La clause 8.1 de la norme ISO 27001 souligne l'importance de la planification et du contrôle rigoureux des opérations de sécurité de l'information au sein d'une organisation.

Concrètement, à la clause 6, nous avons défini nos objectifs, maintenant nous devons les rendre vivants.

L'importance de cette clause réside dans sa capacité à transformer les intentions stratégiques en actions concrètes et mesurables.

Décortiquons le tout

Planifier — Nous avons défini ce que nous voulons atteindre comme objectif, mais il faut avoir un plan de match sérieux et complet pour atteindre cet objectif.

Mettre en œuvre — est-il possible d'opérationnaliser le plan, de le mettre en fonction et de le voir évoluer dans notre organisation.

Contrôler — avons nous définit des points de contrôle pour des items de notre plan de match.

Évaluer — sans être en compétition avec la clause 9.1 de la norme, mais pouvons-nous évaluer le plan et sa mise en œuvre?

Améliorer — finalement, en lien avec la clause 10.1, suite à l'évaluation qu'on en fait du plan, l'organisation s'ajuste ou pose des actions?

Exemple de Non-conformité

  1. Absence de documentation adéquate : L'organisation ne documente pas ses processus, ses contrôles de sécurité de l'information et ses procédures opérationnelles.
  2. Mise en œuvre incohérente des contrôles : L'organisation n'a pas mis en œuvre de manière cohérente ses contrôles.
  3. Absence de preuves de contrôle opérationnel : Ne pas avoir de preuves ou d'enregistrements démontrant que les processus de sécurité sont effectivement surveillés.
  4. Manque d'intégration dans les processus opérationnels : La sécurité de l'information n'est pas intégrée dans les processus opérationnels de l'organisation.
  5. Gestion insuffisante des changements : Si les changements dans les processus, les systèmes, ou les technologies ne sont pas correctement gérés.
  6. Manque de réactivité aux résultats de surveillance : L'organisation ne prend pas de mesures correctives en réponse aux résultats de la surveillance.
  7. Évaluation de l'efficacité insuffisante : Ne pas évaluer l'efficacité des actions et des contrôles de sécurité de l'information.

Critères de succès

  1. L'organisation a-t-elle des plans pour atteindre ses objectifs de sécurité de l'information ?
  2. Y a-t-il suffisamment de documents pour garantir que les processus ont été suivis comme prévu ?
  3. Le processus de changements inclut-il les conséquences des changements imprévus ?
  4. Les fournisseurs en lien avec le SGSI sont clairement définis et surveillés?