Le contrôle A.5.1 de l'annexe A de la norme ISO 27001:2022 constitue le fondement de l'ensemble de votre système de gestion de la sécurité de l'information. Il exige que votre organisation définisse, approuve, publie et communique un ensemble de politiques de sécurité de l'information, et les révise à intervalles réguliers ou lorsque des changements importants surviennent.
Si vous réussissez le point A.5.1, toutes les autres mesures de contrôle de l'annexe A seront plus faciles à mettre en œuvre. Si vous échouez, les auditeurs signaleront des lacunes dans l'ensemble de votre SMSI.
Que requiert le contrôle A.5.1 ?
L'exigence formelle de l'annexe A de la norme ISO 27001:2022 stipule :
A.5.1 — Politiques en matière de sécurité de l'information : un ensemble de politiques en matière de sécurité de l'information doit être défini, approuvé par la direction, publié, communiqué au personnel concerné et aux parties intéressées, et reconnu par ceux-ci, puis révisé à intervalles réguliers ou en cas de changements importants.
Concrètement, cela signifie que vous avez besoin :
Pourquoi A.5.1 est important
A.5.1 est souvent le premier contrôle examiné par les auditeurs, car il donne le ton à l'ensemble de votre SMSI. Voici pourquoi il est essentiel :
Mise en œuvre étape par étape
Étape 1 : Définissez votre hiérarchie de politiques
Commencez par une approche par étapes :
La plupart des organisations ont besoin de 8 à 15 politiques spécifiques à un sujet donné. Ne créez pas de politiques pour le simple plaisir de le faire : chacune d'entre elles doit correspondre aux risques identifiés dans votre évaluation des risques.
Étape 2 : Rédigez des politiques alignées sur votre registre des risques.
Pour chaque politique spécifique à un sujet, mentionnez les risques auxquels elle s'applique. Une bonne politique comprend :
Étape 3 : Obtenir l'approbation de la direction
La norme ISO 27001 exige explicitement l'approbation de la direction. Cela signifie :
Étape 4 : Communiquer et obtenir une confirmation
Il ne suffit pas de rédiger des politiques. Vous devez prouver que les personnes concernées les ont reçues et comprises :
Étape 5 : Planifier et effectuer les révisions
Définissez une fréquence de révision — au moins une fois par an, ou déclenchée par :
Consignez chaque révision, même si aucune modification n'a été apportée. Les auditeurs veulent voir que vous avez activement examiné la nécessité d'effectuer des mises à jour.
Preuves requises pour les auditeurs
Lorsque l'auditeur chargé de la certification examine le point A.5.1, il vérifie les éléments suivants :
PreuvesCe que cela prouvePolitique de sécurité de l'information de haut niveau (signée, datée)Engagement de la direction et orientation stratégiqueEnsemble de politiques spécifiques à un sujetCouverture des domaines pertinents de l'annexe ARegistres d'approbation des politiques (signatures, procès-verbaux de réunion)Approbation formelle de la directionJournal des communications / registres de distributionLes politiques ont été communiquées au personnel concernéRegistres de reconnaissance (formulaires signés, confirmations numériques)Le personnel a reçu et accepté les politiquesRegistres d'examen avec dates et résultatsLes politiques sont maintenues et à jourHistorique des versions / journal des modificationsGestion contrôlée des documents
Pièges courants
Comment ISMS Copilot peut vous aider
ISMS Copilot accélère la mise en œuvre de la norme A.5.1 en :
Au lieu de passer des semaines à rédiger des politiques à partir de zéro, les équipes qui utilisent ISMS Copilot parviennent généralement à finaliser l'ensemble de leurs politiques en quelques jours.
Commandes associées
A.5.1 est directement lié à plusieurs autres contrôles de l'annexe A :
Foire aux questions
Combien de politiques de sécurité de l'information dois-je mettre en place pour la norme ISO 27001 ?
Il n'y a pas de nombre fixe. La norme ISO 27001 exige une politique de sécurité de l'information de haut niveau ainsi que des politiques spécifiques à votre organisation. La plupart des entreprises mettent en œuvre entre 8 et 15 politiques spécifiques. L'essentiel est que vos politiques couvrent les risques identifiés dans votre évaluation des risques et les contrôles de l'annexe A de votre déclaration d'applicabilité. Une start-up de 20 personnes aura besoin de moins de politiques qu'une entreprise de 5 000 personnes.
À quelle fréquence les politiques de sécurité de l'information doivent-elles être révisées ?
La norme ISO 27001 exige des révisions à « intervalles réguliers » ; la plupart des organisations fixent un cycle de révision annuel. Cependant, vous devez également réviser vos politiques lorsque des changements importants surviennent : incident de sécurité majeur, restructuration organisationnelle, nouvelles réglementations ou modifications de votre infrastructure technologique. Documentez chaque révision, même si aucun changement n'est apporté, afin de démontrer votre conformité continue.
Puis-je utiliser des modèles de politique pour la norme ISO 27001 A.5.1 ?
Les modèles constituent un point de départ utile, mais ils doivent être personnalisés afin de refléter les activités réelles, le profil de risque et le contexte de votre organisation. Les auditeurs recherchent des politiques spécifiques et applicables, et non des documents génériques pouvant s'appliquer à n'importe quelle entreprise. Des outils tels que ISMS Copilot génèrent des ébauches personnalisées en fonction de vos informations spécifiques, ce qui permet de gagner du temps tout en garantissant la pertinence.