ISO/IEC 27001:2013

Clause 7
 ISO/IEC 27001 Clause 7
 7.1 Ressources
 7.2 Compétences
 7.3 Sensibilisation
 7.4 Communication
 7.5 Informations documentées

OGSBC 2020 02-11-20

2
 7.1 Ressources
Exigence 12: L’organisation doit identifier et fournir les ressources
nécessaires à l’établissement, la mise en œuvre, la tenue à jour et
l’amélioration continue du SMSI.
Ressources alignées aux besoins du SMSI et de toutes ses activités:
 Personnel (conduite et opérations) ISO/IEC
27003:2017

 Temps de réalisation et d’établissement

 Argent pour acquérir, développer et mettre en œuvre
 Information pour décider, agir, mesurer et accroitre les connaissances
 Outils et technologie (TIC ou non)

OGSBC 2020 02-11-20

3
 7.1 Ressources
 L’organisation devrait:
 Estimer les ressources nécessaires en termes de qualité et de
quantité (capacité et compétences)
 Acquérir les ressources manquantes
 Mettre les ressources à disposition en temps et lieu
 Entretenir les ressources au travers de tous les processus SMSI et
activités SSI
 Revoir et ajuster les ressources en fonction des besoins

ISO/IEC
27003:2017

OGSBC 2020 02-11-20

4
 7.2 Compétences
Exigence 13: L’organisation doit:
 a) déterminer les compétences pour les personnes effectuant un
travail qui a une incidence sur les performances de la SSI;
 b) s’assurer que ces personnes disposent et conservent les
compétentes tout au long de leur présence;
 c) mener des actions pour acquérir les compétences nécessaires et
évaluer l’efficacité des actions entreprises; et
 d) conserver des informations documentées appropriées comme
preuves de ces compétences.

OGSBC 2020 02-11-20

5
 7.2 Compétences
 Compétence ISO/IEC
27003:2017
 Habilité d’application des connaissances
 Capacité d’atteindre les résultats attendus
 Influence par la connaissance, l’expérience et la sagesse pratique
 Spécifiques (TIC ou SSI) ou génériques (gestion)
 Acquisition interne ou externe par expérience, formations, cours,
séminaires ou ateliers.

 La sous-traitance peut couvrir les besoins ponctuels (description et

vérification)

OGSBC 2020 02-11-20

6
 7.2 Compétences
 L’organisation devrait
a) Déterminer la compétence pour chaque rôle ET le besoin de
documentation (job description)
b) Assigner les rôles en fonction des compétences
 Qui possède les compétences?
 Quand doivent-elles être disponibles et comment acquérir les compétences?
ISO/IEC
 Engager les compétences manquantes. 27003:2017

c) Evaluer la compétence (l’efficacité de b)

d) Vérifier que les personnes sont bien compétentes dans leur rôle
e) Assurer que la compétence évolue avec le besoin.

OGSBC 2020 02-11-20

7
 7.3 Sensibilisation
Exigence 14: Les personnes effectuant un travail sous le contrôle de
l’organisation doivent:
a) être sensibilisées à la PSSI;
b) avoir conscience de leur contribution à l’efficacité du SMSI, y compris
aux effets positifs d’une amélioration des performances SSI; et
c) avoir conscience des implications de toute non-conformité aux exigences
requises par le SMSI.

OGSBC 2020 02-11-20

8
 7.3 Sensibilisation
Sensibilisation:
 Connaissance et compréhension nécessaire des objectifs et actions SSI
 Acceptation des objectifs et motivation de les réaliser
 Connaissance et acceptation des implications en cas de on conformité aux exigences
du SMSI.
 Conséquences négatives SSI et sur les personnes ISO/IEC
27003:2017
Les organisations devraient:
a) Préparer un programme avec des messages pour chaque public
b) Inclure les besoins et attentes SSI dans tout ce qui touche aux opérations
c) Préparer et mettre en œuvre un plan de communication régulier
d) Vérifier les connaissances et la compréhension (après et à terme)
e) Vérifier le comportement en accord aux messages et donner des exemples ‘bon’ et
‘mauvais’
(voir ISO/IEC 27002:2013)

OGSBC 2020 02-11-20

9
 7.4 Communication
Exigence 15: L’organisation doit déterminer les besoins de
communication interne et externe pertinents pour le système de
management de la sécurité de l’information, et notamment:

 a) sur quels sujets communiquer;

 b) à quels moments communiquer;
 c) avec qui communiquer;
 d) qui doit communiquer; et
 e) les processus par lesquels la communication doit s’effectuer.

OGSBC 2020 02-11-20

10
 7.4 Communication
 Activité clé du SMSI
 Interne et externe
 À tous les niveaux
 Bidirectionnelle ISO/IEC
27003:2017
Il faut déterminer
 Le contenu*
 Le moment le mieux adapté
 Qui communique et à qui
 Ce qui déclenche la communication
 Les processus, canaux et protocoles

OGSBC 2020 02-11-20

11
 7.4 Communication
Contenu et public
 Plans et résultat de la GRSI aux parties intéressées
 Objectifs SSI
 Réalisations SSI et succès aux parties intéressées
 Incidents et crises (transparence = confiance)
 Rôles, responsabilités et autorités
 Informations échangées au cours des activités SMSI et SSI aux entités
concernées
 Changements au SMSI et aux mesures SSI
 Messages imposés par le régulateur ou une partie intéressée
ISO/IEC
27003:2017

