5/04/2011 Mise en oeuvre étape par étape | ISO 2…

Text Size

Identifiant ••••••••••••

PORTAIL EMPLOI COMMUNAUTÉ FORUM TÉLÉCHARGEMENTS BOUTIQUE ÉVÉNEMENTS NEWSLETTER S'ABONNER

Mise en oeuvre étape par étape

Conseil Certification ISO Formation, Audit, Coaching SMQHSE, Méthodologie, Conseil www.certificationiso.fr
ITIL v3 Foundation + exam scenario based e-learning course includes ITIL First Aid Kit campus.itpreneurs.com
Gestion Audit Interne Logiciel de gestion intégrée de l’ensemble des activités d’audit www.enablon.fr

Cet article présente le panorama détaillé de l'ensemble des mesures à mettre en œuvre pour tout organisme souhaitant aller vers ISO/IEC 27001.

Le détail des actions et mesures à réaliser est donné ci-dessous.

1. Définition et Gestion du SMSI

2. Exigences relatives à la documentation
3. Responsabilité de la Direction
4. Audits internes du SMSI
5. Revue de Direction
6. Amélioration du SMSI

1. Définition et Gestion du SMSI

1.1. Établissement du SMSI

L'organisme doit mettre en œuvre un SMSI (Système de Management de la Sécurité). Ce SMSI doit être documenté, maintenu, surveillé, amélioré de manière
permanente. Sa mise en œuvre inclut une analyse des risques, ainsi que la mise en œuvre de contre-mesures pour diminuer les risques pesant sur l'information et
l'entreprise.

L'organisme qui souhaite mettre en œuvre ISO/IEC 27001 doit :

1.1.1. Définir le périmètre, autrement dit les activités, sur lequel s'applique le SMSI, et justifier les cas échéant les domaines exclus de ce périmètre. Le niveau
de détail attendu concerne tous les actifs (matériels, logiciels, patrimoine). 1.1.2. Faire une déclaration d'intention (Politique) reprenant les éléments décidés au
point précédent. Au delà d'une déclaration d'intention il s'agit là de définir l'orientation donnée à la Politique Sécurité afin d'impulser le projet. La politique est un
document écrit et signé par la Direction et doit contenir à minima :

La façon de sera géré le projet, quels en sont les objectifs (mesurables) et comment sera traitée la Sécurité de l'information,

Comment est gérée la veille réglementaire et sécuritaire afin de s'assurer que l'organisme répond bien à ces exigences externes (vis-à-vis de la législation,
des clients, des fournisseurs),

Faire référence de manière explicite à la méthode dont sont gérés les risques, et comment ils seront évalués

La signature des membres de la Direction

1.1.3. Définir la ou les méthodes d'évaluation des risques, c'est-à-dire comment ils seront identifiés, évalués, réduits ou annihilés. A ce titre l'organisme doit :

Choisir une méthode d'évaluation du risque, dont l'objectif est de recenser tous les risques qui pèsent sur l'Information et de les classifier selon des
critères de probabilité, de vulnérabilité et d'impact.

Lister les critères et niveaux selon lesquels les risques seront acceptés. Exemple : une entreprise peut dans certains décider que le coût de réduction du
risque est trop élevé par rapport à sa probabilité de survenance.

Remarque : Les méthodes telles qu'EBIOS ou MEHARI sont accessibles gratuitement et permettent de réaliser couvrir l'ensemble du dispositif de Gestion
des risques. Compte-tenu du cycle d'amélioration continue qui s'applique au SMSI la méthode de Gestion du risque sera revue annuellement et il convient
de garder la même méthode afin que les données du risque puissent être comparées.

1.1.4. L'organisme doit identifier les risques sur son écosystème et à ce titre il doit :

Produire une liste exhaustive des actifs (uniquement dans le périmètre du SMSI) ainsi que les propriétaires des ces actifs. Ce travail d'inventaire doit faire
l'objet d'un document (tableur, base de données, CMDB, etc.)

