Exigences 27001

Cette page indique où se trouve les éléments de procédure liés à chaque exigence de l'ISO 27001. Ce n'est qu'un ensemble de références, les réponses explicites sont dans les documents ou les pages pointés.

Décrit ici dans la Déclaration de politique de sécurité.

Complément HDS: Exigence n° 02

Décrit ici dans la Déclaration de politique de sécurité.

Complément HDS: Exigence n° 03

Décrit ici dans la Déclaration de politique de sécurité.

Complément HDS: Exigence n° 04

Démontré par l'ensemble de ce site.

• Lettre d'engagement de la direction
• Organisation et gouvernance

La politique est explicitée ici en Politique de sécurité, sa présentation pour les parties intéressées dans la Déclaration de Politique de Sécurité.

Décrit ici dans la page Organisation et Gouvernance.

La planification et l'évaluation d'efficacité des actions sont décrites en Gestion des actions.

• La méthode d'appréciation est décrit en Méthode d'analyse des risques.
• Le processus d'appréciation et les critères d'acceptation sont en Analyse des risques.
• Le COPIL SMSI est collectivement propriétaire de l'ensemble des risques.
• Les résultats sont consultables ici, notamment via le tableau des risques.

Complément HDS: Exigence n° 05

• La méthode de traitement est décrite en methode_d_analyse
• Le processus est décrit en analyse des risques
• La DDA est consultable ici.
• Le Plan de traitement courant est visible ici, les versions archivées dans les Comptes-rendus des réunions du COPIL SMSI.

Compléments HDS:

• Exigence n° 06
• Exigence n° 07
• Exigence n° 08

Décrit dans la Déclaration de Politique de Sécurité

Complément HDS: Exigence n° 09

L'identification des ressources nécessaires est publiée dans les rapports de fonctionnement prévus par la procédure Organisation et gouvernance.

Si les ressources dépassent les capacités de décision des membres du CoPil SMSI, ces rapports sont soumis au Comité de Pilotage de la Sécurité de l'Information de l'Université, valant revue de direction, pour allocation des ressources requises.

La procédure de gestion des compétences explicite comment l'organisation s'assure de toujours disposer des ressources compétentes.

Le processus de sensibilisation est décrit dans les Procédure de sécurité dans la gestion du personnel.

Complément HDS: Exigence n° 10

La communication externe s'effectue au travers:

• des contrats et de leurs annexes, notamment la déclaration de politique de sécurité.
• des tickets pour la gestion des demandes de service et la gestion des incidents.

Outre les échanges du quotidien, la communication interne passe par:

• Le présent Wiki, et notamment son guide de bonnes pratiques et les procédures d'exploitation.
• Les restitutions des réunions du CoPil SMSI prévues au chapitre Sensibilisation des mesures de sécurité dans la gestion du personnel
• L'établissement des fiches de sécurité prévues dans la gestion des changements

Compléments HDS:

• Exigence n° 11
• Exigence n° 12

Voir ici la procédure de Gestion des informations documentées.

Le processus de gestion des actions est défini ici. Il inclut le contrôle de l'efficacité.

Complément HDS: Exigence n° 13

L'appréciation des risques est consultable dans la page Tableau des risques. Comme indiqué dans la procédure Organisation et gouvernance rlle est actualisée à chaque réunion du Copil SMSI.

Le plan de traitement et la DdA sont élaborés automatiquement à partir de l'analyse des risques.

Complément HDS: Exigence n° 14

Les indicateurs de surveillance sont décrits dans la page indicateurs

Complément HDS: Exigence n° 15

Les audits internes, technique et de conformité, sont planifiés dans la procédure Organisation et gouvernance au travers des ordres du jour du CoPil SMSI. Ils se déroulent conformément à la procedure_d_audits.

Complément HDS: Exigence n° 16

Les présentations des rapports de fonctionnement prévus dans la procédure Organisation et gouvernance tiennent lieu de revue de direction.

Comme décrit dans la procédure Organisation et gouvernance, les non-conformités détectées à l'occasion d'audits ou d'incidents sont prises en compte par le CoPil SMSI et les actions correctives inscrites au plan unique prévu par la gestion des actions.

L'amélioration continue est décidée et planifiée en routine lors des réunions du CoPil SMSI, éventuellement après aval du Comité de Pilotage de la SSI pour les actions les plus coûteuses.