Analyse Loi 25
Pour nous joindre
Normes & gouvernance
22 janvier 2024

ISO27001 — Clause 7.5 — Gestion des documents

En matière de sécurité de l’information, chaque détail compte, y compris la manière dont les informations sont créées, conservée, maintenue et détruite.

La clause 7.5 de la norme ISO 27001 adresse la “gestion des informations documentées”, un aspect souvent négligé, mais néanmoins crucial pour la mise en place d’un système de gestion de la sécurité de l’information (SGSI) efficace et robuste.

Documents — Photo by Wesley Tingey on Unsplash

Prenez un moment pour penser à toutes les informations que votre organisation gère quotidiennement — des politiques et procédures internes aux données client, en passant par les rapports financiers et les plans de projet. Chacun de ces documents représente une facette de votre entreprise qui doit être gérée et protégée. C’est là que la clause 7.5 entre en jeu.

Elle fournit un cadre pour s’assurer que ces informations sont correctement créées, mises à jour, gérées et finalement détruites de manière à protéger non seulement vos actifs informationnels, mais aussi la réputation de votre organisation.

La clause 7.5 de la norme ISO 27001 stipule que l’organisation doit établir, mettre à jour et contrôler les informations documentées nécessaires pour soutenir le fonctionnement de son SGSI.

Cette clause met l’accent sur “comment” les informations documentées (comme les politiques, les procédures, les registres et artefacts) doivent être organisées.

Il ne faut pas oublier que chaque organisation est unique, et que la mise en œuvre de cette clause peut varier en fonction de la taille de l’entreprise, du type d’informations, de son secteur d’activités et des compétences des gens, avons-nous affaire à des spécialistes en sécurité, des comptables ou des plombiers?

Il me semble que la clause 7.5 est souvent sous-estimée par les organisations, puisque souvent les documents sont placés dans un Sharepoint, Google drive ou autres serveurs de stockage sans trop de considération pour les accès et on cherche les documents continuellement sans facilement les trouver.

Cette façon de faire ne permet pas de créer un climat de confiance envers notre gestion des documents en plus de diminuer l’efficacité de la communication et la collaboration interne. Par exemple, si nous sommes trois à travailler dans un dossier, nous avons chacun notre façon de faire, pour nommer et classer nos documents. Il faut se coordonner !

Sans être obligatoire, je crois qu’il est essentiel de mettre par écrit les réponses aux questions suivantes:

La nomenclature de nos fichiers

Chaque document doit être identifié de manière unique, soit par son titre, une date ou un numéro de version pour en faciliter son utilisation, sa recherche et surtout sa mise à jour!

Par exemple une lettre reçue du gouvernement pourrait être nommée de la manière suivante: YYYYMMJJ — avis de cotisation QC 2024.pdf

Dans le cas d’un document créé pour un client, le format suivant pourrait être utilisé: Titre — NomClient — Version.pdf

Les gabarits des documents

La norme ISO 27001, dans sa clause 7.5, ne mentionne pas explicitement les “gabarits de documents”, mais elle parle de la gestion des informations documentées qui peuvent inclure des gabarits de documents. Pour moi, les gabarits de documents sont essentiels pour assurer la cohérence, la clarté et la facilité.

Personnellement, j’utilise deux approches, celle qui convient le mieux à l’organisation. Soit l’utilisation d’un fichier vide de type “gabarit” comprenant la mise en pages reconnue par l’organisation, les en-têtes de pages, historique des versions, etc., ou par l’utilisation d’une liste de vérification offerte aux gens afin qu’ils puissent crée eux-mêmes leurs fichiers, mais en sachant qu’ils doivent respecter la liste de vérification une fois le document crée avant de le considérer comme terminé.

Par exemple:

  • Avoir un titre ainsi que le nom de l’auteur sur la page couverture;
  • Placer la mention de classification du document sur la page couverture ainsi qu’en pied de page;
  • Identifier les numéros de pages;
  • Utiliser les couleurs de l’organisation et logo dans le droit en haut à droite;
  • Écrire en utilisant la police corporative comme par exemple :Arial 10.

Comment est réalisées la révision et l’assurance qualité

Avant sa publication, chaque document doit être examiné et approuvé pour s’assurer qu’il est adéquat pour l’usage prévu et conforme aux exigences du SGSI.

Où sont conservés nos fichiers

Les documents doivent être stockés et conservés de manière à garantir leur accessibilité, leurs préservations et leurs protections contre la perte de confidentialité, d’intégrité et de disponibilité. Donc, savons-nous où sont conservés nos documents?