Identifier les menaces qui pèsent sur les actifs listés,

Identifier de quelle manière ces menaces peuvent être exploitées,

Identifier les impacts de ces vulnérabilités, en termes d'intégrité, de confidentialité, de disponibilité et de non-répudiation, sur le patrimoine informationnel
de l'organisme

1.1.5. Une fois les risques identifiés l'organisme doit en produire une analyse et une évaluation documentée. Celle-ci doit contenir à minima :

itil.fr/…/isoiec-27001-mise-en-oeuvre-… 1/7
5/04/2011 Mise en oeuvre étape par étape | ISO 2…
Pour chacun des risques quel est l'impact potentiel de l'exploitation d'une vulnérabilité, donc d'un risque pour l'organisme,

Une évaluation de la probabilité que l'occurrence d'un risque identifié intervienne, compte-tenu de l'analyse réalisée sur les menaces et vulnérabilités,

Une estimation des niveaux de risques,

La liste des risques acceptables qui ne seront pas traités, en fonction des critères préétablis, ainsi que la liste des risques nécessitant un traitement

1.1.6. Puis l'organisme doit définir les méthodes de traitement des risques et évaluer la façon dont elles seront mises en œuvre (élimination des SPOF,
acceptation du risque compte-tenu de sa faible probabilité de survenance, etc.).

1.1.7. Une fois la phase d'évaluation des risques réalisée il convient à présent de définir, de manière mesurable, les objectifs de sécurité que souhaite atteindre
l'entreprise, et de quelle manière ces mesures seront mises en œuvre. Remarque : Pour plus d'information une liste, non exhaustive des objectifs est accessible
dans la norme ISO/IEC 27001.

1.1.8. La formalisation des objectifs de sécurité dans un document doit être soumise pour approbation à la Direction, qui doit notamment statuer sur les risques
résiduels qui seront acceptés ou non.

1.1.9. Suite à l'approbation, la Direction doit autoriser explicitement (par écrit) la mise en œuvre du SMSI dans les conditions établies ci-dessus.

1.1.10. A présent il s'agit de formaliser une DDA (Déclaration d'applicabilité) laquelle inclut à minima :

La liste des mesures de sécurité que l'organisme souhaite mettre en œuvre et la justification de ces choix,

La liste des mesures de sécurité d'ores et déjà mise en œuvre par l'organisme,

Et l'exclusion, le cas échéant des dispositions sécurité que l'organisme ne souhaite pas mettre en œuvre. Les raisons de ces exclusions doivent être
décrites et expliquées (justifiées).

Remarque : Cette phase de préparation est probablement la plus important dans le sens ou elle détermine l'ensemble des dispositions organisationnelles
et sécuritaires que l'organisme va mettre en œuvre. Si la politique et l'analyse des risques ne sont pas adaptés à la finalité de l'entreprise, le déroulement
du projet pourra s'en trouver sérieusement complexifié. Notez par ailleurs que la démarche s'inscrit dans un cycle itératif (PDCA) et qu'il faut donc aborder
ISO/IEC 27001 comme un projet à moyen/long termes, aussi fixez vous des objectifs réalistes.

1.2. Mise en œuvre et fonctionnement du SMSI

La mise en œuvre du SMSI implique un certain nombre de taches parmi lesquelles l'organisme doit :

1.2.1 Lister dans un document de planification, les actions à mettre en œuvre pour traiter les risques identifiés en amont. Chaque risque doit être pondéré par
une priorité fonction de sa probabilité de survenance et du poids éventuel de son impact sur l'information et l'organisme. A cette étape il est recommandé
d'utiliser un diagramme de GANT afin de pondérer chacune des actions par sa priorité ainsi que sa charge de traitement en jours/homme. Cela vous permettra
d'avoir une vue précise de la durée de mise en œuvre du SMSI.

1.2.2 Mettre en œuvre les actions listées dans le document de planification de traitement du risque. Le plan doit comprendre l'ensemble des moyens (financier,
budget) et ressources (humaines, matérielles, logicielles) allouées par la Direction au traitement des risques. Il est important d'allouer les ressources nécessaires
afin que les taches soient exécutées de manière efficace.

1.2.3 En fonction des objectifs de Sécurité définis en 2.1.1.7, l'organisme doit mettre en œuvre les mesures de sécurité définies au même point.

1.2.4 Définir les méthodes d'évaluation de l'efficacité des mesures (Sécurité et Réduction des risques) tels que l'audit interne. Les résultats de ces audits ou
évaluation doivent être enregistrés et doivent pouvoir être comparés entre eux.

