top of page

Normes ISO plus spécifiques

Public·1 membre
Othmane Benselma
Othmane Benselma

Evaluation des autres risques liés au système de management de la SST

Bonjour, je suis nouveau sur le forum, j'ai la chance de lire plusieurs réponses suite à des problématiques posées par les participants, pour moi ce sont des orientations et des cours spécifiques sur des sous-chapitres des normes, merci beaucoup pour l’effort fournit.

J’ai une question SVP :

Outre l’évaluation des risques pour la SST, l’ISO 45001 implique de « déterminer et évaluer les autres risques liés à l’établissement, la mise en œuvre, le fonctionnement et la tenue à jour du système de management de la SST »

Quels sont ces autres risques?

Est-ce-que par exemple: La survenance d'une accident de travail ou bien une mauvaise réponse à une situation d'urgence (exp: incendie, ..) sont des risques liés au SMS puisque ils contribue à la perturbation des activités. (oui ou non)?

Dans cette exigence toujours j'ai confondu entre risque, cause et conséquence,


39 vues
Othmane Benselma
Othmane Benselma
02 may 2023

Oui, Merci beaucoup

AventeAvente
Avente

Question sur la revue indépendante (18.2.1)

Bonjour,

Nous avons une interrogation sur une exigence de l’ISO27001.

C’est concernant la notion de « indépendantes » du point ci-dessous :

18.2 Revue de la sécurité de l’information

18.2.1 Revue indépendante de la sécurité de l’information


28 vues
QQOQCP
QQOQCP
20 feb 2023

Bonjour Avente,


Premier élément de réponse : pas que... et non 😊


Voici un peu plus d’explications :


l'audit interne peut être l'un des éléments, mais ne peut être le seul, de cette revue.


  • le principe de cette revue, un peu comme la revue de Direction (certains organismes intègrent la revue de l'approche retenue dans la revue de Direction), est de prendre du recul par rapport à l'ensemble des éléments témoignant de la performance de l'approche en matière de sécurité de l'information. Cela doit donc intégrer les résultats, la conformité (l'audit interne donc), les évènements et leur traitement, le système déployé, etc, pour en valider l'adéquation.


  • si le RSSE que vous citez est l'équivalent de la personne en charge du système de management de la sécurité du système d'information (RSSI, Responsable Qualité, Officier de sécurité ou équivalent) il peut mener la revue, l'animer, mais pas seul. En effet, sa fonction est une résultante de "l'approche retenue" et il n'est pas possible d'en assurer l'indépendance. Cette revue doit donc "embarquer" d'autres fonctions décisionnelles ou consultatives internes et/ou externes qui seront à même, cas échéant, d'identifier des besoins de correction ou d'amélioration dans l'approche retenue, dans les responsabilités et compétences en œuvre et sur d'autres aspect encore.


  • cette exigence 18.2.1 devient, dans la version 2022 de la norme ISO 27001, l'exigence 5.35. Un peu plus explicite, elle impose désormais la révision plus que la revue. Cela n’a pas l’air de grand-chose, mais change légèrement ses interprétations possibles et rend son application un peu plus simple.


Très cordialement,

derer95653derer95653

Question d'organisation télétravail et ISO 27001

Bonjour, je suis chef d'entreprise et je sollicite votre aide au sujet du télétravail et de l'implication de celui-ci dans le respect de la norme ISO 27001.


Je souhaite savoir si certains d'entre vous ont mis en place une méthode efficace et respectueuse de la norme et du travail à distance.


En effet, nous ne pouvons pas être sur à 100% que des membres de la famille ou des amis/invités n'aient pas accès aux données de l'entreprise. C'est un risque de fuite d'informations ou de piratage via les box de mes salariés que je trouve énormes et je n'ai pas de solution.


Doit on interdire le télétravail pour certaines tâches ou certains postes ?


Merci

361 vues
Alètheia
Alètheia
16 dic 2021

Bonjour,


Voici notre retour d’expérience, accompagnant des clients dans leurs certification ISO 27001 et externalisant, pour plusieurs d’entre eux, la fonction en charge du système de management.


En fait d’efficacité et de respect des exigences de la norme ISO 27001, deux éléments sont à veiller plus particulièrement :


  • l’identification des risques et, entre autres, ceux liés à l’usage des postes nomades (exigences 6.1 et 8.2)

  • l’organisation de la sécurité du télétravail et de l’utilisation d’appareils mobiles, comprenant la politique et les mesures de sécurité complémentaires de l’utilisation des appareils mobiles, et la protection des informations consultées, traités ou stockées (exigences A.6.2.1 et A.6.2.2)


Il vous faut donc identifier, peser et maîtriser les risques et définir une politique appropriée (entendant ici la terminologie « politique » comme la définition de la stratégie et la définition des procédures ou règles).


L’accès aux données par les membres de la famille ou par toute personne étrangère à un.e salarié.e en télétravail, point que vous citez, est le haut de l’iceberg et il faudra prendre en considération les autres risques (vol d’un périphérique d’accès ou d’un poste opérateur au domicile du salarié, non sécurisation de sa liaison internet vers un système central, non sécurisation de sa connexion…).


Mais pour ce risque en particulier, les mesures efficaces sont donc de définir et communiquer, à chaque salarié en télétravail, les principes de détention et d’utilisation d’un périphérique (ordinateur, smartphone…), et d'intégrer, à ces principes et comme cela est le cas au sein de l’entreprise, les directives et les moyens lorsque nécessaire pour :


  • rappeler la confidentialité des informations (A.7.2.1) : le salarié n’a pas à «faire voir» ce sur quoi il travaille, encore moins en expliquant avec un sourire malicieux à quel point cela est confidentiel et qu’il ne devrait pas «faire voir» ce sur quoi il travaille… ou éviter d’utiliser son ordinateur sur l’écran 4K de 3m dans son salon pendant le brunch avec les voisins

  • maîtriser l’usage des supports amovibles (A.8.3.1 / A.8.3.3) : comme au bureau, on ne branche pas de clefs USB pour lire les photos du dernier voyage du cousin Albert ou pour recharger le smartphone du neveu…

  • conserver la confidentialité des informations de connexion (A.9.3.1) : il s’agit d’un actif de l’entreprise disposant d’une criticité vis-à-vis du système d’information et son usage ne peut être que professionnel et personne d’autre que l’utilisateur déclaré ne doit y a voir accès (les enfants iront regarder Netflix ailleurs, et, même s’il est insistant : le cousin Albert projettera les photos de son voyage ailleurs)

  • sécuriser les lieux si nécessaire (A.11.1.3), ainsi que les matériels : non utilisé, le périphérique est rangé, voir sécurité (rangé dans un lieu fermé ou une armoire fermée, avec un câble anti-vol…)

  • maintenir la politique de bureau propre (A.11.2.9), à la maison comme au bureau : rien ne traine sous aucune forme et l’écran est, à minima, verrouillé lorsque l’on n’est pas devant


Cela devrait déjà faire l’affaire et se révèle efficace.

    bottom of page