Déclaration d'Applicabilité ISO 27001 : Guide complet
Introduction
La Déclaration d'Applicabilité (DdA) est le document le plus important d'une implémentation ISO 27001. Elle relie votre évaluation des risques aux contrôles implémentés et sert de référence principale pour les auditeurs.
Qu'est-ce que la Déclaration d'Applicabilité ?
La DdA est formellement requise par ISO 27001 Clause 6.1.3(d). Elle doit documenter pour chacun des 93 contrôles de l'Annexe A : Applicabilité, Justification d'inclusion, Statut d'implémentation et Modalité d'implémentation.
Les trois décisions pour chaque contrôle
Décision 1 — Est-il applicable ? Les exclusions doivent être justifiées. Décision 2 — Pourquoi est-il inclus ? Liez chaque contrôle applicable à un risque, une exigence légale ou une obligation contractuelle. Décision 3 — Quel est le statut ? Planifié, En cours ou Implémenté.
Construction de votre Déclaration d'Applicabilité
Étape 1 : Commencer par le plan de traitement des risques. Étape 2 : Ajouter les contrôles des exigences légales. Étape 3 : Examiner les contrôles restants. Étape 4 : Documenter soigneusement les exclusions. Étape 5 : Obtenir l'approbation de la direction.
Erreurs courantes de DdA qui échouent aux audits
Justifications génériques : 'N/A' sans explication est un signal d'alerte. Déconnexion du registre des risques : Contrôles sans lien avec des risques spécifiques. Rapport de statut optimiste : Marquer des contrôles comme 'implémentés' alors qu'ils sont partiels. Document statique : Ne pas mettre à jour lors des changements.
Maintenir la DdA à jour
La DdA doit être révisée au minimum annuellement et lors de changements significatifs : nouveaux services, nouveaux risques, changements de statut des contrôles ou constatations d'audit.
Traitez la révision de DdA comme point fixe de votre revue SMSI trimestrielle.
Points clés
La DdA est l'épine dorsale de votre SMSI ISO 27001. Une DdA de haute qualité accélère la certification, simplifie les audits de surveillance et fournit une feuille de route pour l'amélioration.
Prêt à estimer vos coûts ISO 27001 ?
Utilisez notre calculateur gratuit pour obtenir une estimation personnalisée des coûts, de l'effort et du calendrier basée sur votre profil d'entreprise.