08 Mai ISO27001. A.5.1.1. Politiques de sécurité de l’information
Parmi les points de contrôle que nous devons prendre en compte est celui lié aux politiques de sécurité de l’information, dans le cadre de la section A.5 Politiques de sécurité de l’information et spécifiquement dans la sous-section A.5.1. Gestion de la gestion de la sécurité de l’information. À ce stade, je veux commenter la façon dont je travaille avec mes clients lorsque je collabore en tant qu’auditeur interne ISO27001 et ce que nous attendons de l’auditeur qu’il examine.
ISO27001. A.5.1.1. Politiques de sécurité de l’information
Un ensemble de politiques de sécurité de l’information doit être défini, approuvé, géré et publié pour les employés et les tiers ou les parties frontalières concernées.
Comment l’implémenter dans nos entreprises?
Les politiques de l’organisation dans cette section doivent être simples. Les politiques de l’organisation ne doivent pas être excessivement liées dans un seul document, mais plutôt plus normales, car elles ont des liens différents avec les politiques que l’entreprise peut avoir, distribuant ces politiques de haut niveau à tous les employés et parties prenantes.
Il est recommandé d’avoir une liste de politiques que l’organisation a définies. Je mets quelques exemples ci-dessous:
- Politique de contrôle d’accès: l’accès est accordé selon le principe du besoin de savoir / besoin d’utiliser.
- Politique de sauvegarde: les ordinateurs portables ne sont pas sauvegardés, mais peuvent être restaurés à partir de l’image en cas de sinistre.
- Code de conduite: politique relative aux appareils mobiles
- Politique de cryptographie: Conformément à la politique de classification des informations, le cryptage doit être utilisé pour protéger les informations classées confidentielles, au repos ou en déplacement.
- Politique relative aux appareils mobiles: travail à distance
- Politique de mot de passe: les mots de passe doivent être forts (au moins 8 caractères, utilisation de minuscules / majuscules / chiffres / symboles)
- Politique de confidentialité: Nous reconnaissons l’importance de la sécurité des informations et de la protection de la vie privée.
- …
Ensuite, il est nécessaire de développer chaque politique en fonction des caractéristiques et des attentes de chaque organisation. Selon chaque employé, nous communiquerons certaines politiques ou autres qu’ils doivent connaître et respecter, ainsi que celles qui sont distribuées à des tiers ou à l’extérieur de l’organisation, nous devons nous assurer de ne pas inclure d’informations sensibles pour notre entreprise.
Les politiques de sécurité de l’information doivent être révisées et faire partie de la documentation ISO27001.
Ensuite, j’inclus un exemple réduit de politique dans ce cas Politique de mot de passe:
résumé
- La politique de mot de passe définit les exigences pour les mots de passe.
- La politique s’applique à tout le personnel interne et externe.
Principes
- Les mots de passe doivent être forts (au moins 8 caractères, utilisation de minuscules / majuscules / chiffres / symboles).
- N’utilisez pas le même mot de passe pour plusieurs services ou systèmes.
- Ne partagez votre mot de passe avec personne.
- Changez le mot de passe au moins une fois par an.
- Ne réutilisez pas les anciens mots de passe.
- Le mot de passe ne peut contenir aucune des informations suivantes: nom d’utilisateur, pseudonyme, nom, prénom ou date de naissance.
- Évitez d’écrire des mots de passe sur des post-it, des cahiers ou tout autre format physique.
- L’utilisation de l’outil X pour la gestion des outils et des mots de passe est obligatoire.
Politiques connexes
- Politique de sécurité de l’information
- Politique de classification des informations.
- Politique de contrôle d’accès
Sur quoi se concentrera l’organisme de certification ISO27001?
Selon la portée et d’autres questions, je peux généraliser que l’auditeur se concentre sur les aspects suivants:
- Être généré à partir d’un haut niveau de l’organisation avec un contrôle de version.
- Signé par le cadre supérieur.
- Définition complète de la sécurité de l’information pour l’entreprise, portée et objectifs.
- Raisons pour lesquelles la sécurité de l’information est essentielle pour l’organisation.
- Soutien défini de la haute direction.
- Un résumé du cadre choisi pour la gestion des risques, y compris ses objectifs et ses contrôles.
- Résumé des politiques, principes, critères et exigences de conformité en matière de sécurité.
- Gestion des non-conformités ou des limitations de la sécurité des informations.
- Entre autres aspects …
L’auditeur principal vérifiera probablement que les politiques sont accessibles aux employés et aux tiers intéressés selon leur rôle dans l’organisation. Cela pourrait vérifier qu’il a été communiqué et que ces tiers sont bien informés ou ont accès à un document de politique de sécurité de l’entreprise avec une relative facilité, c’est-à-dire qu’il est à leur disposition, pouvant faire partie d’un document encore plus complet appelé MANUAL DES POLITIQUES DE SÉCURITÉ qui comprend le détail de la façon dont les politiques de sécurité sont mises en œuvre dans l’organisation. Vous pourriez également être intéressé à trouver des preuves que les employés qui sont dans le champ d’application défini d’ISO27001 ont des responsabilités en matière de sécurité de l’information.
De même, l’auditeur pourrait vérifier que la politique est à jour suite à la gestion des changements dans la sécurité de l’information et qu’il y a un propriétaire de chaque politique, responsable de sa maintenance.
Je vous invite également à consulter le guide ISO27002 spécifiquement au point 5.1.1.
Luis Vilanova Blanco. Auditeur CISA par ISACA et formé à ISO27001 par SGS.
luis@luisvilanova.es
606954593