5/04/2011

Mise en oeuvre étape par étape | ISO 2…

Text Size

Identifiant

••••••••••••

PORTAIL

EMPLOI

COMMUNAUTÉ

FORUM

TÉLÉCHARGEMENTS

BOUTIQUE

ÉVÉNEMENTS

NEWSLETTER

S'ABONNER

Mise en oeuvre étape par étape
Conseil Certification ISO Formation, Audit, Coaching SMQHSE, Méthodologie, Conseil www.certificationiso.fr ITIL v3 Foundation + exam scenario based e-learning course includes ITIL First Aid Kit campus.itpreneurs.com Gestion Audit Interne Logiciel de gestion intégrée de l’ensemble des activités d’audit www.enablon.fr
Cet article présente le panorama détaillé de l'ensemble des mesures à mettre en œuvre pour tout organisme souhaitant aller vers ISO/IEC 27001.

Le détail des actions et mesures à réaliser est donné ci-dessous. 1. 2. 3. 4. 5. 6. Définition et Gestion du SMSI Exigences relatives à la documentation Responsabilité de la Direction Audits internes du SMSI Revue de Direction Amélioration du SMSI

1. Définition et Gestion du SMSI 1.1. Établissement du SMSI
L'organisme doit mettre en œuvre un SMSI (Système de Management de la Sécurité). Ce SMSI doit être documenté, maintenu, surveillé, amélioré de manière permanente. Sa mise en œuvre inclut une analyse des risques, ainsi que la mise en œuvre de contre-mesures pour diminuer les risques pesant sur l'information et l'entreprise.

L'organisme qui souhaite mettre en œuvre ISO/IEC 27001 doit :

1.1.1. Définir le périmètre, autrement dit les activités, sur lequel s'applique le SMSI, et justifier les cas échéant les domaines exclus de ce périmètre. Le niveau de détail attendu concerne tous les actifs (matériels, logiciels, patrimoine). 1.1.2. Faire une déclaration d'intention (Politique) reprenant les éléments décidés au point précédent. Au delà d'une déclaration d'intention il s'agit là de définir l'orientation donnée à la Politique Sécurité afin d'impulser le projet. La politique est un document écrit et signé par la Direction et doit contenir à minima : La façon de sera géré le projet, quels en sont les objectifs (mesurables) et comment sera traitée la Sécurité de l'information, Comment est gérée la veille réglementaire et sécuritaire afin de s'assurer que l'organisme répond bien à ces exigences externes (vis-à-vis de la législation, des clients, des fournisseurs), Faire référence de manière explicite à la méthode dont sont gérés les risques, et comment ils seront évalués La signature des membres de la Direction

1.1.3. Définir la ou les méthodes d'évaluation des risques, c'est-à-dire comment ils seront identifiés, évalués, réduits ou annihilés. A ce titre l'organisme doit : Choisir une méthode d'évaluation du risque, dont l'objectif est de recenser tous les risques qui pèsent sur l'Information et de les classifier selon des critères de probabilité, de vulnérabilité et d'impact. Lister les critères et niveaux selon lesquels les risques seront acceptés. Exemple : une entreprise peut dans certains décider que le coût de réduction du risque est trop élevé par rapport à sa probabilité de survenance. Remarque : Les méthodes telles qu'EBIOS ou MEHARI sont accessibles gratuitement et permettent de réaliser couvrir l'ensemble du dispositif de Gestion des risques. Compte-tenu du cycle d'amélioration continue qui s'applique au SMSI la méthode de Gestion du risque sera revue annuellement et il convient de garder la même méthode afin que les données du risque puissent être comparées. 1.1.4. L'organisme doit identifier les risques sur son écosystème et à ce titre il doit : Produire une liste exhaustive des actifs (uniquement dans le périmètre du SMSI) ainsi que les propriétaires des ces actifs. Ce travail d'inventaire doit faire l'objet d'un document (tableur, base de données, CMDB, etc.) Identifier les menaces qui pèsent sur les actifs listés, Identifier de quelle manière ces menaces peuvent être exploitées, Identifier les impacts de ces vulnérabilités, en termes d'intégrité, de confidentialité, de disponibilité et de non-répudiation, sur le patrimoine informationnel de l'organisme 1.1.5. Une fois les risques identifiés l'organisme doit en produire une analyse et une évaluation documentée. Celle-ci doit contenir à minima :