1.2.5 L'organisme doit mettre en œuvre un programmes destiné à sensibiliser et former toutes les parties prenantes sur les enjeux de la Sécurité. Il peut s'agir
de formations internes, de publication de newsletter, de mise en œuvre d'un intranet ou de communications plus formelles.

1.2.6 A ce stade une organisation (équipe) interne est en mesure de gérer le SMSI

1.2.7 Et l'organisme s'assure de manière permanente de l'adéquation des ressources quant au maintien du SMSI et de ses activités.

1.2.8 Enfin, l'organisme doit s'assurer que les incidents de Sécurité sont gérés et doit décrire puis mettre en œuvre des procédures de traitement des incidents
de Sécurité. Il est recommandé de suivre le processus de traitement des incidents classique, en revanche ce type d'incident doit être catégorisé en incident de
type "Sécurité".

1.3. Surveillance et réexamen du SMSI

Une fois le SMSI mis en œuvre, le modèle de PDCA recommande d'une part une surveillance permanente du Système, ainsi que des revues périodiques afin
d'améliorer son fonctionnement. A ce titre l'organisme doit :

1.3.1. Mettre en œuvre et suivre des procédures de Surveillance et de réexamen afin de :

Détecter les traitements (risques et sécurité) en échecs ou qui n'ont pas abouti au résultat escompté,

Identifier les incidents et failles de Sécurité,

Permettre à la Direction de statuer sur l'efficacité des mesures (organisationnelles et technologiques) de Sécurité mises en œuvre ,

Mettre en œuvre des indicateurs de Sécurité facilitant la compréhension de la Gestion de la Sécurité et permettant si possible la détection proactive des
vulnérabilités potentiellement exploitables,

Statuer sur l'efficacité des actions entreprises par l'organisme.

1.3.2. Réaliser à intervalle régulier des examens de l'efficacité du SMSI, ces examens incluent les résultats des audits, les incidents de "Sécurité" et vérifient que
les objectifs de Sécurité sont atteints. Notez que si les objectifs ne sont pas atteints il est important de mettre en œuvre des plans d'action visant à corriger la
situation identifiée.

1.3.3. Vérifier que les exigences de Sécurité de l'organisme sont soutenues par des mesures efficaces. Dans le cas contraire les mesures doivent être revues,
itil.fr/…/isoiec-27001-mise-en-oeuvre-… 2/7
5/04/2011 Mise en oeuvre étape par étape | ISO 2…
1.3.3. Vérifier que les exigences de Sécurité de l'organisme sont soutenues par des mesures efficaces. Dans le cas contraire les mesures doivent être revues,
analysées et modifiées.

1.3.4. L'analyse des risques doit être revue, après qu'un cycle de mise en œuvre de mesure de Sécurité et de réduction des risques ait été mis en œuvre. Il
doit explicitement statué sur le niveau de risque encouru par l'entreprise, et prendre en compte les risques résiduels et le niveau de risque acceptable. Ces
analyses incluent tous les changements apportés :

A l'organisme qui met en œuvre le SMSI,

Aux technologies utilisées dans l'organisme, ou par ses fournisseurs,
Aux orientations business et stratégiques de l'organisme, Please login to chat
Aux processus métier de l'organisme,
Aux (nouvelles) menaces,
A l'efficacité de l'ensemble des mesures mises en œuvre dans le cadre du SMSI,
A la réglementation en vigueur ou aux contrats client (par exemple)

1.3.5. L'organisme doit assurer que des audits internes sont planifiés et exécutés

1.3.6. L'organisme doit mener des revues de Direction (annuelle ou biannuelle par exemple) statuant sur l'efficacité du SMSI et définissant les plans d'actions à
mettre en œuvre pour en améliorer l'efficacité.

1.3.7. Suite à cela les plans de sécurité doivent être mis à jour en tenant compte des actions et décisions actées en revue de Direction.

1.3.8 Chacun des actions doit être enregistrée car elle peut faire l'objet de preuve dans le cadre d'un audit tierce-partie (audit externe)

1.4. Mise à jour et amélioration du SMSI

Afin d'assurer que le SMSI et en permanence à jour et que le dispositif s'améliore, l'organisme doit :

1.4.1 S'assurer que les améliorations identifiées, qu'elle qu'en soit l'origine, soient mises en œuvre. Il se peut que certaines pistes d'amélioration ne soient pas
mises en œuvre auquel cas il convient d'en justifier la raison, par exemple dans le plan de Sécurité.

