Assistance et Accompagnement à la mise en place d’un SMSI en conformité à l’ISO 27001

Les étapes de la mise en place d’un SMSI conforme à la norme ISO 27001
Une entreprise faisant le choix de la mise en conformité à la norme ISO 27001 de son SMSI devra respecter un certain nombre d’étapes. HeadMind Partners préconise une démarche en huit étapes.

1. Etude d’opportunité
Réaliser un état des lieux des mécanismes de sécurité, identifier les parties intéressées du SMSI et leurs enjeux, afin de réaliser une étude d’opportunité de la mise en conformité. Ces éléments sont à valider obligatoirement par la Direction Générale.

2. Choix du périmètre du SMSI
Définir le périmètre, autrement dit les activités sur lesquelles s’appliquent le SMSI, et justifier le cas échéant les domaines exclus de ce périmètre.

3. Déclaration d’intention
Une fois le périmètre choisi, définir la stratégie de la sécurité de l’information afin d’impulser le projet de mise en conformité. Cette déclaration d’intention se formalise par la Politique de sécurité rédigée et signée par la Direction Générale.

4. Démarche d’analyse de risques
L’entreprise doit identifier les risques sur son périmètre. Pour ce faire, il est nécessaire de choisir une méthode d’évaluation des risques, adaptée au contexte et aux enjeux de l’entreprise.

5. Objectifs de sécurité
Le plan de traitement des risques doit orienter les objectifs de sécurité que souhaite atteindre l’entreprise. En effet, en fonction des risques identifiés, les mesures de sécurité peuvent varier.

Il est dès lors primordial d’organiser des réunions de suivi du projet afin d’optimiser la mise en place de ces mesures d’une part, et de garder la direction impliquée d’autre part.

6. Exploitation du SMSI
L’ensemble des mesures et processus de sécurité doivent vivre selon le modèle de la roue de Deming : Plan, Do, Check, Act.