itil.fr/…/isoiec-27001-mise-en-oeuvre-…

1/7

). en revanche ce type d'incident doit être catégorisé en incident de type "Sécurité". Permettre à la Direction de statuer sur l'efficacité des mesures (organisationnelles et technologiques) de Sécurité mises en œuvre . La liste des risques acceptables qui ne seront pas traités.8 Enfin.2. de manière mesurable. aussi fixez vous des objectifs réalistes. Remarque : Pour plus d'information une liste.1. 1. 1.7. Une fois la phase d'évaluation des risques réalisée il convient à présent de définir. Il peut s'agir de formations internes.1. qui doit notamment statuer sur les risques résiduels qui seront acceptés ou non.2. Cela vous permettra d'avoir une vue précise de la durée de mise en œuvre du SMSI. Une estimation des niveaux de risques. de publication de newsletter.2.1. l'organisme doit s'assurer que les incidents de Sécurité sont gérés et doit décrire puis mettre en œuvre des procédures de traitement des incidents de Sécurité.8. ces examens incluent les résultats des audits.7. Mettre en œuvre et suivre des procédures de Surveillance et de réexamen afin de : Détecter les traitements (risques et sécurité) en échecs ou qui n'ont pas abouti au résultat escompté. le déroulement du projet pourra s'en trouver sérieusement complexifié. Une évaluation de la probabilité que l'occurrence d'un risque identifié intervienne. etc. Les raisons de ces exclusions doivent être décrites et expliquées (justifiées). Mettre en œuvre des indicateurs de Sécurité facilitant la compréhension de la Gestion de la Sécurité et permettant si possible la détection proactive des vulnérabilités potentiellement exploitables.3.2. A ce titre l'organisme doit : 1. 1. 1. donc d'un risque pour l'organisme. en fonction des critères préétablis. Si la politique et l'analyse des risques ne sont pas adaptés à la finalité de l'entreprise. itil. Statuer sur l'efficacité des actions entreprises par l'organisme.2.5/04/2011 Mise en oeuvre étape par étape | ISO 2… Pour chacun des risques quel est l'impact potentiel de l'exploitation d'une vulnérabilité. Identifier les incidents et failles de Sécurité.2. Surveillance et réexamen du SMSI Une fois le SMSI mis en œuvre.6 A ce stade une organisation (équipe) interne est en mesure de gérer le SMSI 1. 1. Il est important d'allouer les ressources nécessaires afin que les taches soient exécutées de manière efficace. Le plan doit comprendre l'ensemble des moyens (financier. et de quelle manière ces mesures seront mises en œuvre.1. la Direction doit autoriser explicitement (par écrit) la mise en œuvre du SMSI dans les conditions établies ci-dessus.3.6. Dans le cas contraire les mesures doivent être revues. Suite à l'approbation. les objectifs de sécurité que souhaite atteindre l'entreprise. Et l'exclusion.7 Et l'organisme s'assure de manière permanente de l'adéquation des ressources quant au maintien du SMSI et de ses activités. 1. de mise en œuvre d'un intranet ou de communications plus formelles. les actions à mettre en œuvre pour traiter les risques identifiés en amont. 1.fr/…/isoiec-27001-mise-en-oeuvre-… 2/7 . Les résultats de ces audits ou évaluation doivent être enregistrés et doivent pouvoir être comparés entre eux. Vérifier que les exigences de Sécurité de l'organisme sont soutenues par des mesures efficaces. Mise en œuvre et fonctionnement du SMSI La mise en œuvre du SMSI implique un certain nombre de taches parmi lesquelles l'organisme doit : 1. 1.1.2. ainsi que la liste des risques nécessitant un traitement 1.2. budget) et ressources (humaines. La formalisation des objectifs de sécurité dans un document doit être soumise pour approbation à la Direction.1 Lister dans un document de planification. 1. Puis l'organisme doit définir les méthodes de traitement des risques et évaluer la façon dont elles seront mises en œuvre (élimination des SPOF. Il est recommandé de suivre le processus de traitement des incidents classique. ainsi que des revues périodiques afin d'améliorer son fonctionnement.5 L'organisme doit mettre en œuvre un programmes destiné à sensibiliser et former toutes les parties prenantes sur les enjeux de la Sécurité. 1. le cas échéant des dispositions sécurité que l'organisme ne souhaite pas mettre en œuvre. La liste des mesures de sécurité d'ores et déjà mise en œuvre par l'organisme.1. logicielles) allouées par la Direction au traitement des risques. l'organisme doit mettre en œuvre les mesures de sécurité définies au même point. le modèle de PDCA recommande d'une part une surveillance permanente du Système. non exhaustive des objectifs est accessible dans la norme ISO/IEC 27001.3. 1. 1. 1.1.4 Définir les méthodes d'évaluation de l'efficacité des mesures (Sécurité et Réduction des risques) tels que l'audit interne.2.10.3. Réaliser à intervalle régulier des examens de l'efficacité du SMSI.2 Mettre en œuvre les actions listées dans le document de planification de traitement du risque.3 En fonction des objectifs de Sécurité définis en 2.2. les incidents de "Sécurité" et vérifient que les objectifs de Sécurité sont atteints. Notez par ailleurs que la démarche s'inscrit dans un cycle itératif (PDCA) et qu'il faut donc aborder ISO/IEC 27001 comme un projet à moyen/long termes.3.9. Chaque risque doit être pondéré par une priorité fonction de sa probabilité de survenance et du poids éventuel de son impact sur l'information et l'organisme. Notez que si les objectifs ne sont pas atteints il est important de mettre en œuvre des plans d'action visant à corriger la situation identifiée. acceptation du risque compte-tenu de sa faible probabilité de survenance. compte-tenu de l'analyse réalisée sur les menaces et vulnérabilités. Remarque : Cette phase de préparation est probablement la plus important dans le sens ou elle détermine l'ensemble des dispositions organisationnelles et sécuritaires que l'organisme va mettre en œuvre. matérielles. 1.1. A présent il s'agit de formaliser une DDA (Déclaration d'applicabilité) laquelle inclut à minima : La liste des mesures de sécurité que l'organisme souhaite mettre en œuvre et la justification de ces choix. A cette étape il est recommandé d'utiliser un diagramme de GANT afin de pondérer chacune des actions par sa priorité ainsi que sa charge de traitement en jours/homme.

