Clause 4 – Contexte de l’organisation

4.1 Compréhension de l’organisation et de son contexte

Info

L’organisation doit analyser son environnement interne et externe, en lien avec la sécurité de l’information.

Exemples de facteurs externes :

• Réglementations (RGPD, NIS2…)
• Environnement concurrentiel
• Fournisseurs cloud, sous-traitants

Facteurs internes :

• Structure organisationnelle
• Maturité SSI
• Ressources disponibles

4.2 Compréhension des besoins et attentes des parties intéressées

L’organisation doit identifier les parties intéressées pertinentes, telles que :

• Clients
• Fournisseurs
• Autorités de régulation
• Employés

Et déterminer leurs exigences applicables en matière de sécurité de l’information.

4.3 Détermination du domaine d’application du SMSI

Warning

Le périmètre doit être clairement défini et documenté, sans exclure arbitrairement des parties du SI.

À définir :

• Frontières physiques, logiques et organisationnelles
• Interfaces avec des systèmes externes
• Raisons des éventuelles exclusions

4.4 Système de management de la sécurité de l’information

Success

L’organisation doit établir, mettre en œuvre, maintenir et améliorer en continu un SMSI conforme aux exigences de l’ISO/IEC 27001.