Personnellement, je conserve une liste des endroits ainsi que du niveau de classification permis pour chaque lieu avec le nom de la personne responsable de la révision des droits d’accès.

Comment faire la gestion des versions d’un même fichier

Chaque fois qu’une information est modifiée, une nouvelle version devrait être créée et correctement identifiée. Cela peut être fait en attribuant un numéro ou une date de version uniques à chaque version d’un document.

Il est souvent utile d’inclure une version dans le nom du fichier ainsi qu’un suivi dans un tableau à l’intérieur du document nommé “Historique des versions” afin d’en garder un suivi ainsi que la trace des modifications apportées à un document au fil du temps. Cela permet de savoir qui a apporté des modifications, quand elles ont été apportées et quelle était la nature des modifications.

Le suivi des versions permet également d’identifier facilement les vieilles itérations d’un document pour éviter leur utilisation incorrecte. Dans certains cas, elles peuvent devoir être conservées pour des raisons juridiques ou de connaissance. Ces vieilles versions peuvent être placées dans un répertoire d’archive ou une voûte de conservation.

Attention pour les utilisateurs de Sharepoint ou de GoogleDrive, votre historique de version se situe à même le fichier, donc pas nécessaire de garder des copies d’un même fichier.

Comment gérer les documents externes?

Ces documents peuvent inclure des contrats avec des fournisseurs, des accords avec des partenaires, des exigences légales, des normes ou encore des rapports de tests de sécurité!

  1. Identification : Il faut identifier les documents externes qui sont pertinents pour le système de gestion de la sécurité de l’information (SGSI). Avons-nous une liste de ces documents nécessaires?
  2. Examen et approbation : Avant leurs utilisations, ces documents doivent être approuvés pour confirmer qu’ils sont pertinents et corrects.
  3. Distribution : Les documents approuvés doivent être distribués aux personnes concernées dans l’organisation.
  4. Conservation et préservation : Les documents doivent être conservés pour protéger contre la perte, la destruction, l’altération, ou l’accès non autorisé.
  5. Révision : Les documents externes doivent être révisés régulièrement pour s’assurer qu’ils sont toujours actuels et pertinents. Si un document n’est plus nécessaire, il doit être supprimé de manière sécurisée.
  6. Traçabilité : Il est essentiel de conserver des enregistrements démontrant que les documents ont été correctement gérés. Cela inclut des preuves de l’examen, de l’approbation, de la distribution, et de la révision des documents.

Gestion des publications et diffusion des documents

Ces documents que nous gérons ici doivent parfois être partagés, communiquer avec d’autres. Nous devons donc avoir une façon de faire pour identifier les documents “finaux” ou approuvés. Par exemple quelle est la différence entre la politique en courts de modification et celle finale? Il doit y avoir une distinction entre les deux qui soit évidente pour son utilisateur.

Il m’est arrivé de voir des documents nommés: “Nomdufichier VFinale-ajusté-revu.docx” et un autre “nomdufichier Vfinale.docx”.

Comment savoir lequel est le document que je dois utiliser?

C’est pourquoi la procédure de nomenclature et de gestion des versions des fichiers est si importante.

Quelles est la durée de vie des documents et leurs destructions

Les documents obsolètes doivent être identifiés et retirés pour éviter toute utilisation involontaire. Toutefois, si ces documents doivent être conservés à des fins légales ou de connaissance, des mesures doivent être prises pour les distinguer des documents actuels.

Exemple de délais de conservation

Critères de succès

Afin de déterminer si nous avons bien répondu à la clause 7.5 de la norme ISO27001, voici quelques questions qu’un auditeur peut vous poser:

  1. Comment votre organisation crée-t-elle et met-elle à jour ses documents?
  2. Comment les documents sont-ils identifiés?
  3. Quel est le processus d’approbation des documents avant leur publication ?
  4. Comment les documents sont-ils stockés et conservés pour garantir leur accessibilité et leur préservation ?
  5. Comment les modifications sont-elles identifiées, examinées et approuvées avant leur mise en œuvre ?
  6. Comment votre organisation identifie-t-elle et retire-t-elle les informations documentées obsolètes ?

Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.

Patrick Boucher
Président fondateur
25+ ans d’expérience en sécurité, piratage éthique, continuité des affaires
Écrivez-nous

Formulaire Sticky Services

Envie de travailler avec nous ?

Parlez-nous de vos enjeux. On verra rapidement si on est la bonne équipe pour vous.
Discutons ensemble