1.4.2 Chaque incident, audit, ou non conformité peut-être à l'origine de la mise en œuvre d'actions appropriées dont il faut apporter la preuve de l'efficacité.
Ces actions peuvent être correctives, c'est-à-dire qu'elles interviennent après l'occurrence de l'événement. Elles peuvent être préventives, c'est-à-dire qu'elles
interviennent avant l'occurrence de l'événement. Ces actions doivent être enregistrées, suivies, analysées et clôturées. La preuve de l'efficacité de ces actions
doit être apportée.

1.4.3 L'ensemble des parties prenantes doit être tenu au courant des actions mises en œuvre. Les canaux de communications (réunion, newsletter, intranet)
doivent être utilisés à cet effet.

1.4.4 Chaque action fait l'objet d'une revue dont l'objectif est d'apporter la preuve de son efficacité.

2. Exigences relatives à la documentation

2.1. Généralités

La mise en œuvre d'une norme telle qu'ISO/IEC 27001 implique la nécessité de documenter, enregistrer, suivre les actions afin que toutes les activités soient
traçables. Les décisions prises par la Direction, la Politique Sécurité doivent être formalisées sous une forme documentée et détaillée détaillant les orientations de
la Politique, les revues de celle-ci et les objectifs mesurables que l'organisme souhaite atteindre par la mise en œuvre d'un SMSI.

Afin de démontrer que les résultats des mesures (Sécurité et Risques) mises en œuvre sont conformes aux objectifs pris par l'organisme tout doit être
documenté.

Ces documentations incluent à minima :

2.1.1. La Politique et les objectifs Sécurité

2.1.2. Le périmètre d'application du SMSI

2.1.3. Les procédures de Gestion de la Sécurité, des risques, des incidents de Sécurité et les contrôles (exemple : revue de processus) effectués

2.1.4. Une description de la méthode retenue pour évaluer et gérer les risques

2.1.5. La méthode de traitement des risques et sa planification

2.1.6. Les procédures d'évaluation des mesures mises en œuvre attestant de leur efficacité

2.1.7. L'ensemble des enregistrements exigés par la norme ISO/IEC 27001

2.1.8. La Déclaration d'Applicabilité (DdA)

2.2. Maitrise des documents

L'ensemble des documents relatifs au SMSI doivent être protégés et maitrisés par une procédure qui définit les actions pour :

2.2.1. Définir les circuits d'approbation des documents avant diffusion (aux équipes, clients et fournisseur),

2.2.2. Définir les circuits de réexamen, de mise à jour et d'approbation des documents,

2.2.3. Assurer que chacun des documents accessible est "versionné" et dispose d'un statut correspondant à son état,

itil.fr/…/isoiec-27001-mise-en-oeuvre-… 3/7
5/04/2011 Mise en oeuvre étape par étape | ISO 2…
2.2.4. Rendre accessible ou cela est nécessaire les documents du SMSI,>

2.2.5. Assurer le cycle de vie des documents, en intégrant les critères d'habilitation, jusqu'à l'archivage,

2.2.6. Les documents provenant de l'extérieur de l'entreprise doivent être identifiés et identifiables par les équipes,

2.2.7. La diffusion des documents doit être maitrisée, c'est-à-dire que les documents livrés et accessibles doivent suivre les procédures dédiées.

2.2.6. Les documents périmés doivent être archivés et ne pas être à la porter des utilisateurs,

2.2.6. Les documents périmés et archivés doivent être identifiés et identifiables si ils sont conservés.

2.3. Maitrise des enregistrements

Les enregistrements sont des documents apportant la preuve d'une activité donnée. La norme ISO/IEC 27001 impose d'établir, de conserver des
enregistrements, ils doivent être gérés, protégés et maitrisés comme les documents, dont ils sont un sous-ensemble.

Des procédures de contrôle permettant d'identifier, de stocker, de gérer l'accès, de préciser la durée de conservation, le mode d'élimination doivent être
documentées, portées à la connaissance des utilisateurs et mises en œuvre.

