SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Documentation du SMSI Convertir en PDF Version imprimable Suggérer par mail
07-11-2007
La documentation SMSI doit se conformer aux recommandations de la clause 4.3 de l’ISO 27001.

Image

La documentation doit :
  • refléter le cycle de vie de toutes les étapes du SMSI,
  • enregistrer les décisions de management et leur traçabilité,
  • faire le lien entre solutions de sécurité et analyse de risques.
elle doit inclure :
  • la documentation de la politique de sécurité du SMSI (voir Politique ISO 27001),
  • le périmètre du SMSI,
  • les procédures de contrôle et de maintenance du SMSI,
  • la méthodologie d'evaluation des risques,
  • le résultat de l'analyse des risques,
  • le plan d'action sécurité résultant,
  • l'ensemble de la documentation relative aux mesures de sécurité, à leur mise en œuvre et à leur processus de contrôle,
  • l'ensemble des "preuves" et outils d'enregistrement (physiques ou logiques) des événements de sécurité,
  • le SOA ou document décrivant les choix d'application ou non des mesures de sécurité de l'ISO 27001/27002,
Les Documents du SMSI :
Image
La documentation elle-même doit être contrôlée et comporter :
  • un processus d'approbation avant diffusion,
  • un processus de revue et d'amélioration,
  • une trace des changements et approbations des révisions,
  • un système d'identification clair,
  • un système de publication et de classification (système documentaire) la rendant disponible à qui de droit,
  • une identification claire des documents externes,
  • un système de contrôle de la diffusion,
  • un système de gestion des archives et d'identification des documents devenus obsolètes,
  • un système de trace des emprunteurs ou lecteurs.

En résumé : Écrire pour toutes les mesures du SOA ce que l’on fait, faire ce qui est écrit, contrôler (audit interne) qu’on le fait  réellement et régulièrement, et qu’on l’améliore de façon continue en gardant comme preuve les traces de toutes les observations et  décisions prises.

Le rôle de l’audit sera de vérifier que l’on fait bien ce que l’on a dit en comparant l’aspect opérationnel de la documentation avec les faits observés et les relevés d’enregistrement du SMSI.

Attention : au-delà de cette sémantique, il vérifiera aussi que le SMSI est bien aligné sur les objectifs de l’entreprise et que les mesures de sécurité sont adaptées aux enjeux.
Dernière mise à jour : ( 11-12-2013 )
Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.