4. Il se peut que certaines pistes d'amélioration ne soient pas mises en œuvre auquel cas il convient d'en justifier la raison.1. Ces documentations incluent à minima : 2. enregistrer. c'est-à-dire qu'elles interviennent avant l'occurrence de l'événement. Vérifier que les exigences de Sécurité de l'organisme sont soutenues par des mesures efficaces. A l'efficacité de l'ensemble des mesures mises en œuvre dans le cadre du SMSI. Dans le cas contraire les mesures doivent être revues.1. Afin de démontrer que les résultats des mesures (Sécurité et Risques) mises en œuvre sont conformes aux objectifs pris par l'organisme tout doit être documenté. Les canaux de communications (réunion.4. Ces analyses incluent tous les changements apportés : A l'organisme qui met en œuvre le SMSI.3. analysées et clôturées.fr/…/isoiec-27001-mise-en-oeuvre-… 3/7 .4.4. Suite à cela les plans de sécurité doivent être mis à jour en tenant compte des actions et décisions actées en revue de Direction. 1.4 Chaque action fait l'objet d'une revue dont l'objectif est d'apporter la preuve de son efficacité. intranet) doivent être utilisés à cet effet.7. par exemple dans le plan de Sécurité.2. des risques. Aux (nouvelles) menaces.3 L'ensemble des parties prenantes doit être tenu au courant des actions mises en œuvre.1 S'assurer que les améliorations identifiées. et prendre en compte les risques résiduels et le niveau de risque acceptable.6. soient mises en œuvre.3. l'organisme doit : 1.8 Chacun des actions doit être enregistrée car elle peut faire l'objet de preuve dans le cadre d'un audit tierce-partie (audit externe) 1. 2.2.2.1. La Déclaration d'Applicabilité (DdA) 2.6.5.3.1. 1.1. Une description de la méthode retenue pour évaluer et gérer les risques 2. L'ensemble des enregistrements exigés par la norme ISO/IEC 27001 2.1. 1. Maitrise des documents L'ensemble des documents relatifs au SMSI doivent être protégés et maitrisés par une procédure qui définit les actions pour : 2. des incidents de Sécurité et les contrôles (exemple : revue de processus) effectués 2. analysées et modifiées. la Politique Sécurité doivent être formalisées sous une forme documentée et détaillée détaillant les orientations de la Politique.2.1. après qu'un cycle de mise en œuvre de mesure de Sécurité et de réduction des risques ait été mis en œuvre. Assurer que chacun des documents accessible est "versionné" et dispose d'un statut correspondant à son état.1.2.1. newsletter.3. suivre les actions afin que toutes les activités soient traçables. qu'elle qu'en soit l'origine. Aux technologies utilisées dans l'organisme.2.3. 1.7. La preuve de l'efficacité de ces actions doit être apportée. Mise à jour et amélioration du SMSI Afin d'assurer que le SMSI et en permanence à jour et que le dispositif s'améliore. L'organisme doit mener des revues de Direction (annuelle ou biannuelle par exemple) statuant sur l'efficacité du SMSI et définissant les plans d'actions à mettre en œuvre pour en améliorer l'efficacité. 2. les revues de celle-ci et les objectifs mesurables que l'organisme souhaite atteindre par la mise en œuvre d'un SMSI. suivies. ou par ses fournisseurs. Les décisions prises par la Direction.5. 1. Aux processus métier de l'organisme. Les procédures d'évaluation des mesures mises en œuvre attestant de leur efficacité 2. Il doit explicitement statué sur le niveau de risque encouru par l'entreprise.3. La méthode de traitement des risques et sa planification 2. Ces actions doivent être enregistrées. 2.5/04/2011 1.8. clients et fournisseur). Définir les circuits d'approbation des documents avant diffusion (aux équipes.4. Généralités La mise en œuvre d'une norme telle qu'ISO/IEC 27001 implique la nécessité de documenter.3. Aux orientations business et stratégiques de l'organisme. c'est-à-dire qu'elles interviennent après l'occurrence de l'événement. audit.2 Chaque incident. Elles peuvent être préventives. Exigences relatives à la documentation 2.4. de mise à jour et d'approbation des documents. itil.3. La Politique et les objectifs Sécurité 2. ou non conformité peut-être à l'origine de la mise en œuvre d'actions appropriées dont il faut apporter la preuve de l'efficacité.4. 1. L'analyse des risques doit être revue. Le périmètre d'application du SMSI 2.1. Définir les circuits de réexamen. Ces actions peuvent être correctives. Les procédures de Gestion de la Sécurité.1.3. A la réglementation en vigueur ou aux contrats client (par exemple) Mise en oeuvre étape par étape | ISO 2… Please login to chat 1. L'organisme doit assurer que des audits internes sont planifiés et exécutés 1.