3. Responsabilité de la Direction

3.1. Implication de la Direction

La direction donne l'impulsion à la Gestion de la Sécurité dans l'entreprise, elle est partie prenante dans la définition de la politique et des objectifs Sécurité mais
aussi dans la mise en œuvre du SMSI. La preuve de l'implication de la Direction dans le SMSI doit être prouvée au travers notamment du fonctionnement, du
réexamen, de la surveillance, de la mise à jour et de l'amélioration permanente du SMSI.

A ce titre la Direction doit :

3.1.1. Produire la Politique Sécurité,

3.1.2. Donner l'assurance (la preuve) que le SMSI est planifié et que des objectifs sont suivis,

3.1.3. Définir des rôles et des responsabilités en charge des missions initiés dans le cadre du SMSI,

3.1.4. S'assurer que les collaborateurs ont conscience des enjeux que représente leurs activités dans la réalisation des objectifs de sécurité de l'organisme. Cela
passe par de la sensibilisation, de la formation.

3.1.5. Pourvoir l'organisme des moyens nécessaires pour la mise en œuvre du SMSI et assurer sa pérennité,

3.1.6. Définir en amont comment seront acceptés les risques, sur quels critères,

3.1.7. S'assurer que des audits internes planifiés à intervalle régulier ont lieu,

3.1.8. Revoir périodiquement lors d'une revue de Direction les résultats du SMSI, statuer sur son efficacité et initier une amélioration du SMSI le cas échéant

3.2. Management des ressources

3.2.1. Mise à disposition des ressources

La mise en œuvre d'ISO/IEC 27001 impose à l'organisme de fournir des ressources (matérielles, logicielles, humaines, financières) nécessaires pour :

3.2.1.1. Mettre en œuvre toutes les phases du SMSI,

3.2.1.2. Assurer que les procédures Sécurité sont adaptées aux finalités business de l'entreprise,

3.2.1.3. Assurer que les contraintes règlementaires et légales sont connues, analyser et que l'organisme y répond,

3.2.1.4. S'assurer que toutes les dispositions préconisées dans le cadre du SMSI sont mises en œuvre,

3.2.1.5. Assurer des réexamens périodiques du SMSI, des ses résultats et réévaluer les objectifs de Sécurité,

3.2.1.6. Initier l'amélioration permanent et continue du SMSI.

3.2.2. Formation, sensibilisation et compétences

Afin que le SMSI soit efficace et produise les résultats escomptés sur la Sécurité de l'Information, l'organisme doit assurer que les personnes impliquées dans des
rôles et responsabilités du SMSI aient les compétences nécessaires à son maintien, en :

3.2.2.1. Définissant les compétences nécessaires aux personnes intervenant dans le SMSI,

3.2.2.2. Mettant en œuvre des actions de formation et sensibilisation,

3.2.2.3. En évaluant (à chaud et à froid) les formations dispensées aux équipes. Les formations peuvent être réalisées en interne ou par l'intermédiaire d'un
organisme de formation,

3.2.2.4. Les documents attestant du niveau de formation initiale (diplômes) et professionnelle (expérience) doivent être conservé. A noté que des fiches de
poste décrivant les qualifications nécessaires permettront d'identifier facilement les compétences que l'organisme possède et celles qu'il nécessite

itil.fr/…/isoiec-27001-mise-en-oeuvre-… 4/7
5/04/2011 Mise en oeuvre étape par étape | ISO 2…
La sensibilisation et la formation s'applique aussi à l'ensemble des collaborateurs de l'organisme, qui doit avoir conscience des enjeux Sécurité.

4. Audits internes du SMSI

L'organisme doit s'assurer que des audits internes sont planifiés à intervalle régulier et que le plan est accessible. Ce plan d'audit a pour objectifs de s'assurer que
le SMSI et notamment les processus, les procédures et mesures sont :

4.1. Conformes aux dispositions décrites dans la norme ISO/IEC 27001, mais aussi aux contraintes légales et réglementaires

4.2. Conformes aux dispositions Sécurité décrites dans la Politique Sécurité

4.3. Mis en œuvre et maintenus

4.4. Sont réalisés tel que prévu dans le SMSI

Chaque processus doit être passé en revue, selon son degré d'importance. La fréquence des revues est d'une fois par an, toutefois l'organisme peut revoir les
processus plusieurs fois. Les audits internes doivent faire l'objet d'une procédure documentée incluant les responsabilités, les exigences, les méthodes de
restitution des audits.