OGSBC 2020 02-11-20

12
 7.4 Communication
Exigences:
 Qui communique en interne et en externe
 Les seuils et la fréquence des communications (crises et incidents)
 Contenu pour chacune des parties (préparation!)
 Liste des destinataires ‘critiques’
 Moyens et canaux de communication (dédiés et sécurisés)
 Procédures et méthodes pour une réception correcte et comprise

ISO/IEC
27003:2017

OGSBC 2020 02-11-20

13
 7.5 Informations documentées
7.5.1 Généralités

7.5.2 Création et mise à jour

7.5.3 Maitrise des informations documentées

OGSBC 2020 02-11-20

14
 7.5.1 Généralités
Exigence 16: Le système de management de la sécurité de l’information de
l’organisation doit inclure les informations documentées:
 a) Exigées (11 exigences)
 b) nécessaires à l’efficacité du SMSI (13 instances).
NOTE L’étendue des informations documentées peut différer selon
l’organisation en fonction de:
 1) sa taille, ses domaines d’activité et ses processus, produits et services;
 2) la complexité des processus et de leurs interactions; et
 3) la compétence des personnes.

OGSBC 2020 02-11-20

15
 7.5.1 Généralités
Utilité:
 Déterminer et communiquer les objectifs, politiques, directives,
instructions, mesures, processus, procédures et actions SSI
 Base d’évidences pour des audits
 Fournir un ‘corpus’ pour les changements de rôle ou de personnel
 Input pour la clause 9 (Mesure)
ISO/IEC
Contenu supplémentaire utile: 27003:2017

 Inputs et outputs des processus SSI

Quantité, structure et taille selon la taille de l’organisation

OGSBC 2020 02-11-20

16
 7.5.1 Généralités (compléments)
 Contexte (4.2)  Plans et résultats de la
communication (7.4)
 Rôles, responsabilités et autorités
(5.3)  Documentation externe nécessaire
(7.5.3)
 Rapports intermédiaires GRSI (6.1)
 Processus de contrôle de la
 Ressources (7.1) documentation (7.5.3)
 Compétences attendues (7.2)  Politique, règles et directives SSI
 Plans et résultats de la sensibilisation  Processus et procédures de mesure
(7.3) du SMSI (9)
 Plans d’actions  Enregistrements de performance et
résultats d’audit
ISO/IEC
27003:2017

OGSBC 2020 02-11-20

17
 7.5.2 Création et mise à jour
Exigence 17: L’organisation doit s’assurer que les éléments suivants
sont appropriés:
a) Identification et description (p.ex. titre, date, auteur, numéro de
référence);
b) Format (p.ex. langue, version logicielle, graphiques) et support (p.ex. ,
papier, électronique); et
c) Examen et approbation du caractère approprié et pertinent de la
documentation.

L’organisation détaille la structure de la documentation exigée ainsi que

l’approche la plus appropriée.

OGSBC 2020 02-11-20

18
 7.5.2 Création et mise à jour
L’organisation détermine:
ISO/IEC
 La structure du cadre documentaire 27003:2017

 La structure standard des documents

 Format: titre, but, périmètre, date, classification, version, historique,
auteur, responsabilités…
 Attributs (politique, directive, règle, procédure, etc.)
 Identification unique
 Les responsabilités (préparation, approbation, publication, gestion)
 Le processus de révision et d’amélioration continue

OGSBC 2020 02-11-20

19
 7.5.2 Création et mise à jour
 Énoncés et styles sont adaptés au public et au périmètre
 Eviter les duplication et les redondances (références croisées)
 Révision en temps réel (au besoin et considérant le temps nécessaire
à la révision et à l’approbation)
 Critères de temps ou de contenu

ISO/IEC
27003:2017

OGSBC 2020 02-11-20

20
 7.5.3 Contrôle
Exigence 18: Les informations documentées exigées par le SMSI et la Norme
internationale doivent être contrôlées pour s’assurer qu’elles sont:
a) disponibles et conviennent à l’utilisation, où et quand elles sont nécessaires; et
b) correctement protégées (par exemple, de toute perte de confidentialité,
utilisation inappropriée ou perte d’intégrité).
Cela signifie:
c) distribution, accès, récupération et utilisation;
d) stockage et conservation, y compris préservation de la lisibilité;
e) contrôle des modifications (par exemple, contrôle des versions); et
f) durée de conservation et suppression.

OGSBC 2020 02-11-20

21
 7.5.3 Contrôle
Exigence 19: Les informations documentées d’origine externe que
l’organisation juge nécessaires à la planification et au fonctionnement
du système de management de la sécurité de l’information doivent être
identifiées comme il convient et maîtrisées.
NOTE: L’accès implique une décision concernant l’autorisation de
consulter les informations documentées uniquement, ou l’autorisation
et l’autorité de consulter et modifier les informations documentées, etc.

OGSBC 2020 02-11-20

22
 7.5.3 Contrôle
 L’information documentée répond aux besoins et aux exigences SSI
 Bibliothèque au besoin
 Classification (voir ISO/IEC 27002:2013)
 Soumis à gestion des changements et des configurations
 Distribution (public et canaux)
ISO/IEC
 Période de conservation, de révision, de reclassification27003:2017
et de validité (y
compris le transfert sur un autre support ou un autre ‘système’

 Si applicable (utiles selon les besoins et exigences)

OGSBC 2020 02-11-20

23