En matière de sécurité de l'information, chaque détail compte, y compris la manière dont les informations sont créées, conservée, maintenue et détruite.

La clause 7.5 de la norme ISO 27001 adresse la "gestion des informations documentées", un aspect souvent négligé, mais néanmoins crucial pour la mise en place d'un système de gestion de la sécurité de l'information (SGSI) efficace et robuste.

Prenez un moment pour penser à toutes les informations que votre organisation gère quotidiennement — des politiques et procédures internes aux données client, en passant par les rapports financiers et les plans de projet. Chacun de ces documents représente une facette de votre entreprise qui doit être gérée et protégée. C'est là que la clause 7.5 entre en jeu.

Elle fournit un cadre pour s'assurer que ces informations sont correctement créées, mises à jour, gérées et finalement détruites de manière à protéger non seulement vos actifs informationnels, mais aussi la réputation de votre organisation.

Cette clause met l'accent sur "comment" les informations documentées (comme les politiques, les procédures, les registres et artefacts) doivent être organisées.

Il ne faut pas oublier que chaque organisation est unique, et que la mise en œuvre de cette clause peut varier en fonction de la taille de l'entreprise, du type d'informations, de son secteur d'activités et des compétences des gens.

La nomenclature de nos fichiers

Chaque document doit être identifié de manière unique, soit par son titre, une date ou un numéro de version pour en faciliter son utilisation, sa recherche et surtout sa mise à jour!

Par exemple une lettre reçue du gouvernement pourrait être nommée de la manière suivante: YYYYMMJJ — avis de cotisation QC 2024.pdf

Les gabarits des documents

La norme ISO 27001, dans sa clause 7.5, ne mentionne pas explicitement les "gabarits de documents", mais elle parle de la gestion des informations documentées qui peuvent inclure des gabarits de documents. Pour moi, les gabarits de documents sont essentiels pour assurer la cohérence, la clarté et la facilité.

Comment est réalisées la révision et l'assurance qualité

Avant sa publication, chaque document doit être examiné et approuvé pour s'assurer qu'il est adéquat pour l'usage prévu et conforme aux exigences du SGSI.

Où sont conservés nos fichiers

Les documents doivent être stockés et conservés de manière à garantir leur accessibilité, leurs préservations et leurs protections contre la perte de confidentialité, d'intégrité et de disponibilité.

Comment faire la gestion des versions d'un même fichier

Chaque fois qu'une information est modifiée, une nouvelle version devrait être créée et correctement identifiée. Cela peut être fait en attribuant un numéro ou une date de version uniques à chaque version d'un document.

Il est souvent utile d'inclure une version dans le nom du fichier ainsi qu'un suivi dans un tableau à l'intérieur du document nommé "Historique des versions".

Attention pour les utilisateurs de Sharepoint ou de GoogleDrive, votre historique de version se situe à même le fichier, donc pas nécessaire de garder des copies d'un même fichier.

Comment gérer les documents externes?

Ces documents peuvent inclure des contrats avec des fournisseurs, des accords avec des partenaires, des exigences légales, des normes ou encore des rapports de tests de sécurité!

  1. Identification : Il faut identifier les documents externes qui sont pertinents pour le système de gestion de la sécurité de l'information (SGSI).
  2. Examen et approbation : Avant leurs utilisations, ces documents doivent être approuvés pour confirmer qu'ils sont pertinents et corrects.
  3. Distribution : Les documents approuvés doivent être distribués aux personnes concernées dans l'organisation.
  4. Conservation et préservation : Les documents doivent être conservés pour protéger contre la perte, la destruction, l'altération, ou l'accès non autorisé.
  5. Révision : Les documents externes doivent être révisés régulièrement pour s'assurer qu'ils sont toujours actuels et pertinents.
  6. Traçabilité : Il est essentiel de conserver des enregistrements démontrant que les documents ont été correctement gérés.

Quelles est la durée de vie des documents et leurs destructions

Les documents obsolètes doivent être identifiés et retirés pour éviter toute utilisation involontaire. Toutefois, si ces documents doivent être conservés à des fins légales ou de connaissance, des mesures doivent être prises pour les distinguer des documents actuels.

Critères de succès

Afin de déterminer si nous avons bien répondu à la clause 7.5 de la norme ISO27001, voici quelques questions qu'un auditeur peut vous poser:

  1. Comment votre organisation crée-t-elle et met-elle à jour ses documents?
  2. Comment les documents sont-ils identifiés?
  3. Quel est le processus d'approbation des documents avant leur publication ?
  4. Comment les documents sont-ils stockés et conservés pour garantir leur accessibilité et leur préservation ?
  5. Comment les modifications sont-elles identifiées, examinées et approuvées avant leur mise en œuvre ?
  6. Comment votre organisation identifie-t-elle et retire-t-elle les informations documentées obsolètes ?