BG Beter Geregeld ICT
Compliance · 2 min leestijd · 03 octobre 2025

Qu'est-ce qu'un ISMS et par où commencer ?

Information Security Management System — cela semble plus complexe que ça ne l'est. Pour une PME, il s'agit d'un ensemble de documents et de routines, pas d'une plateforme à installer.

ISMS = Information Security Management System. En résumé : votre façon de travailler sur la sécurité de l'information, documentée et maintenue. Ce n'est pas un logiciel. C'est une manière de penser et d'agir.

\n \n

Les cinq piliers

\n
    \n
  1. Périmètre. Que couvre votre ISMS ? L'ensemble de l'entreprise, une business unit spécifique, certaines données uniquement ? Cela se définit avant tout le reste.
    2. \n
  2. Couche politique. 8 à 12 documents (politique de sécurité, contrôle d'accès, réponse aux incidents, usage acceptable, …). Environ 40 à 80 pages au total.
    3. \n
  3. Gestion des risques. Un registre des risques avec les risques, le responsable, la mesure et le risque résiduel. Voir gestion des risques.
    4. \n
  4. Contrôles. Le sous-ensemble de l'Annexe A que vous mettez en œuvre. La Déclaration d'Applicabilité (SoA) en est la vue d'ensemble.
    5. \n
  5. Cycle PDCA. Plan, Do, Check, Act. Cela semble ambitieux, mais en pratique : revues, audits, revue de direction, retours d'expérience.
    6. \n
\n \n

Par où commencer ?

\n
    \n
  1. Définir le périmètre (1 jour).
    2. \n
  2. Analyse des écarts par rapport à l'Annexe A (1 à 3 jours).
    3. \n
  3. Registre des risques, première version (2 jours).
    4. \n
  4. Politique de contrôle d'accès + A.9 (1 semaine jusqu'aux preuves).
    5. \n
  5. Reste des politiques (2 à 4 semaines, en parallèle avec la collecte de preuves).
    6. \n
\n \n

Le piège : la perfection

\n

Votre ISMS n'a pas besoin d'être parfait. Il doit fonctionner et être démontrable. La version 1 de vos politiques peut être à 80 %. L'amélioration fait partie du cycle PDCA — il est tout à fait normal de les réviser chaque année.

\n \n

Voir aussi : pilier ISO 27001, le cycle PDCA expliqué.

Onderwerpen

#governance #iso-27001 #isms

Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 pour les PME sans 50 000 € de consultants

ISO 27001 est tout à fait accessible quand on en comprend la structure. Voici le travail minimum qu'une PME de 30 personnes doit fournir pour réussir un audit Stage 2, ce que ça coûte, et les cas où un consultant apporte vraiment de la valeur.

2 min
Compliance

Coûts ISO 27001 : de la première analyse d'écart au certificat

Budget réaliste pour une PME de 30 personnes. Heures internes, audit externe, consultance (au strict minimum), maintenance annuelle. Sans langue de bois.

2 min
Compliance

ISO 27001 ou SOC 2 ? Lequel convient à votre PME néerlandaise ?

ISO 27001 est orienté Europe, SOC 2 est américain. Lequel vos clients exigent-ils ? Peut-on les combiner ? Voici les différences concrètes pour une PME.

2 min
Compliance

NEN 7510 pour les entrepreneurs du secteur de la santé : un niveau au-dessus d'ISO 27001

Vous travaillez dans ou avec le secteur de la santé ? Alors NEN 7510, en complément (ou à la place) d'ISO 27001, est une réalité. Le chevauchement est important ; les différences portent sur les données patients et des contrôles d'annexe spécifiques.

2 min
Compliance

La revue de direction : que doit-elle contenir et qui y participe ?

L'une des exigences de la section 9 de l'ISO 27001. Une fois par an, avec la direction, 2 heures. Voici l'ordre du jour qu'un auditeur accepte et qui vous sera utile comme guide pratique.

2 min
Compliance

Le cycle PDCA expliqué pour les dirigeants

Plan-Do-Check-Act semble bureaucratique. En pratique, c'est simple : notez ce que vous faites, faites-le, vérifiez si ça fonctionne, ajustez. Voici l'explication la plus courte qui soit vraiment utile.

2 min
← Alle artikelen in "Compliance"