3.2. 2. Revoir périodiquement lors d'une revue de Direction les résultats du SMSI. 3.7. Assurer que les contraintes règlementaires et légales sont connues.2. sensibilisation et compétences Afin que le SMSI soit efficace et produise les résultats escomptés sur la Sécurité de l'Information.4. Donner l'assurance (la preuve) que le SMSI est planifié et que des objectifs sont suivis.2. de la formation. 3.2.1.6. 3. 3.4.1. 3. La norme ISO/IEC 27001 impose d'établir.4.1. 3. Des procédures de contrôle permettant d'identifier. Mise à disposition des ressources La mise en œuvre d'ISO/IEC 27001 impose à l'organisme de fournir des ressources (matérielles.2.2. c'est-à-dire que les documents livrés et accessibles doivent suivre les procédures dédiées. 3.1. 3. logicielles.2.3. analyser et que l'organisme y répond.2. 3.8. statuer sur son efficacité et initier une amélioration du SMSI le cas échéant 3.1.2. Définir en amont comment seront acceptés les risques. 3.2.5. l'organisme doit assurer que les personnes impliquées dans des rôles et responsabilités du SMSI aient les compétences nécessaires à son maintien. en : 3. S'assurer que des audits internes planifiés à intervalle régulier ont lieu.2. 2. 2. Définissant les compétences nécessaires aux personnes intervenant dans le SMSI.1. 3.7. S'assurer que les collaborateurs ont conscience des enjeux que représente leurs activités dans la réalisation des objectifs de sécurité de l'organisme. de préciser la durée de conservation. Formation. humaines.1. Cela passe par de la sensibilisation. Maitrise des enregistrements Les enregistrements sont des documents apportant la preuve d'une activité donnée.2. Responsabilité de la Direction 3.3. Les formations peuvent être réalisées en interne ou par l'intermédiaire d'un organisme de formation. sur quels critères.2.2. des ses résultats et réévaluer les objectifs de Sécurité.6. 3.2.1. Implication de la Direction La direction donne l'impulsion à la Gestion de la Sécurité dans l'entreprise. ils doivent être gérés. Initier l'amélioration permanent et continue du SMSI.1. de gérer l'accès.fr/…/isoiec-27001-mise-en-oeuvre-… 4/7 . Assurer que les procédures Sécurité sont adaptées aux finalités business de l'entreprise.2. Management des ressources 3. Produire la Politique Sécurité.1. jusqu'à l'archivage.1.5. A ce titre la Direction doit : 3.4. 3.2.2.1. Les documents provenant de l'extérieur de l'entreprise doivent être identifiés et identifiables par les équipes. 2. de la mise à jour et de l'amélioration permanente du SMSI. Définir des rôles et des responsabilités en charge des missions initiés dans le cadre du SMSI. du réexamen.5/04/2011 Mise en oeuvre étape par étape | ISO 2… 2.1.6.5. Mettant en œuvre des actions de formation et sensibilisation. Assurer des réexamens périodiques du SMSI. 2.1. Assurer le cycle de vie des documents. dont ils sont un sous-ensemble. La preuve de l'implication de la Direction dans le SMSI doit être prouvée au travers notamment du fonctionnement.2.6.2.1. Les documents périmés doivent être archivés et ne pas être à la porter des utilisateurs. 3. de stocker.> 2. Les documents attestant du niveau de formation initiale (diplômes) et professionnelle (expérience) doivent être conservé.2.3. A noté que des fiches de poste décrivant les qualifications nécessaires permettront d'identifier facilement les compétences que l'organisme possède et celles qu'il nécessite itil.1.2. protégés et maitrisés comme les documents. Pourvoir l'organisme des moyens nécessaires pour la mise en œuvre du SMSI et assurer sa pérennité.1.2.6. En évaluant (à chaud et à froid) les formations dispensées aux équipes.1. S'assurer que toutes les dispositions préconisées dans le cadre du SMSI sont mises en œuvre.2.2.3. de la surveillance.2. Les documents périmés et archivés doivent être identifiés et identifiables si ils sont conservés. en intégrant les critères d'habilitation. La diffusion des documents doit être maitrisée. financières) nécessaires pour : 3. portées à la connaissance des utilisateurs et mises en œuvre. elle est partie prenante dans la définition de la politique et des objectifs Sécurité mais aussi dans la mise en œuvre du SMSI. 3. de conserver des enregistrements. 3. Mettre en œuvre toutes les phases du SMSI. le mode d'élimination doivent être documentées.1.2. Rendre accessible ou cela est nécessaire les documents du SMSI.

