La norme ISO/IEC 27001:2022 décrit les exigences pour la mise en place d'un Système de Gestion de la Sécurité de l'information (SGSI).
Une des étapes cruciales de ce processus est la création d'une définition précise et claire de la portée du SGSI.
En d'autres mots, c'est l'équivalent de la mission du programme de sécurité. La portée vise à répondre à une question fondamentale : « Pourquoi met-on en place un programme de sécurité? »
La portée claire permet de aligner le SGSI sur les objectifs stratégiques, d'identifier les actifs critiques, de faciliter l'allocation des ressources, et d'assurer la conformité réglementaire.
Voici quelques exemples de définition de la portée
Portée du SGSI - Exemple 1 : « Le SGSI couvre les processus de conception, production et maintenance des composants électroniques sur les sites de Toronto et Montréal, incluant les départements R&D, production et support informatique. »
Portée du SGSI - Exemple 2 : « Le SGSI englobe les services bancaires en ligne, les infrastructures TI supportant ces services, ainsi que les départements de gestion des risques et de conformité, sur l'ensemble des bureaux canadiens. »
Pourquoi mentionner la déclaration d'applicabilité dans la portée du SGSI?
Une phrase revient à la fin des portées dans le monde ISO 27001 :
« … conformément à la déclaration d'applicabilité version 1.0 datée du xx/xx/xxxx. »
Ce n'est pas un hasard si elle se retrouve sur chaque portée - c'est une exigence implicite de la norme et une attente explicite des organismes de certification.
Exemple de formulation
« Le SGSI couvre les activités de développement, de support et de gestion de l'infrastructure TI pour les bureaux de Montréal et Québec, conformément à la déclaration d'applicabilité version 3.1 datée du 4 avril 2025. »
Je vous invite à cliquer sur "Follow" pour continuer d'en apprendre plus sur le domaine de la sécurité de l'information.