Phase DO du PDCA, la norme ISO/CEI 27001
La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act) :
3. Phase « DO » du PDCA
Cette phase consiste à décrire la mise en œuvre des mesures de sécurité sélectionnées dans le SoA à travers quatre étapes.

3.1- Plan de traitement

Il faut premièrement gérer l’interdépendance des actions à entreprendre. Certaines mesures sont partiellement ou déjà en place, d’autres doivent être intégralement déployées ou nécessitent la mise en œuvre d’une autre action avant de pouvoir être lancées.
Ce travail revient à établir un plan de traitement qui peut être assimilé à de la gestion de projet. Une fois ce travail effectué, il faut déployer les mesures de sécurité en suivant le plan de traitement.
Par la suite, le responsable de projet doit définir des « mesures d’efficacité » pour contrôler le bon fonctionnement du SMSI.

3.2- Choix des indicateurs

Ce point consiste à mettre en place des indicateurs de performance pour vérifier l’efficacité des mesures de sécurité ainsi que des indicateurs de conformité pour contrôler la conformité du SMSI.
Trouver de bons indicateurs n’est pas une tâche facile. La norme ne préconise pas d’indicateurs précis à utiliser mais l’ISO/CEI 27004 propose une démarche qui peut aider à les sélectionner [10].
L’étape suivante concerne la sensibilisation des collaborateurs aux principes de la sécurité de l’information.

3.3- Formation et sensibilisation des collaborateurs

Nous avons vu que les mesures de sécurité couvrent de nombreux domaines allant de la sécurité organisationnelle à la sécurité physique, en passant par la sécurité des systèmes réseaux etc. Les collaborateurs doivent maîtriser les outils de sécurité déployés dans les domaines très variés. Une formation du personnel peut s’avérer nécessaire.
La sensibilisation à la sécurité du système d’information concerne tous les collaborateurs. Elle peut débuter par un rappel des engagements de leur entreprise en matière de sécurité et se poursuivre par une liste de conseils tels que le respect de certaines règles de sécurité pour les mots de passe et l’environnement de travail.

3.4- Maintenance du SMSI

La maintenance consiste à garantir le bon fonctionnement de chacun des processus du SMSI et vérifier que leur documentation est à jour. Cela permet à l’auditeur externe de contrôler la gestion du SMSI. Il est à noter que tous les systèmes de management ISO sont concernés par la maintenance [7].
A ce stade de l’avancement du SMSI, les mesures identifiées du SoA fonctionnent, les indicateurs sont implémentés et les collaborateurs de l’organisme formés et sensibilisés à la sécurité du SMSI, nous pouvons poursuivre avec la phase « Check » du PDCA.
Mise en œuvre d’un système de management de la sécurité de l’information (SMSI)
Mémoire Pour l’obtention d’un Diplôme de Mastère Professionnel
Université Virtuelle de Tunis – Mastère en Optimisation et Modernisation des Entreprises

Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top