Les retours de toutes les parties prenantes et les suggestions d'amélioration de tout un chacun. des processus métiers. 5. L'amélioration du SMSI. adéquat (par rapport aux objectifs que s'est fixé l'organisme) et efficace (les résultats sont ils conformes aux objectifs).2. Les éléments de sortie de la revue doivent permettre d'améliorer le SMSI 5. Faire un bilan de toutes les actions préventives et correctives mises en œuvre dans le cadre du SMSI.6.3. Mis en œuvre et maintenus 4.3. qui doit avoir conscience des enjeux Sécurité. La fréquence des revues est d'une fois par an. de sécurité. Revue de Direction du SMSI 5.3. Elles doivent porter sur : 5.4. et décrire quelles actions seront entreprises dans ce sens.2.3. De la qualité de sa préparation dépendra la qualité de l'exercice suivant.2. Les vulnérabilités.1. L'auditeur ne doit pas être la personne qui met en œuvre la Sécurité dans l'organisme.3.3.5/04/2011 Mise en oeuvre étape par étape | ISO 2… La sensibilisation et la formation s'applique aussi à l'ensemble des collaborateurs de l'organisme. Les modifications à mettre en œuvre dans la gestion des risques et des mesures de traitement des risques appropriées aux décisions prises.3.2. 5. Amélioration du SMSI itil.2. Éléments d'entrée du réexamen Afin de préparer la revue de Direction. Ce plan d'audit a pour objectifs de s'assurer que le SMSI et notamment les processus. 5. incident qui n'ont pas été traités et clôturés. en fonction des exigences business. Allouer les ressources nécessaires pour les cas ou le niveau actuel est insatisfaisant. les exigences. le Responsable Sécurité. A ce titre elle doit à minima une fois par an revoir le SMSI.1. 5.5. les procédures et mesures sont : 4. Sont réalisés tel que prévu dans le SMSI Chaque processus doit être passé en revue. des exigences légales et réglementaires.8. 5. Ces actions et décisions vont alimenter le prochain cycle PDCA.2. les méthodes de restitution des audits. Éléments de sortie du réexamen La revue de Direction doit impérativement produire dans le rapport de Revue les actions et décisions prises par la Direction par rapport aux éléments d'entrée. un déménagement. 6. C'est aussi l'occasion de fédérer les collaborateurs et le management sur un enjeu important pour l'entreprise. mais aussi aux contraintes légales et réglementaires 4. toutefois l'organisme peut revoir les processus plusieurs fois.4. Identifier les pistes qui permettraient d'améliorer la performance et l'efficience du SMSI. 5. 5. 5.5. Le rapport de revue de Direction est enregistrement de la Norme ISO/IEC 27001 et sera exigible lors d'un audit tierce partie. La revue de Direction est l'occasion de s'assurer que le SMSI est pertinent (adapté aux finalités de l'organisme). 5.2. La mise à jour des processus et procédures. 5. 5. Audits internes du SMSI L'organisme doit s'assurer que des audits internes sont planifiés à intervalle régulier et que le plan est accessible. Les résultats des audits de processus et des réexamens du SMSI. 5. doit collecter : 5.2. 5. sauf exception pour la première.2. Conformes aux dispositions décrites dans la norme ISO/IEC 27001.fr/…/isoiec-27001-mise-en-oeuvre-… 5/7 . selon son degré d'importance. Tous les changements pouvant avoir un impact sur le SMSI tel qu'un changement d'organisation interne.3. En clair elle statue sur l'efficacité annuelle du SMSI.1. 4.3. des obligations vis-à-vis des clients. 5.2.7. Les données de recommandation d'amélioration issues des constats sur le cycle PDCA précédent Lors de la revue de Direction tous ces éléments doivent être présentés et analysés par le Comité de Direction afin de produire les éléments de sortie de la Revue.4.2. Les audits internes doivent faire l'objet d'une procédure documentée incluant les responsabilités.2.9.1. Toutes les actions initiées suites aux revues de Direction antérieures. Analyser et préconiser des méthodes nouvelles pour valider l'efficacité du SMSI et de ses résultats (échantillonnage) La revue de Direction est une des dispositions les plus importantes de la norme ISO/IEC 27001 puisqu'elle clôture le cycle PDCA. une fusion. Conformes aux dispositions Sécurité décrites dans la Politique Sécurité 4. Généralités La Direction de l'organisme doit s'assurer de l'efficience du SMSI et des mesures de Sécurité et de Gestion des risques. menaces.2. Les résultats comparés aux objectifs visés qui permettront de définir l'efficacité du SMSI et des mesures de Sécurité mises en œuvre.

