Deuxième partie : La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act)
La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act) :
4. Phase « CHECK » du PDCA
La phase « Check » du PDCA concerne les moyens de contrôle à mettre en place pour assurer «l’efficacité » du SMSI et sa « conformité » au cahier des charges de la norme ISO/CEI 27001 [10].
Pour répondre à ces deux exigences de la norme, les organismes emploient le contrôle et les audits internes ainsi que les revues de direction.
4.1- Les audits internes
L’audit interne peut s’organiser avec le personnel de l’organisme ou être sous traité à un cabinet conseil.
Si l’audit est confié à un collaborateur, il ne faut pas que ce dernier puisse auditer un processus dans lequel il est impliqué au niveau de sa mise en œuvre ou de son exploitation.
L’audit a pour but de contrôler la conformité et l’efficacité du SMSI en recherchant les écarts entre la documentation du système (enregistrement, procédures, etc.) et les activités de l’organisme.
La norme exige que la méthode utilisée pour l’audit soit documentée dans une procédure et que les rapports soient enregistrés pour être utilisés lors des revues de direction.
4.2- Les contrôles internes
L’objectif du contrôle interne est de s’assurer au quotidien que les collaborateurs appliquent correctement leurs procédures.
Contrairement à l’audit interne qui est planifié longtemps à l’avance, les contrôles internes sont inopinés.
4.3- Revues de direction
La revue est une réunion annuelle qui permet aux dirigeants de l’organisme d’analyser les événements qui se sont déroulés sur l’année en cours.
Les points passés en revue sont généralement :
- les résultats des audits,
- le retour des parties prenantes,
- l’état des lieux sur les actions préventives et correctives,
- les menaces mal appréhendées lors de l’appréciation des risques,
- l’interprétation des indicateurs et les changements survenus dans l’organisme.
A partir de ces informations la direction peut fixer de nouveaux objectifs et allouer de nouvelles ressources (financières, humaines et matérielles).
Les contrôles de la phase « Check » peuvent faire apparaître des dysfonctionnements du SMSI. Cela peut être un écart entre les exigences de la norme et le système de management ou des mesures de sécurité inefficaces.
C’est dans la phase « Act » du PDCA que l’on réduit les dysfonctionnements par des actions correctives, préventives ou d’améliorations.
5. Phase « ACT » du PDCA
5.1- Actions correctives
On intervient de manière « corrective » lorsqu’un dysfonctionnement ou un écart est constaté.
On agit premièrement sur les effets pour corriger cet écart ou dysfonctionnement, puis sur les causes pour éviter qu’ils ne se répètent.
5.2- Actions préventives
On emploie les actions préventives quand une situation à risque est détectée. On agit sur les causes avant que l’écart ou le dysfonctionnement ne se produisent.
5.3- Actions d’améliorations
Les actions d’améliorations ont pour objectif l’amélioration de la performance du SMSI. Les résultats des différentes actions doivent être enregistrés et communiqués aux parties prenantes.
Ces actions contribuent à rendre plus efficace et performant le SMSI.
Nous avons présenté la méthode et les exigences de la norme ISO/CEI 27001 pour mettre en œuvre un SMSI. Dans la partie qui suit, nous allons voir comment on a procéder pour implémenter cette norme et la mettre en œuvre au sein de l’Ambassade.
Mise en œuvre d’un système de management de la sécurité de l’information (SMSI)
Mémoire Pour l’obtention d’un Diplôme de Mastère Professionnel
Université Virtuelle de Tunis – Mastère en Optimisation et Modernisation des Entreprises
