Phases CHECK et ACT du PDCA de la norme ISO/CEI 27001

La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act) :

4. Phase « CHECK » du PDCA

La phase « Check » du PDCA concerne les moyens de contrôle à mettre en place pour assurer «l’efficacité » du SMSI et sa « conformité » au cahier des charges de la norme ISO/CEI 27001 [10]. Pour répondre à ces deux exigences de la norme, les organismes emploient le contrôle et les audits internes ainsi que les revues de direction.

4.1- Les audits internes

L’audit interne peut s’organiser avec le personnel de l’organisme ou être sous traité à un cabinet conseil. Si l’audit est confié à un collaborateur, il ne faut pas que ce dernier puisse auditer un processus dans lequel il est impliqué au niveau de sa mise en œuvre ou de son exploitation. L’audit a pour but de contrôler la conformité et l’efficacité du SMSI en recherchant les écarts entre la documentation du système (enregistrement, procédures, etc.) et les activités de l’organisme. La norme exige que la méthode utilisée pour l’audit soit documentée dans une procédure et que les rapports soient enregistrés pour être utilisés lors des revues de direction.

4.2- Les contrôles internes

L’objectif du contrôle interne est de s’assurer au quotidien que les collaborateurs appliquent correctement leurs procédures. Contrairement à l’audit interne qui est planifié longtemps à l’avance, les contrôles internes sont inopinés.

4.3- Revues de direction

La revue est une réunion annuelle qui permet aux dirigeants de l’organisme d’analyser les événements qui se sont déroulés sur l’année en cours. Les points passés en revue sont généralement :
– les résultats des audits,
– le retour des parties prenantes,
– l’état des lieux sur les actions préventives et correctives,
– les menaces mal appréhendées lors de l’appréciation des risques,
l’interprétation des indicateurs et les changements survenus dans l’organisme.

A partir de ces informations la direction peut fixer de nouveaux objectifs et allouer de nouvelles ressources (financières, humaines et matérielles).
Les contrôles de la phase « Check » peuvent faire apparaître des dysfonctionnements du SMSI. Cela peut être un écart entre les exigences de la norme et le système de management ou des mesures de sécurité inefficaces.

C’est dans la phase « Act » du PDCA que l’on réduit les dysfonctionnements par des actions correctives, préventives ou d’améliorations.

5. Phase « ACT » du PDCA

5.1- Actions correctives

On intervient de manière « corrective » lorsqu’un dysfonctionnement ou un écart est constaté. On agit premièrement sur les effets pour corriger cet écart ou dysfonctionnement, puis sur les causes pour éviter qu’ils ne se répètent.

5.2- Actions préventives

On emploie les actions préventives quand une situation à risque est détectée. On agit sur les causes avant que l’écart ou le dysfonctionnement ne se produisent.

5.3- Actions d’améliorations

Les actions d’améliorations ont pour objectif l’amélioration de la performance du SMSI. Les résultats des différentes actions doivent être enregistrés et communiqués aux parties prenantes. Ces actions contribuent à rendre plus efficace et performant le SMSI.

Nous avons présenté la méthode et les exigences de la norme ISO/CEI 27001 pour mettre en œuvre un SMSI. Dans la partie qui suit, nous allons voir comment on a procéder pour implémenter cette norme et la mettre en œuvre au sein de l’Ambassade.

Mise en œuvre d’un système de management de la sécurité de l’information (SMSI)
Mémoire Pour l’obtention d’un Diplôme de Mastère Professionnel
Université Virtuelle de Tunis – Mastère en Optimisation et Modernisation des Entreprises

Table des matières :
Introduction
Première partie : Etat de l’art des systèmes de management de la sécurité de l’information
1. Introduction
2. Définitions
2.1- L’ISO (Organisation Internationale de Normalisation)
2.2- Les normes
2.3- La normalisation
2.4- Historique des normes en matière de sécurité de l’information
3. Les SMSI (Systèmes de Management de la Sécurité de l’Information)
3.1- Les systèmes de management
3.2- Sécurité de l’information
4. Les normes de la famille ISO/CEI 2700x
Deuxième partie : La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act)
1. Introduction
2. Phase « PLAN » du PDCA
2.1- Politique et périmètre du SMSI
2.2- Appréciation des risques
3. Phase « DO » du PDCA
4. Phase « CHECK » du PDCA
4.1- Les audits internes
4.2- Les contrôles internes
4.3- Revues de direction
5. Phase « ACT » du PDCA
Troisième partie : Implémentation et Mise en œuvre de la norme ISO / CEI 27001
1. Introduction
2. Structure d’accueil
3. Audit Préalable de l’existant
3.1- Démarche de l’audit préalable
3.2- Conclusion de l’audit
4. Article « A.5 POLITIQUE DE SECURITE »
4.1- Fondements
4.2- Définitions
4.3- Champ d’application
4.4- La classification
4.5- Mentions particulières de confidentialité et les Informations Sensibles Non Classées (ISNC)
4.6- L’accès aux informations traitées à l’ambassade (Information de Sécurité d’Etat)
4.7- Lieux abritant des informations de sécurité d’Etat
4.8- Contrôles et inspections
5. Article « A.6 ORGANISATION DE LA SECURITE DE L’INFORMATION »
5.1- Principe
5.2- Implication de la direction
5.3- Elaboration du Catalogues des Fonctions des Informations de Sécurité d’Etat de l’Ambassade (CFISE)
5.4- Candidats à l’habilitation et gestion de l’habilitation
5.5- Procédure d’habilitation
5.6- La décision d’habilitation
5.7- La notification de la décision
5.8- Habilitation et changement d’affectation
5.9- Conservation des décisions 72
5.10- Répertoire des habilitations
5.11- Fin de l’habilitation
6. Conclusion



Leave a Reply

Your email address will not be published. Required fields are marked *