L'auditeur ne doit pas être la personne qui met en œuvre la Sécurité dans l'organisme.

5. Revue de Direction du SMSI

5.1. Généralités

La Direction de l'organisme doit s'assurer de l'efficience du SMSI et des mesures de Sécurité et de Gestion des risques. A ce titre elle doit à minima une fois par
an revoir le SMSI.

La revue de Direction est l'occasion de s'assurer que le SMSI est pertinent (adapté aux finalités de l'organisme), adéquat (par rapport aux objectifs que s'est fixé
l'organisme) et efficace (les résultats sont ils conformes aux objectifs). Le rapport de revue de Direction est enregistrement de la Norme ISO/IEC 27001 et sera
exigible lors d'un audit tierce partie. Les éléments de sortie de la revue doivent permettre d'améliorer le SMSI

5.2. Éléments d'entrée du réexamen

Afin de préparer la revue de Direction, le Responsable Sécurité, doit collecter :

5.2.1. Les résultats des audits de processus et des réexamens du SMSI,

5.2.2. Les retours de toutes les parties prenantes et les suggestions d'amélioration de tout un chacun,

5.2.3. Identifier les pistes qui permettraient d'améliorer la performance et l'efficience du SMSI,

5.2.4. Faire un bilan de toutes les actions préventives et correctives mises en œuvre dans le cadre du SMSI,

5.2.5. Les vulnérabilités, menaces, incident qui n'ont pas été traités et clôturés,

5.2.6. Les résultats comparés aux objectifs visés qui permettront de définir l'efficacité du SMSI et des mesures de Sécurité mises en œuvre,

5.2.7. Toutes les actions initiées suites aux revues de Direction antérieures, sauf exception pour la première,

5.2.8. Tous les changements pouvant avoir un impact sur le SMSI tel qu'un changement d'organisation interne, une fusion, un déménagement.

5.2.9. Les données de recommandation d'amélioration issues des constats sur le cycle PDCA précédent

Lors de la revue de Direction tous ces éléments doivent être présentés et analysés par le Comité de Direction afin de produire les éléments de sortie de la
Revue.

5.3. Éléments de sortie du réexamen

La revue de Direction doit impérativement produire dans le rapport de Revue les actions et décisions prises par la Direction par rapport aux éléments d'entrée.
Ces actions et décisions vont alimenter le prochain cycle PDCA. Elles doivent porter sur :

5.3.1. L'amélioration du SMSI, et décrire quelles actions seront entreprises dans ce sens,

5.3.2. Les modifications à mettre en œuvre dans la gestion des risques et des mesures de traitement des risques appropriées aux décisions prises,

5.3.3. La mise à jour des processus et procédures, en fonction des exigences business, de sécurité, des processus métiers, des exigences légales et
réglementaires, des obligations vis-à-vis des clients,

5.3.4. Allouer les ressources nécessaires pour les cas ou le niveau actuel est insatisfaisant,

5.3.5. Analyser et préconiser des méthodes nouvelles pour valider l'efficacité du SMSI et de ses résultats (échantillonnage)

La revue de Direction est une des dispositions les plus importantes de la norme ISO/IEC 27001 puisqu'elle clôture le cycle PDCA. En clair elle statue sur l'efficacité
annuelle du SMSI. De la qualité de sa préparation dépendra la qualité de l'exercice suivant. C'est aussi l'occasion de fédérer les collaborateurs et le management
sur un enjeu important pour l'entreprise.

6. Amélioration du SMSI
itil.fr/…/isoiec-27001-mise-en-oeuvre-… 5/7
5/04/2011 Mise en oeuvre étape par étape | ISO 2…
6. Amélioration du SMSI

6.1. Amélioration continue

Concept fort des normes, telle que ISO/IEC 27001, le PDCA ou concept de la roue de DEMING suggère de statuer sur les résultats des processus et du système
(ensemble des processus). Le SMSI ne déroge pas à cette règle qui garantie que l'amélioration continue sera entretenue par des revues régulière.

L'organisme qui met en œuvre ISO/IEC 27001 doit en conséquence améliorer en permanence le SMSI.

