ISO27001 Clause 4.1 — Comprendre l'organisation et son contexte

Pour commencer, sommes-nous capables de définir qui est l'organisation en termes clairs?

Cette étape consiste à déterminer les enjeux internes et externes d'une organisation. C'est un processus important pour comprendre les risques auxquels l'entreprise est exposée. Il permet également de définir les objectifs de sécurité de l'information et les exigences en matière de conformité qui s'appliquent à l'entreprise.

Enjeux internes

Les enjeux internes à une organisation sont les risques et les opportunités qui découlent des activités internes de l'entreprise. Ils peuvent inclure les processus opérationnels, les systèmes informatiques, les employés, les ressources et les politiques de l'entreprise.

Enjeux externes

Les enjeux externes sont les facteurs qui peuvent avoir une influence sur une organisation et qui ne sont pas contrôlés par elle. Ces enjeux peuvent comprendre des forces macroéconomiques, le contexte politique ou social, la technologie et les réglementations existantes.

FFOM

Une technique utilisée pour déterminer les enjeux internes et externes d'une organisation consiste à réaliser une analyse de type FFOM ou "SWOT — Strengh, weakness, opportunity and threats".

Critère de succès

Afin de déterminer si nous avons bien répondu à la clause 4.1, voici quelques questions qu'un auditeur peut vous poser:

• Quelles sont la mission, la vision et les valeurs de l'organisation?
• À quel endroit sont documentés les enjeux interne et externe?
• Comment avez-vous déterminé les enjeux internes et externes de l'organisation?