Exigences – Synthèse opérationnelle (version détaillée)
Introduction
Cette matrice fournit une vue granulaire et actionnable des exigences ISO/IEC 27001:2022.
Elle est conçue comme un outil de préparation d’audit pour RSSI et responsables conformité.
| Clause / Annexe A | Exigence | Responsable | Preuves attendues | Outils | Échéance |
|---|---|---|---|---|---|
| 4.1 | Compréhension de l’organisation | Direction / RSSI | Analyse de contexte, SWOT, registre SI | SWOT, cartographie SI | Initial + annuel |
| 4.2 | Parties intéressées | RSSI / Juridique | Registre parties prenantes | Confluence, Obsidian | Annuel |
| 4.3 | Définition du périmètre | COMEX / RSSI | Document périmètre SMSI, schéma SI | GED, CMDB | Initial + révision annuelle |
| 5.1 | Leadership et engagement | COMEX | Politique SSI validée, décisions formalisées | Intranet, PV comités | Annuel |
| 5.2 | Politique de sécurité | COMEX / RSSI | Politique publiée et diffusée | GED, intranet | Révision annuelle |
| 6.1 | Actions face aux risques/opportunités | RSSI | Registre risques/opportunités | ISO 27005, EBIOS RM | Annuel + après incident |
| 6.2 | Objectifs de sécurité | Direction / RSSI | KPI SSI, objectifs documentés | PowerBI, tableaux de bord | Annuel |
| 6.3 | Planification des changements | DSI / RSSI | PV CAB, fiches projet SSI | ITSM, CAB | Permanent |
| 7.1 | Ressources | COMEX / DAF | Budgets SSI, fiches de poste | ERP, GED | Annuel |
| 7.2 | Compétences | RH / RSSI | Plans de formation, registres compétences | LMS, phishing tests | Annuel |
| 7.3 | Sensibilisation | RH / RSSI | Registres formations, taux phishing | LMS, KnowBe4 | Trimestriel |
| 7.4 | Communication | RSSI / COM | Plan communication SSI, registres diffusion | Intranet | Permanent |
| 7.5 | Gestion documentaire | RSSI | GED centralisée, versioning | Confluence, SharePoint | Permanent |
| 8.1 | Planification et contrôle opérationnel | RSSI / DSI | Procédures SSI, SoA appliqué | ITSM, GRC | Permanent |
| 8.2 | Appréciation des risques | RSSI | Registre risques, matrices | EBIOS RM, ISO 27005 | Annuel |
| 8.3 | Traitement des risques | RSSI / COMEX | Plan de traitement validé | GRC, Excel | Annuel |
| 9.1 | Surveillance, mesure, analyse | RSSI | KPI SSI suivis | PowerBI, SIEM | Mensuel |
| 9.2 | Audit interne | Auditeur interne | Rapports audit, plans correctifs | GRC, Excel | Annuel |
| 9.3 | Revue de direction | COMEX | PV, décisions, budgets | GED, Intranet | Annuel |
| 10.1 | Non-conformité & action corrective | RSSI | Registre NC, actions correctives | GRC, ITSM | Permanent |
| 10.2 | Amélioration continue | COMEX / RSSI | Rapports REX, indicateurs PDCA | GED, dashboards | Permanent |
| A.5.1–A.5.10 | Gouvernance & politiques | COMEX / RSSI | Politiques, comités, SoA | GED, SIEM | Permanent |
| A.5.11–A.5.20 | Fournisseurs & contrats | Juridique / RSSI | Clauses SSI, SLA, audits tiers | GRC, SIEM | Contrats + annuels |
| A.5.21–A.5.37 | Conformité & projets | RSSI / PMO | SoA, fiches projets, conformité légale | GRC, ITSM | Permanent |
| A.6.1–A.6.7 | Mesures humaines | RH / RSSI | Dossiers RH, chartes, registres formation | LMS, phishing tests | Embauche + annuel |
| A.7.1–A.7.14 | Mesures physiques | Facility manager / RSSI | Registres visiteurs, vidéosurveillance | Badgeuse, CCTV | Permanent |
| A.8.1–A.8.34 | Mesures technologiques | DSI / RSSI | Configs systèmes, sauvegardes, logs | SIEM, EDR, SOC | Permanent + audits |
Conclusion
Cette matrice améliorée n’est pas une simple synthèse : c’est un outil de travail pour auditeurs et RSSI.
Elle permet :
- D’identifier clairement les responsables par exigence.
- De vérifier la disponibilité des preuves d’audit.
- De suivre les fréquences obligatoires.
- De comparer avec d’autres cadres (NIS2, RGPD, DORA, PCI DSS).
👉 Résultat : un véritable plan de pilotage du SMSI utilisable immédiatement.