[logo de l'organisation]

[nom de l'organisation]

PLAN DE PROJET
pour l'implémentation d'un Système de Management de la Sécurité
de l’information

Code:

Version:

Date de la version:

Crée par:

Approuvée par:

Niveau de
confidentialité:

©2015 Ce modèle peut être utilisé par les clients de EPPS Services Ltd. www. advisera.com en conformité avec l'accord de licence.
[nom de l'organisation] [niveau de confidentialité]

Historique des modifications

Date Version Crée par Description de la modification

JJ-MM-AAAA 0.1 Dejan Kosutic Structure documentaire de base

Table des matières

1. BUT, DOMAINE D'APPLICATION ET AUDIENCE........................................................................................ 3

2. DOCUMENTS RÉFÉRENCÉS..................................................................................................................... 3

3. PROJET D'IMPLÉMENTATION DU SMSI................................................................................................... 3

3.1. OBJECTIF DU PROJET....................................................................................................................................................3
3.2. RÉSULTATS DU PROJET..................................................................................................................................................3
3.3. DÉLAIS......................................................................................................................................................................5
3.4. ORGANISATION DU PROJET............................................................................................................................................5
3.4.1. Sponsor du projet............................................................................................................................5
3.4.2. Chef de projet..................................................................................................................................5
3.4.3. Equipe de projet..............................................................................................................................5
3.5. PRINCIPAUX RISQUES DU PROJET....................................................................................................................................6
3.6. OUTILS POUR L’IMPLÉMENTATION DU PROJET, RAPPORT.....................................................................................................6

4. GESTION DES ENREGISTREMENTS CONSERVÉS SUR LA BASE DE CE DOCUMENT......................................6

5. VALIDITÉ ET GESTION DOCUMENTAIRE.................................................................................................. 7

Plan de projet pour l'implémentation d'un SMSI ver [version] de [date] Page 2 de 7
[SMCA]

©2015 Ce modèle peut être utilisé par les clients de EPPS Services Ltd. www.advisera.com en conformité avec l'accord de licence.
[nom de l'organisation] [niveau de confidentialité]

1. But, domaine d'application et audience

Le but du Plan de Projet est de clairement définir l'objectif du projet d'implémentation du Système
de Management de la Sécurité de l'Information (SMSI), des documents à écrire, des délais, et des
rôles et responsabilités dans le projet.

Le Plan de Projet est appliqué à l'ensemble des activités réalisées dans le projet d'implémentation du
SMSI .

Les utilisateurs de ce document sont les membres de la [direction] et les membres de l'équipe de
projet.

2. Documents référencés
 Norme ISO/IEC 27001
 [décision ou tout document similaire prescrivant le lancement du projet]
 [méthodologie de gestion de projet]

3. Projet d'implémentation du SMSI

3.1. Objectif du projet

Implémenter le Système de Management de la Sécurité de l'Information en accord avec la norme

ISO 27001 au plus tard le 01 Octobre 2016.

3.2. Résultats du projet

Pendant l'implémentation du projet de SMSI, les documents suivants (dont certains contiennent des
annexes qui ne sont pas expressément indiquées ici) devront être écrits:
 Procédure pour le contrôle des documents et enregistrements - procédure prescrivant des
règles de base pour écrire, approuver, distribuer et mettre à jour des documents et des
enregistrements
 Procédure d'identification des exigences – procédure pour identifier les obligations
statutaires, réglementaires, contractuelles et autres
 Domaine d’application du Système de Management de la Sécurité de l'Information - un
document définissant précisément les actifs, les emplacements, la technologie, etc. faisant
partie du domaine d’application
 Politique de sécurité de l'information - c'est un document clef utilisé par la direction afin de
contrôler le management de la sécurité de l'information
 Méthodologie d'évaluation et de traitement des risques - décrit la méthodologie afin de
gérer les risques de la sécurité de l’information
 Tableau d'évaluation des risques - le tableau est le résultat de l'évaluation de la valeur des
actifs, des menaces et des vulnérabilités

