Déclaration d’Applicabilité, document né de l'approche ISO-27001 : définitions, explications, utilisations

Devenez Lead Implementer ISO27001 certifié

 

La Déclaration d’Applicabilité (DdA, ou SOA pour Statement Of Applicability en anglais) est un document né du standard ISO/IEC27001, ou plus exactement de son prédécesseur britannique le standard BS 7799-2.

 

 

Il ne vous sera pas tenu rigueur de ne pas connaître l’existence de ce document (si, bien sûr, vous n’avez pas suivi un cursus de formation Lead Auditor ISO27001 ou Lead Implementer ISO27001 dans notre centre de formation). Ce document n’est pas indispensable à la mise en œuvre d’un processus de gestion de la sécurité : la sécurité du système d’information et son management ne sont pas apparus avec l’avènement de la suite ISO2700x et le standard ISO27001. Les organismes préoccupés par les aspects SSI travaillaient depuis longtemps à la protection du SI sans avoir pourtant mis au point de Déclaration d’Applicabilité.

 

 

Ce document est un document exigible à tout organisme orientant son management de la sécurité de l’information vers une démarche de conformité ou de certification au standard ISO27001. On verra dans la suite de cet article qu’il peut cependant s’avérer fort utile à toute personne ayant en charge la gestion de la sécurité et sa mise en œuvre.

 

 

 

Définitions

On trouve dans la version actuelle du standard ISO27001 plusieurs définitions ou descriptions de la DdA :

Le chapitre « Termes et définitions » propose la définition suivante : « DdA : Déclaration documentée décrivant les objectifs de sécurité, ainsi que les mesures appropriées et applicables au SMSI d'un organisme. »

Une note précise cette définition de la façon suivante : « les objectifs de sécurité et les mesures de sécurité proprement dites sont basés sur les résultats et les conclusions des processus de l'appréciation du risque et de traitement du risque, les exigences légales ou réglementaires, les obligations contractuelles et les exigences métier de l'organisme, relatives à la sécurité de l'information ».

 

Le chapitre « Etablissement du SMSI » ISO27001 chap. 4.2.1 approfondit cette définition :

Une DdA doit être élaborée et inclure les informations suivantes :

  • 1) les objectifs de sécurité et les mesures de sécurité sélectionnés et les raisons pour lesquelles ils ont été sélectionnés ;
  • 2) les objectifs de sécurité et les mesures de sécurité actuellement mis en œuvre;
  • 3) l'exclusion des objectifs de sécurité et des mesures de sécurité spécifiés à l'annexe A et la justification de leur exclusion.

Une note précise  que la DdA fournit un résumé des décisions concernant le traitement du risque et que la justification des exclusions prévoit une contre-vérification qui permet d'assurer qu'aucune mesure n'a été omise par inadvertance.

 

 

 

Formalisme d’une Déclaration d’Applicabilité

La forme n’est pas réellement imposée par le standard. On trouvera généralement les éléments suivants :

Objectifs de sécurité et Mesures appropriées et applicables

  • Tirés de l’Annexe A de l’ISO27001
  • ou d’autres sources (référentiel national, référentiel interne, …)

Leur statut

  • Sélection ou exclusion
  • Leur état de mise en œuvre par exemple : «  cible » et « opérationnel »

 

 

 

La DDA peut être complétée par d’autres informations comme par exemple un résumé des décisions concernant le traitement des risques et éventuellement les risques couverts. Exemple de Déclaration d’Applicabilité :

 

Exemple de DdA

 

 

 

 

Utilisation du document

La Déclaration d’Applicabilité a, selon notre expérience, différents usages au sein du système de management de la sécurité. Sa forme et son utilisation peuvent évoluer selon que le SMSI est en cours d’implémentation ou en exploitation

 

Lors de la phase d’implémentation :

Elle peut servir de road book dans le suivi d’implémentation.

 

Lorsque le SMSI est défini et en cours d’exploitation : 

  • Elle fournit une vue synthétique des mesures retenues au sein du système de management, complétant ainsi la vision plus opérationnelle des Politiques de Sécurité.
  • Elle permet de démontrer la cohérence de la démarche globale :

(Risques) vs (Stratégie de traitement) vs (Mesures & Contrôles)

  • Elle peut servir de référentiel interne dans le cadre du suivi du SMSI, et en particulier pour l'audit interne, en constituant la trame de départ de l’arborescence du référentiel documentaire par exemple.

 

Pour la certification ISO27001, elle est un document indispensable à la revue documentaire et sera donc exigée par l’équipe d’audit.

 

 

JLS, le 14/02/2011