des tiers

8.2 Évaluation des risques de sécurité de l'information

Exigence : Effectuer des évaluations des risques à intervalles planifiés ou lors de changements significatifs.

Déclencheurs de réévaluation :

  • Intervalles planifiés (généralement annuel)
  • Changements organisationnels significatifs
  • Changements majeurs de système
  • Après incidents de sécurité
  • Nouvelles menaces identifiées

Documentation : Résultats de l'évaluation des risques

8.3 Traitement des risques de sécurité de l'information

Exigence : Implémenter le plan de traitement des risques.

Preuves requises :

  • Actions de traitement des risques complétées
  • Statut d'implémentation des contrôles
  • Évaluation du risque résiduel
  • Résultats du traitement des risques

Clause 9 : Évaluation de la performance

Objectif

Monitorer, mesurer, auditer et revoir l'efficacité du SMSI.

9.1 Monitoring, mesure, analyse et évaluation

Exigence : Évaluer la performance du SMSI et des contrôles.

Détermination Description
Quoi monitorer Processus, contrôles, objectifs
Méthodes Comment mesurer
Quand Fréquence de monitoring
Qui Parties responsables
Quand analyser Timing de l'analyse
Qui analyse Parties responsables

Exemples de métriques :

Métrique Cible
Complétion des formations 100%
Complétion des revues d'accès Trimestriel
SLA de remédiation des vulnérabilités 95% respecté
Temps de réponse aux incidents < 4 heures

9.2 Audit interne

Exigence : Conduire des audits internes à intervalles planifiés.

9.2.1 Exigences d'audit

L'audit doit déterminer si le SMSI :

  • Est conforme aux exigences de l'organisation
  • Est conforme aux exigences de l'ISO 27001
  • Est effectivement implémenté et maintenu

9.2.2 Programme d'audit

Aspect Exigence
Fréquence Basée sur l'importance et les résultats précédents
Méthodes Approche définie
Responsabilités Ownership clair
Planification Calendrier documenté
Reporting Résultats à la direction
Indépendance Auditeurs objectifs et impartiaux

Documentation : Programme d'audit, rapports d'audit

9.3 Revue de direction

Exigence : Revoir le SMSI à intervalles planifiés.

9.3.1 Généralités

La direction doit revoir le SMSI pour assurer son adéquation, son caractère approprié et son efficacité.

9.3.2 Entrées de la revue de direction

Entrée Description
Actions de revue précédente Statut des décisions antérieures
Changements Enjeux externes/internes affectant le SMSI
Feedback de performance Non-conformités, monitoring, audits, objectifs
Feedback des parties prenantes Des parties intéressées
Résultats d'évaluation des risques Statut actuel des risques
Opportunités d'amélioration Améliorations potentielles

9.3.3 Sorties de la revue de direction

Sortie Description
Décisions d'amélioration Quoi améliorer
Changements du SMSI Modifications nécessaires
Besoins en ressources Ressources additionnelles requises

Documentation : Minutes/enregistrements de revue de direction

Clause 10 : Amélioration

Objectif

Améliorer continuellement l'adéquation, le caractère approprié et l'efficacité du SMSI.

10.1 Non-conformité et action corrective

Exigence : Réagir aux non-conformités et prendre des actions correctives.

Quand une non-conformité survient :

Processus de gestion des non-conformités :

1. Réagir à la non-conformité :

  • La contrôler et la corriger
  • Traiter les conséquences

2. Évaluer le besoin d'action corrective :

  • Revoir la non-conformité
  • Déterminer les causes
  • Vérifier les problèmes similaires

3. Implémenter les actions correctives :

  • Traiter la cause racine

4. Revoir l'efficacité :

  • Vérifier que l'action a fonctionné

5. Mettre à jour le SMSI si nécessaire :

  • Effectuer les changements nécessaires

Documentation : Enregistrements de non-conformité, enregistrements d'action corrective

10.2 Amélioration continue

Exigence : Améliorer continuellement l'adéquation, le caractère approprié et l'efficacité du SMSI.

Sources d'amélioration :

Source Exemples
Conclusions d'audit Audits internes et externes
Changements de risque Risques nouveaux ou modifiés
Données de performance Métriques et monitoring
Analyse d'incidents Leçons apprises
Changements technologiques Nouveaux outils et méthodes
Bonnes pratiques Évolutions de l'industrie

Tableau récapitulatif des exigences

Clause Livrables clés
4. Contexte Analyse de contexte, registre des parties prenantes, document de périmètre
5. Leadership Politique de sécurité, rôles et responsabilités
6. Planification Méthodologie de risque, registre des risques, SoA, objectifs
7. Support Ressources, registres de formation, preuves de sensibilisation, documentation
8. Opération Implémentation des contrôles, résultats d'évaluation des risques
9. Évaluation Métriques, rapports d'audit interne, enregistrements de revue de direction
10. Amélioration Enregistrements d'action corrective, preuves d'amélioration

L'approche Bastion

Gestion simplifiée des exigences

Bastion vous aide à répondre à toutes les exigences ISO 27001 :

Défi Solution Bastion
Comprendre les exigences Guidance experte du vCISO
Créer la documentation Templates pré-construits pour toutes les clauses
Évaluation des risques Méthodologie guidée avec automatisation
Collecte des preuves Collecte et suivi automatisés
Préparation à l'audit Preuves mappées aux exigences

Besoin d'aide pour répondre aux exigences ISO 27001 ? Parlez à notre équipe →

Sources

← PrécédentQu'est-ce qu'un Système de Management de la Sécurité de l'Information (SMSI) ?Suivant →Contrôles Annexe A ISO 27001 : Guide complet
Retour aux guides ISO 27001