Plan de projet pour l'implémentation d'un SMSI ver [version] de [date] Page 3 de 7
[SMCA]

©2015 Ce modèle peut être utilisé par les clients de EPPS Services Ltd. www.advisera.com en conformité avec l'accord de licence.
[nom de l'organisation] [niveau de confidentialité]

 Tableau de traitement des risques - un tableau dans lequel les contrôles de sécurité
appropriés sont sélectionnés pour chaque risque inacceptable
 Rapport d'évaluation des risques - un document contenant tous les documents clefs réalisés
dans le processus d'estimation et de traitement du risque
 Déclaration d'applicabilité - un document qui détermine les objectifs et l'applicabilité de
chaque mesure en accord avec la norme ISO 27001 Annexe A
 Procédure d'audit interne - définit comment les auditeurs sont sélectionnés, comment les
programmes d'audit sont écrits, comment les audits sont menés et comment les résultats
d'audit sont rapportés
 Procédure pour les actions correctives - décrit le processus d'implémentation des actions
correctives et préventives
 Formulaire pour les compte-rendu des revues de direction - un formulaire utilisé pour créer
des comptes-rendus de réunions de Direction tenues, pour vérifier l'adéquation du SMSI
 Plan de traitement des risques - un document d'implémentation qui spécifie les mesures qui
doivent être implémentées, qui est responsable de l'implémentation, les délais et les
ressources

D'autres documents devant être écrits durant l'implémentation du SMSI sont spécifiés dans le Plan
de traitement des risques.

Pendant l'implémentation de la gestion de la continuité des activités les documents suivants

(certains contiennent des annexes qui ne sont pas expressément indiquées ici) doivent être écrits:
 Politique de gestion de la continuité des activités - pose un cadre de base pour le SMCA,
détermine le domaine d’application et les responsabilités
 Questionnaires du bilan d’impacts sur les activités (BIA) - analyse de l'impact qualitatif
et quantitatif sur les activités, des ressources nécessaires, etc.
 Stratégie de continuité des activités - définie les activités critiques, les
interdépendances, les objectifs de temps de reprise, la stratégie afin de gérer et d'assurer
la continuité des activités, la stratégie pour la récupération des ressources, la stratégie
pour les activités individuelles critiques
 Plan de continuité des activités - une description détaillée de comment répondre à des
désastres ou autres interruptions des activités, et comment recouvrer toutes les activités
critiques
 Plan de formation et de sensibilisation - une vue d'ensemble détaillée de comment les
employés seront formés pour exécuter des tâches planifiées, et comment ils seront
sensibilisés à l'importance de la continuité des activités
 Plan d'exercice et de test de la continuité des activités - décrit comment les plans seront
exercés et testés dans l'objectif d'identifier des actions correctives nécessaires et
d'améliorer le plan
 Plan de maintenance et de revue du SMCA - une vue d'ensemble détaillée de comment
les plans et les autres documents du SMCA doivent être maintenus afin d'assurer leur
fonctionnement en cas d'interruption des activités
 Formulaire de révision post incident - un formulaire utilisé pour réviser l'efficacité des
plans suite à un incident

Plan de projet pour l'implémentation d'un SMSI ver [version] de [date] Page 4 de 7
[SMCA]

©2015 Ce modèle peut être utilisé par les clients de EPPS Services Ltd. www.advisera.com en conformité avec l'accord de licence.
[nom de l'organisation] [niveau de confidentialité]

3.3. Délais

Les délais pour l'acceptation des documents individuels dans le cadre de l'implémentation du SMSI
sont les suivants:
Document Délai pour l'acceptation des
documents

Les délais pour l'acceptation des documents individuels dans le cadre de l'implémentation du SMCA
sont les suivants:
Document Délai pour l'acceptation des
documents

La présentation finale des résultats du projet est planifiée le [date].

3.4. Organisation du projet

3.4.1. Sponsor du projet

Chaque projet a un "sponsor" assigné, qui ne participe pas activement au projet. Le sponsor du projet
doit être régulièrement informé par le chef de projet du statut du projet, et intervenir si le projet est
arrêté.

