4 Contexte pdca p

 

4.1 L'organisation et son contexte

Enjeux externes et internes qui influent sur le SMSI

Exigence 1 (voir aussi le quiz)

4.1

Les deux choses les plus importantes n'apparaissent pas au bilan de l'entreprise : sa réputation et ses hommes. Henry Ford

Intégrer les exigences du SMSI dans les processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) métier permet de garantir aux parties prenantes (c'est-à-dire aux clientscelui qui reçoit un produit (voir aussi ISO 9000, 3.3.5)) une maîtrise des risques liés à la sécurité de l'information. Adopter ces exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) est une décision stratégique de la directiongroupe ou personnes chargés de la gestion au plus haut niveau de l'entreprise (voir aussi ISO 9000, 3.2.7).

Pour mettre en place avec succès un système de management de la sécurité de l’information il faut bien comprendre et évaluer tout ce qui peut influer sur la raison d’être et la performance de l’organisation. Un exemple de détermination des enjeux est donné dans le paragraphe 5.4.1 de l’ISO 31000. Il convient d’engager une réflexion approfondie après quelques activités essentielles :

Chaque enjeu est identifié par son niveau d’influence et de maîtrise. La priorité est donnée aux enjeux très influents et pas du tout maîtrisés, cf. E 10v22, Enjeux externes et internes. procedure 

Les analyses PESTEL et SWOT (nos forces et faiblesses, les opportunités et les menaces) peuvent être utiles pour une analyse pertinente du contexte de l’organisation (cf. annexe 05). L’analyse SWOT aide à comprendre notre environnement commercial. Elle nous permet également d'identifier les problèmes internes et externes, qui pourraient avoir un impact sur la sécurité de l'information. procedure

 jokeMinute de détente. Jeu : Contexte de l'entreprise

Bonnes pratiques
Écarts à éviter

Haut de page

 

4.2 Parties prenantes

Comprendre les exigences des parties prenantes

Exigences 2 à 4

4.2

Il n'y a qu'une seule définition valable de la finalité de l'entreprise : créer un client. Peter Drucker

Pour bien comprendre les besoins et attentes des parties prenantes il faut commencer par déterminer tous ceux qui peuvent être concernés par le système de managementde la sécurité de l'information comme par exemple :

Une liste des parties prenantes est réalisée par une équipe pluridisciplinaire. Chaque partie prenante est identifiée par son niveau d’influence et de maîtrise. La priorité est donnée aux parties prenantes très influentes et pas du tout maîtrisées, cf. E 10v22, Liste des parties prenantesprocedure
 
Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) des parties prenantes qui changent avec le temps, sont revues régulièrement (cf. le processus Tenir à jour la veille réglementaire, annexe 03). processus  
 
Histoire vraie 

Le client est roi mais on peut quand même lutter contre l'impolitesse. Exemple du restaurant niçois La petite Syrah et les prix du café :

Anticiper les besoins et attentes raisonnables et pertinentes des parties prenantes c’est :
Quand une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) est acceptée celle-ci devient une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) interne du SMSI.
 
Bonnes pratiques 
Écarts à éviter

Haut de page

 

4.3 Domaine d'application

Définir le domaine d'application du SMSI

Exigences 5 à 9

4.3 

Dans beaucoup de domaines, le gagnant est celui qui est le mieux renseigné. André Muller

Le domaine d’application (ou autrement dit le périmètre) du système de management de la sécurité de l'information est défini.

La Déclaration d'applicabilité - DdA (cf. § 6.1.3 et annexe 07) permet : procedure 

Chaque mesure de la déclaration d’applicabilité est directement liée au traitement d’un risque. 

Pour bien déterminer le domaine d’application du SMSI sont pris en compte les spécificités du contexte de l’organisation comme :

Le Domaine d’application, cf. E 10v22, est disponible comme enregistrement. Il inclut le domaine d’application (limites et interfaces) : procedure

Bonnes pratiques 
Écarts à éviter 

Haut de page

 

4.4 SMSI

Exigences du SMSI, processus et interactions du SMSI

Exigence 10

 4.4

Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) de la norme ISO 27001 sont liées à la maîtrise :

Pour cela :

Le manuel sécurité de l'information n’est pas une exigencebesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) de la norme ISO 27001 mais cela est toujours une possibilité de présenter l’organisation, son SMSI et ses procédures,  politiques et processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) (cf. annexe 08). 

Le guide de l’ISO « The integrated use of management system standards » (L’utilisation intégrée des normes de systèmes de management) de 2018, en anglais, contient des recommandations pertinentes sur l’intégration des systèmes de management.

Pièges à éviter : attention

Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) de la norme ISO 27001 sont montrées en figure 4-1 et sur la page dédiée :

exigences

Figure 4-1. Les exigences de la norme ISO 27001 (2022)

Les exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) de sécurité de l’information concernent :

Bonnes pratiques
Écarts à éviter

  jokeMinute de détente. Jeu : Bonnes pratiques et écarts à éviter a

Le reste de la formation F 24v22 Préparation à l'ISO 27001 version 2022 est accessible sur cette page.

Voir aussi la formation F 44v22 Audit interne ISO 27001 et le lot de formations ISO 27001.

Haut de page