ISO27001 — Clause 4.2 — comprendre les besoins et attentes des parties prenantes

On le répète souvent, la sécurité de l’information c’est l’affaire de tous. Nous devons identifier et comprendre les besoins de ce monde.

La clause 4.2 de la norme ISO 27001 sur la sécurité de l’information demande d’identifier les parties prenantes, car ces dernières ont un impact et surtout un intérêt envers le système de gestion de la sécurité de l’information (SGSI) de l’organisation.

Étape 1–clause 4.2 a) identifier les parties prenantes

Les parties prenantes(intervenants), également appelées "stakeholders" en anglais, sont les personnes ou les groupes qui ont un intérêt ou une influence sur une organisation et surtout sur le programme de sécurité (SGSI).

Étape 2- clause 4.2 b) déterminer leurs exigences

Voici quelques méthodes pour aider à déterminer les exigences des parties prenantes.

Étape 3 — clause 4.2 c) déterminer quelles des exigences des parties prenantes seront couvertes par le SGSI

Finalement, l’organisation doit formellement déterminer si les exigences de leurs parties prenantes seront couvertes par le SGSI ou si certains éléments seront exclus de la couverture.

Critères de succès

• Qui sont les parties prenantes?
• Quels sont leurs besoins?
• Quels besoins ne seront pas couverts par le SGSI?
• Par quel moyen avez-vous déterminé les besoins des parties prenantes?
• Montrez-moi le document décrivant vos réponses.