3. c'est à dire que l'action est efficace et que la non-conformité est durablement traitée. L'organisme qui met en œuvre ISO/IEC 27001 doit en conséquence améliorer en permanence le SMSI. telle que ISO/IEC 27001. les rapports d'audits. Isocèle Management de la sécurité Isocèle vous accompagne www. ainsi que leur cause. Enregistrer tout le cycle de vie de l'action corrective. Le SMSI ne déroge pas à cette règle qui garantie que l'amélioration continue sera entretenue par des revues régulière.fr/…/isoiec-27001-mise-en-oeuvre-… 6/7 . Vu: 4369 Envoyer par mail Bookmarker Ajouter aux favoris Rétrolien(0) Adresse URI pour un rétrolien sur cet article Commentaires (0) Flux RSS pour les commentaires Vous devez être enregistré pour écrire un commentaire.1.5. Évaluer les non-conformités et la nécessité d'entreprendre des actions pour les éradiquer et veiller à ce qu'elles ne réapparaissent pas. 6.4. 6. c'est à dire que l'action est efficace et que la nonconformité n'est pas apparue Les actions préventives interviennent en amont de la non-conformité. 6.2.2. La méthode pour s'assurer que les résultats de l'action préventive sont conformes aux attentes. Le choix et la mise en œuvre de l'action préventive.3. Amélioration du SMSI 6. c'est une action proactive.k eyword.3.3. Déterminer les causes des non-conformités et les enregistrer.2.co m alarmes sécurité Fonction même en dégroupage total Livraison 48h offerte en Franc e tike -se curite .3. il doit mettre en œuvre une procédure documentée qui définit les exigences en termes de traitement des actions préventives et qui prévoit : 6. Les actions correctives interviennent en aval de la non-conformité.2. 6. S'assurer que la vérification des résultats de l'action corrective sont conformes aux attentes.2.2. manquement à un processus) relevées dans le SMSI l'organisme doit documenter une procédure visant à : 6. A ce titre il doit utiliser tous les éléments à sa disposition et notamment la Revue de Direction. Pour les cas ou une action s'avère nécessaire. Amélioration continue Mise en oeuvre étape par étape | ISO 2… Concept fort des normes.3.4.2. la comparaison des résultats aux objectifs du SMSI.ne t Contrôle De Gestion Renc ontrez les entreprises qui recrutent votre profil ! www.com itil. Actions correctives Afin d'éliminer les causes des non-conformités (exemple : absence de procédure. Identifier chacune des non-conformités du SMSI.fr Sécurité des documents Lutter contre la contrefaçon et falsification des documents www. 6. les actions préventives et correctives relevées dans le fonctionnement du SMSI. 6. 6. 6. c'est une action réactive. 6.2. L'enregistrement de tout le cycle de vie de l'action préventive. le PDCA ou concept de la roue de DEMING suggère de statuer sur les résultats des processus et du système (ensemble des processus).5/04/2011 6.isocele . la mettre en œuvre.fr Séminaire ISIMAN GRC = Gouvernanc e + Risques + Conformité => Performanc e www.2. 6. L'identification des non-conformités potentielles.3.3. Action préventives Pour les cas ou l'organisme détecterait une non-conformité potentielle (c'est-à-dire qu'elle n'a pas eu lieu mais que cela pourrait être le cas).pro ofta g.1.5. 6.jo bfina nce .6. La méthode d'évaluation des non-conformités et la nécessité d'entreprendre des actions afin qu'elles ne se produisent pas.1.

