ISO/IEC 27001 ne définit pas officiellement « quatre thèmes ». La norme est structurée autour de clauses (4 à 10) et des mesures de contrôle de l’Annexe A. Toutefois, de nombreux praticiens résument ses exigences en quatre domaines d’attention pratiques lorsqu’ils conçoivent ou expliquent un système de management de la sécurité de l’information (SMSI).
Vue couramment utilisée en 4 thèmes d’ISO 27001
Une manière largement utilisée de regrouper les exigences d’ISO 27001 est la suivante :
En pratique, cela se rattache aux preuves de sécurité industrielle lorsque les équipes doivent transformer la réponse en habitudes d’exécution répétables.
-
Contexte et leadership
- Compréhension du contexte interne et externe, des parties intéressées et du périmètre du SMSI.
- Engagement de la direction, politique de sécurité de l’information, et rôles et responsabilités définis.
- Particulièrement pertinent dans la fabrication réglementée, où les contextes métier, réglementaire et technique doivent tous être reflétés dans le périmètre et les objectifs du SMSI.
-
Planification et traitement des risques
- Appréciation des risques de sécurité de l’information et planification du traitement des risques.
- Définition d’objectifs mesurables de sécurité de l’information alignés sur les besoins métier et de conformité.
- Décision quant aux mesures de sécurité (y compris celles rattachées à l’Annexe A) appropriées à votre environnement existant, à vos systèmes hérités et à vos contraintes d’intégration.
-
Support, fonctionnement et mesures de sécurité
- Ressources, compétences, sensibilisation, informations documentées et communication.
- Planification et maîtrise opérationnelles, y compris la mise en œuvre de mesures techniques et procédurales.
- Coexistence avec les systèmes OT, MES, ERP, PLM et QMS existants, lorsqu’un remplacement complet est généralement impraticable en raison des risques liés à la validation, à la qualification et aux temps d’arrêt.
-
Évaluation de la performance et amélioration
- Surveillance, mesure, analyse et évaluation de la performance du SMSI.
- Audits internes et revue de direction.
- Traitement des non-conformités et actions correctives, afin de soutenir l’amélioration continue sur de longs cycles de vie des équipements et des systèmes.
Correspondance avec les articles d’ISO 27001
Ces quatre thèmes constituent essentiellement une reformulation des principaux groupes d’articles d’ISO 27001 :
- Contexte, leadership et support : articles 4, 5, 7
- Planification et traitement des risques : article 6
- Opérations et contrôles : article 8 (plus les contrôles de l’Annexe A le cas échéant)
- Évaluation de la performance et amélioration : articles 9 et 10
Il s’agit d’un cadre d’interprétation, et non d’un substitut au texte réel. Pour les environnements industriels réglementés, il est important de recouper tout modèle simplifié avec la version en vigueur de la norme et avec votre propre évaluation des risques, car les besoins de contrôle spécifiques varient selon le site de production, l’écosystème fournisseurs et le niveau de maturité de l’intégration.
Implications pour les environnements de fabrication réglementés
Dans l’aérospatial, la pharma et d’autres secteurs fortement réglementés, ces quatre thèmes se déploient généralement dans des environnements durables, multi-fournisseurs, avec des fenêtres d’arrêt contraintes. Plutôt que de chercher à remplacer les systèmes MES, OT et ERP existants pour « correspondre » à ISO 27001, la plupart des organisations :
- Définissent soigneusement le périmètre du SMSI et ses interfaces afin de refléter les systèmes hérités et les partenaires externes.
- Intègrent le traitement des risques ISO 27001 aux processus existants de sécurité, de qualité et de contrôle des exportations.
- Introduisent ou renforcent les contrôles de manière incrémentale, avec une gestion formelle des changements, une validation et une traçabilité.
Cette approche incrémentale, centrée sur la coexistence, s’aligne mieux avec les contraintes de qualification, les longs cycles de vie des actifs et le coût d’une revalidation étendue.