A ce titre il doit utiliser tous les éléments à sa disposition et notamment la Revue de Direction, les rapports d'audits, la comparaison des résultats aux objectifs du
SMSI, les actions préventives et correctives relevées dans le fonctionnement du SMSI.

6.2. Actions correctives

Afin d'éliminer les causes des non-conformités (exemple : absence de procédure, manquement à un processus) relevées dans le SMSI l'organisme doit
documenter une procédure visant à :

6.2.1. Identifier chacune des non-conformités du SMSI,

6.2.2. Déterminer les causes des non-conformités et les enregistrer,

6.2.3. Évaluer les non-conformités et la nécessité d'entreprendre des actions pour les éradiquer et veiller à ce qu'elles ne réapparaissent pas.

6.2.4. Pour les cas ou une action s'avère nécessaire, la mettre en œuvre,

6.2.5. Enregistrer tout le cycle de vie de l'action corrective,

6.2.6. S'assurer que la vérification des résultats de l'action corrective sont conformes aux attentes, c'est à dire que l'action est efficace et que la non-conformité
est durablement traitée.

Les actions correctives interviennent en aval de la non-conformité, c'est une action réactive.

6.3. Action préventives

Pour les cas ou l'organisme détecterait une non-conformité potentielle (c'est-à-dire qu'elle n'a pas eu lieu mais que cela pourrait être le cas), il doit mettre en
œuvre une procédure documentée qui définit les exigences en termes de traitement des actions préventives et qui prévoit :

6.3.1. L'identification des non-conformités potentielles, ainsi que leur cause,

6.3.2. La méthode d'évaluation des non-conformités et la nécessité d'entreprendre des actions afin qu'elles ne se produisent pas.

6.3.3. Le choix et la mise en œuvre de l'action préventive,

6.3.4. L'enregistrement de tout le cycle de vie de l'action préventive,

6.3.5. La méthode pour s'assurer que les résultats de l'action préventive sont conformes aux attentes, c'est à dire que l'action est efficace et que la non-
conformité n'est pas apparue

Les actions préventives interviennent en amont de la non-conformité, c'est une action proactive.

Vu: 4369 Envoyer par mail Bookmarker Ajouter aux favoris

Rétrolien(0)
Adresse URI pour un rétrolien sur cet article

Commentaires (0)
Flux RSS pour les commentaires

Vous devez être enregistré pour écrire un commentaire.

Isocèle
Management de la sécurité
Isocèle vous accompagne
www.isocele .co m

alarmes sécurité
Séminaire ISIMAN
Fonction même en dégroupage
GRC = Gouvernanc e + Risques +
total Livraison 48h offerte en
Conformité => Performanc e
Franc e www.k eyword.fr
tike -se curite .fr

Sécurité des documents Contrôle De Gestion

Lutter contre la contrefaçon et Renc ontrez les entreprises qui
falsification des documents recrutent votre profil !
www.pro ofta g.ne t www.jo bfina nce .com
itil.fr/…/isoiec-27001-mise-en-oeuvre-… 6/7
5/04/2011 Mise en oeuvre étape par étape | ISO 2…
www.pro ofta g.ne t www.jo bfina nce .com

Destructeur haut volume

détruit vos archives, vos
classeurs jusqu'à 1 tonne/heure
www.intim us.fr

AIDE AVEC LE SITE RECOMMANDER CE SITE MENTIONS LÉGALES SIGNALER UN BUG CONTACT

Référentiels Référentiels Référentiels Ressources Médias Méthodologie ITIL

PCA ITIL MOF Livres blancs Newsletter Processus ITIL

E-SCM ISO/IEC SIX SIGMA Templates Événements Formation ITIL V2
UAT PRINCE2 LEAN SIX Audit Presse Formation ITIL V3
SASL-BISL COBIT SIGMA Webinars Partenaires Documents ITIL PDF
M_O_R CMMI AUTRES Forums Méthodologie ITIL

© 2008-2011 ITIL.FR - Tous droits réserv és

ITIL® and PRINCE2® are registered trademarks of the Office of Government Commerce in the United Kingdom and other countries - ITIL.FR is not the official ITIL site
Creativ e Commons Paternité - Partage des Conditions Initiales à l'Identique 3.0 Unported

itil.fr/…/isoiec-27001-mise-en-oeuvre-… 7/7