FR .com Destructeur haut volume détruit vos archives.fr AIDE AVEC LE SITE RECOMMANDER CE SITE MENTIONS LÉGALES SIGNALER UN BUG CONTACT Référentiels PCA E-SCM UAT SASL-BISL M_O_R Référentiels ITIL ISO/IEC PRINCE2 COBIT CMMI Référentiels MOF SIX SIGMA LEAN SIX SIGMA AUTRES Ressources Livres blancs Templates Audit Webinars Forums Médias Newsletter Événements Presse Partenaires Méthodologie ITIL Processus ITIL Formation ITIL V2 Formation ITIL V3 Documents ITIL PDF Méthodologie ITIL © 2008-2011 ITIL.Tous droits réserv és ITIL® and PRINCE2® are registered trademarks of the Office of Government Commerce in the United Kingdom and other countries . vos classeurs jusqu'à 1 tonne/heure www.fr/…/isoiec-27001-mise-en-oeuvre-… 7/7 .jo bfina nce .Partage des Conditions Initiales à l'Identique 3.pro ofta g.0 Unported itil.FR is not the official ITIL site Creativ e Commons Paternité .intim us.ne t Mise en oeuvre étape par étape | ISO 2… www.ITIL.5/04/2011 www.

Sign up to vote on this title
UsefulNot useful