ISO 27001 chapitres 4 à 10 expliqués
Les exigences de l'ISO 27001 figurent aux chapitres 4 à 10. En résumé : les chapitres 4 (contexte) et 5 (leadership) posent les bases, le 6 (planification) porte sur les risques et les objectifs, le 7 (support) sur les ressources et la sensibilisation, le 8 (réalisation) sur le fonctionnement, le 9 (évaluation) sur la mesure et l'audit, et le 10 (amélioration) sur l'ajustement. Ensemble, ils forment le cycle PDCA de votre ISMS.
Chapitre 4 — Contexte de l'organisation
Déterminez ce qui est pertinent pour votre sécurité de l'information : facteurs internes et externes, parties prenantes (clients, autorités de contrôle) et le périmètre de l'ISMS. C'est le fondement ; un périmètre mal délimité se paie tout au long de l'audit.
Chapitre 5 — Leadership
La direction doit être visiblement impliquée : établir la politique, attribuer les rôles et responsabilités et dégager des ressources. Une sécurité de l'information qui ne relève que « de l'IT » ne satisfait pas à ce chapitre.
Chapitre 6 — Planification
Le cœur de la norme : l'évaluation et le traitement des risques, ainsi que des objectifs mesurables. C'est ici qu'apparaît aussi le Statement of Applicability qui relie les risques aux mesures de l'Annex A.
Chapitre 7 — Support
Veillez aux ressources, à des personnes compétentes, à la sensibilisation, à la communication et à l'information documentée. La sensibilisation n'est pas une formation ponctuelle mais un processus continu.
Chapitre 8 — Réalisation des activités
Les mesures tournent dans la pratique : les processus sont exécutés et les traitements des risques appliqués. C'est le « Do » où l'auditeur recherche le plus de preuves.
Chapitre 9 — Évaluation des performances
Mesurer, surveiller, audit interne et revue de direction. C'est ici que vous démontrez que vous vérifiez si le système fonctionne — et ce chapitre est largement couvert dans chaque audit.
Chapitre 10 — Amélioration
Corriger les écarts, en supprimer les causes et améliorer continuellement l'ISMS. Sans suivi démontrable des constats, le cycle n'est pas bouclé.
ISO/IEC 27001 — page officielle de la norme (source officielle).
Questions fréquentes
Des réponses courtes et directes — rédigées pour les humains comme pour les moteurs de recherche IA.
Les chapitres 1 à 3 contiennent le domaine d'application, les références normatives et les termes ; ce ne sont pas des exigences. Les exigences réelles et auditables commencent au chapitre 4 (contexte) et vont jusqu'au chapitre 10 (amélioration). C'est pourquoi les auditeurs parlent des « exigences des chapitres 4 à 10 ».
Les chapitres 4 à 10 décrivent les exigences relatives au système de management (comment vous pilotez et améliorez la sécurité de l'information). L'Annex A est une liste de 93 mesures de sécurité concrètes parmi lesquelles vous choisissez en fonction de vos risques. Les chapitres constituent le système ; l'Annex A en fournit les briques.
Aucun chapitre n'est isolé, mais les chapitres 6 (risques et SoA), 8 (fonctionnement) et 9 (audit interne et revue de direction) reçoivent souvent le plus d'attention. C'est là que vous prouvez que le système est piloté par les risques, qu'il fonctionne dans la pratique et qu'il est évalué et ajusté.
Vous voulez savoir si vous êtes prêt pour l'audit ?
Planifiez un scan d'audit sans engagement et sachez en un seul entretien où vous en êtes et quelle est la prochaine étape.
