La clause 4.4 de la norme ISO27001 est l’une des plus petites en taille, mais celle qui, d’après moi, a le plus d’impact au quotidien pour l’organisation.
Établir et mise en œuvre
Dans le contexte de la norme ISO 27001 sur la sécurité de l’information, le terme “établir” signifie la mise en place d’un processus, d’une procédure, d’une politique, d’un système ou d’une autre forme de documentation ou de pratique. Il s’agit donc de créer et de mettre en place quelque chose pour la première fois, de le formaliser et de l’instaurer au point de vue opérationnel.
Également cela inclut les politiques et les procédures de sécurité, le processus de gestion des risques, un système de gestion des incidents, etc.
Il ne doit pas y avoir de document en mode brouillon. Vos pratiques doivent être documentées, partagées et opérationnalisées dans l’organisation.
Maintenir et améliorer continuellement
Les termes “améliorer continuellement” signifient que l’organisation doit mettre en place des processus pour continuer à identifier et à corriger les lacunes dans le système de gestion de la sécurité de l’information (SGSI) et pour s’assurer que le SGSI est efficace et conforme aux exigences de l’entreprise et de la réglementation.
Il s’agit donc de continuer à surveiller et à évaluer le SGSI, de repérer les opportunités d’amélioration, de les mettre en œuvre et de surveiller les résultats pour s’assurer qu’ils ont l’effet escompté. Il s’agit également de tenir compte des changements internes et externes, des évolutions technologiques, des évolutions réglementaires, des besoins des parties prenantes, etc. pour s’assurer que le SGSI est adapté et efficace.
En résumé, “améliorer continuellement” signifie que l’organisation doit être en constante évolution pour s’assurer que le SGSI correspond toujours aux besoins de l’organisation et puisse atteindre ses objectifs de sécurité.
En plus de tout cela, la norme ISO27001 demande que vos documents soient conformes aux exigences de la norme.
Impact pour l’organisation
Cette clause a un impact très large pour l’organisation puisque celle-ci doit avoir une manière de faire claire, de réviser ses pratiques, de valider la conformité de ses procédures et directive ainsi que ses documents versus la norme. On ne parle pas d’audit interne, mais bien de savoir si chaque politique, pratique ou procédure est maintenue, revue, améliorée de manière régulière !
PDCA — La roue de deming?
Le concept d’amélioration continue nous arrive de W. Edwards Deming, statisticien américain et expert en gestion de la qualité. Il est surtout connu pour son travail dans l’amélioration de la qualité et la production en utilisant des méthodes statistiques durant les années 1940. Il a consacré sa carrière à enseigner ces principes aux entreprises afin d’aider à améliorer leur performance.
Le PDCA est un acronyme qui représente les quatre étapes d’un cycle de gestion de la qualité appelé “Boucle de Deming” ou “Cercle de Deming”. Les étapes sont:
- Plan (Planification) : Déterminer les objectifs et les stratégies pour atteindre ces objectifs.
- Do (Exécution) : Mettre en œuvre les plans et les stratégies déterminés dans la première étape.
- Check (Vérification) : Évaluer les résultats obtenus et les mesurer par rapport aux objectifs fixés.
- Act (Action) : Apporter des modifications et des améliorations en fonction des résultats obtenus à l’étape de vérification.
Le PDCA est un processus itératif qui peut être utilisé pour améliorer continuellement les processus et les produits. Il aide à identifier les opportunités d’amélioration et à élaborer des plans pour les mettre en œuvre de manière efficace.
Origine et objectif
L’objectif de la Boucle de Deming (ou Cercle de Deming) est d’améliorer la qualité des produits et des processus en utilisant une approche systématique et itérative.
Deming a développé cette approche en réponse à la qualité insatisfaisante des produits manufacturés aux États-Unis à l’époque. Il a voulu aider les entreprises à améliorer la qualité de leurs produits et à devenir plus compétitives en adoptant une approche systématique d’amélioration continue.
L’objectif de la Boucle de Deming est de permettre aux entreprises d’identifier les opportunités d’amélioration, de mettre en œuvre les changements nécessaires et de surveiller les résultats pour évaluer l’efficacité des améliorations apportées. Cette approche s’applique à tous les aspects d’une entreprise, notamment la production, les processus internes, la gestion des employés et les relations avec les clients.
Critères de succès
Afin de déterminer si nous avons bien répondu à la clause 4.4 de la norme ISO27001, voici quelques questions qu’un auditeur peut vous poser:
- Présentez-moi les documents de votre SGSI afin de vérifier qu’ils ne datent pas de plusieurs années.
- Avez-vous un calendrier d’activités?
- De quelle manière faites-vous le suivi des documents, pour en faire une révision?
- Expliquez-moi comment les procédures ont été communiquées, comment les équipes ont été formées pour ces nouvelles procédures.
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