[nom, titre du poste] a été nommé sponsor du projet.

3.4.2. Chef de projet

Le rôle du chef de projet est d'assurer les ressources nécessaires à l'implémentation du projet, de
coordonner le projet, d'informer le sponsor des avancements, et d'effectuer des tâches
administratives liées au projet. Les autorités du chef de projet devraient être de nature à assurer
l’implémentation du projet sans interruption dans les délais fixés.

[nom, titre du poste] a été nommé chef de projet.

Plan de projet pour l'implémentation d'un SMSI ver [version] de [date] Page 5 de 7
[SMCA]

©2015 Ce modèle peut être utilisé par les clients de EPPS Services Ltd. www.advisera.com en conformité avec l'accord de licence.
[nom de l'organisation] [niveau de confidentialité]

3.4.3. Equipe de projet

Le rôle de l'équipe de projet est d'assister sur des aspects variés de l'implémentation du projet,
d'accomplir des tâches comme spécifiées dans le projet, et de prendre des décisions sur divers
problèmes nécessitant une approche multidisciplinaire. L'équipe de projet se rencontre avant chaque
achèvement de la version finale d'un document de la section 2 de ce Plan de Projet, et dans tous les
autres cas quand le chef de projet considère que cela est nécessaire.

Tableau des participants dans le projet

Nom Unité Titre du poste Téléphone E-mail
organisationnelle

3.5. Principaux risques du projet

Les principaux risques dans l'implémentation du projet sont les suivants:

1. Extension des délais dans la phase d'estimation des risques
2. Extension des délais pendant le développement des plans de continuité des activités
3. Accomplir des activités qui induisent des coûts inutiles et des pertes de temps
4. Sélection de trop de mesures et/ou de mesures trop coûteuses

Les mesures afin de réduire les risques mentionnés ci-dessus sont les suivantes:
 Le chef de projet vérifie que toutes les activités dans le projet sont accomplies dans les délais
définis, et demande l'intervention du sponsor de projet en temps opportun

3.6. Outils pour l’implémentation du projet, rapport

Un répertoire partagé incluant tous les documents produits pendant le projet devra être créé sur le
réseau local. Tous les membres de l'équipe de projet auront accès à ces documents. Seul le chef de
projet [et les membres de l'équipe de projet]seront autorisés à faire des changements et à supprimer
des fichiers.

Le chef de projet préparera un rapport d'implémentation de projet sur une base mensuelle et le
transmettra au sponsor du projet.

4. Gestion des enregistrements conservés sur la base de ce document

Nom de Lieu de Personne Contrôle pour la protection Durée de
l'enregistrement conservation responsable de la des enregistrements rétention
conservation
Rapport Fichier partagé Chef de projet Seul le chef de projet est Le rapport
d'implémentation pour les autorisé à réviser des est archivé
de projet (sous activités données pour une
forme relatives au période de 3
Plan de projet pour l'implémentation d'un SMSI ver [version] de [date] Page 6 de 7
[SMCA]

©2015 Ce modèle peut être utilisé par les clients de EPPS Services Ltd. www.advisera.com en conformité avec l'accord de licence.
[nom de l'organisation] [niveau de confidentialité]

électronique) projet ans

5. Validité et gestion documentaire

Ce document est valide dès le [date]

Le propriétaire de ce document est [titre du poste].

Pour l'évaluation de l'efficacité et de l'adéquation de ce document, les critères suivants doivent être
considérés:

 si tous les employés engagés dans le projet exercent leurs activités en conformité avec ce
document
 si tous les délais du projet ont été respectés

[titre du poste]
[nom]

_________________________
[signature]

Plan de projet pour l'implémentation d'un SMSI ver [version] de [date] Page 7 de 7
[SMCA]

©2015 Ce modèle peut être utilisé par les clients de EPPS Services Ltd. www.advisera.com en conformité avec l'accord de licence.