Deuxième partie : La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act)

La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act) :

4. Phase « CHECK » du PDCA

La phase « Check » du PDCA concerne les moyens de contrôle à mettre en place pour assurer «l’efficacité » du SMSI et sa « conformité » au cahier des charges de la norme ISO/CEI 27001 [10].

Pour répondre à ces deux exigences de la norme, les organismes emploient le contrôle et les audits internes ainsi que les revues de direction.

4.1- Les audits internes

L’audit interne peut s’organiser avec le personnel de l’organisme ou être sous traité à un cabinet conseil.

Si l’audit est confié à un collaborateur, il ne faut pas que ce dernier puisse auditer un processus dans lequel il est impliqué au niveau de sa mise en œuvre ou de son exploitation.

L’audit a pour but de contrôler la conformité et l’efficacité du SMSI en recherchant les écarts entre la documentation du système (enregistrement, procédures, etc.) et les activités de l’organisme.

La norme exige que la méthode utilisée pour l’audit soit documentée dans une procédure et que les rapports soient enregistrés pour être utilisés lors des revues de direction.

4.2- Les contrôles internes

L’objectif du contrôle interne est de s’assurer au quotidien que les collaborateurs appliquent correctement leurs procédures.

Contrairement à l’audit interne qui est planifié longtemps à l’avance, les contrôles internes sont inopinés.

4.3- Revues de direction

La revue est une réunion annuelle qui permet aux dirigeants de l’organisme d’analyser les événements qui se sont déroulés sur l’année en cours.

Les points passés en revue sont généralement :

  • les résultats des audits,
  • le retour des parties prenantes,
  • l’état des lieux sur les actions préventives et correctives,
  • les menaces mal appréhendées lors de l’appréciation des risques,
  • l’interprétation des indicateurs et les changements survenus dans l’organisme.

A partir de ces informations la direction peut fixer de nouveaux objectifs et allouer de nouvelles ressources (financières, humaines et matérielles).

Les contrôles de la phase « Check » peuvent faire apparaître des dysfonctionnements du SMSI. Cela peut être un écart entre les exigences de la norme et le système de management ou des mesures de sécurité inefficaces.

Phase CHECK du PDCA et Phase ACT du PDCA - phases plan do check act

C’est dans la phase « Act » du PDCA que l’on réduit les dysfonctionnements par des actions correctives, préventives ou d’améliorations.

5. Phase « ACT » du PDCA

5.1- Actions correctives

On intervient de manière « corrective » lorsqu’un dysfonctionnement ou un écart est constaté.

On agit premièrement sur les effets pour corriger cet écart ou dysfonctionnement, puis sur les causes pour éviter qu’ils ne se répètent.

5.2- Actions préventives

On emploie les actions préventives quand une situation à risque est détectée. On agit sur les causes avant que l’écart ou le dysfonctionnement ne se produisent.

5.3- Actions d’améliorations

Les actions d’améliorations ont pour objectif l’amélioration de la performance du SMSI. Les résultats des différentes actions doivent être enregistrés et communiqués aux parties prenantes.

Ces actions contribuent à rendre plus efficace et performant le SMSI.

Nous avons présenté la méthode et les exigences de la norme ISO/CEI 27001 pour mettre en œuvre un SMSI. Dans la partie qui suit, nous allons voir comment on a procéder pour implémenter cette norme et la mettre en œuvre au sein de l’Ambassade.

Mise en œuvre d’un système de management de la sécurité de l’information (SMSI)

Mémoire Pour l’obtention d’un Diplôme de Mastère Professionnel

Université Virtuelle de Tunis – Mastère en Optimisation et Modernisation des Entreprises

Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top