Invites de documentation et de rapport ISO 27001

Vue d'ensemble

Vous aurez accès à des invites complètes pour créer la documentation ISO 27001 et les rapports de gestion en utilisant ISMS Copilot, depuis la documentation obligatoire de l'ISMS jusqu'aux tableaux de bord exécutifs qui démontrent l'efficacité du programme de sécurité.

À qui s'adresse ceci

Ces invites sont destinées à :

• Les équipes conformité construisant des bibliothèques de documentation ISO 27001

• Les responsables sécurité créant des rapports et tableaux de bord exécutifs

• Les consultants élaborant des dossiers de documentation pour les clients

• Les organisations préparant des preuves pour les réunions de revue de direction

Avant de commencer

Invites pour la documentation obligatoire de l'ISMS

Créer la déclaration de périmètre de l'ISMS (Clause 4.3)

"Rédigez une déclaration de périmètre de l'ISMS conforme à la Clause 4.3 de l'ISO 27001:2022. Incluez : les limites du périmètre (unités commerciales, sites, systèmes, processus inclus), les exclusions spécifiques avec justification, les interfaces et dépendances avec les zones exclues, la raison du périmètre défini en cohérence avec l'activité, les enjeux externes et internes pris en compte (issus de l'analyse de contexte), les parties intéressées et leurs exigences prises en compte, ainsi que l'applicabilité du périmètre aux infrastructures physiques et cloud. Assurez-vous que le périmètre soit précis, mesurable et auditable pour [description de l'organisation]."

Exemple : "Rédigez une déclaration de périmètre de l'ISMS pour une fintech comptant 150 employés répartis dans des bureaux en UE et aux USA. Le périmètre inclut : la plateforme de paiement client, les systèmes internes, l'infrastructure cloud (AWS), mais exclut le développement de produits physiques et les partenariats commerciaux au détail."

Documenter le contexte et les parties intéressées (Clauses 4.1-4.2)

"Créez une documentation du contexte de l'ISMS selon les Clauses 4.1-4.2 de l'ISO 27001:2022. Documentez : les enjeux externes affectant la sécurité de l'information (environnement réglementaire, menaces concurrentielles, tendances technologiques, risques de chaîne d'approvisionnement), les enjeux internes (stratégie d'entreprise, culture organisationnelle, contraintes de ressources, systèmes hérités), les parties intéressées (clients, régulateurs, employés, fournisseurs, partenaires, actionnaires), les exigences des parties intéressées (attentes en sécurité, obligations de conformité, engagements contractuels), et la façon dont le périmètre de l'ISMS couvre ces contextes. Présentez sous forme de rapport d'analyse de contexte."

Définir les rôles et responsabilités (Clause 5.3)

"Documentez les rôles organisationnels et responsabilités de l'ISMS selon la Clause 5.3 de l'ISO 27001:2022. Créez : la structure de gouvernance ISMS (lignes de reporting, comités), les définitions de rôles avec responsabilités sécurité (direction exécutive, CISO/équipe sécurité, opérations IT, RH, juridique, unités métier, tous les employés), l'autorité et la responsabilité pour chaque rôle, une matrice RACI pour les activités clés ISMS (évaluation des risques, mise en œuvre des contrôles, réponse aux incidents, audits, revue de direction), et l'intégration avec la structure organisationnelle globale. Assurez-vous que la responsabilité de la direction soit claire."

Documenter la méthodologie d'évaluation des risques (Clause 6.1.2)

"Créez une documentation de la méthodologie d'évaluation des risques pour la Clause 6.1.2 de l'ISO 27001:2022. Incluez : l'approche et les principes d'évaluation des risques, la méthodologie d'identification des actifs, l'approche d'analyse des menaces et vulnérabilités, les critères de risque (échelle de probabilité avec définitions, échelle d'impact multicritères, matrice d'évaluation et seuils d'acceptation), la méthodologie de calcul des risques (formule, qualitatif vs quantitatif), la fréquence et les déclencheurs d'évaluation, les rôles et responsabilités, et la façon dont la méthodologie garantit des résultats cohérents, reproductibles et comparables. Documentez la méthodologie avant de réaliser l'évaluation réelle des risques."

Créer la Déclaration d'Applicabilité (Clause 6.1.3d)

"Générez la Déclaration d'Applicabilité (SoA) pour l'ISO 27001:2022 couvrant les 93 contrôles de l'Annexe A. Pour chaque contrôle : numéro et titre du contrôle, statut d'applicabilité (Applicable, Non Applicable, Partiellement Applicable), justification basée sur l'évaluation des risques (référence aux ID des risques spécifiques), statut et approche de mise en œuvre, responsable propriétaire, preuve disponible pour vérification d'audit, et justification des exclusions pour les contrôles non applicables. Organisez par thèmes de l'Annexe A (Organisationnel, Humain, Physique, Technologique). Assurez-vous que chaque décision concernant un contrôle est clairement justifiée."

Documenter les objectifs de sécurité (Clause 6.2)

"Définissez et documentez les objectifs de sécurité de l'information pour la Clause 6.2 de l'ISO 27001:2022. Pour chaque objectif : résultat de sécurité spécifique à atteindre, alignement sur les objectifs d'affaires et le traitement des risques, critères mesurables et valeurs cibles (KPI), ressources nécessaires, responsable propriétaire, échéancier de réalisation, approche de suivi et mesure, et fréquence de reporting. Assurez-vous que les objectifs soient SMART (Spécifiques, Mesurables, Atteignables, Réalistes, Temporellement définis) et traitent les principaux risques identifiés lors de l'évaluation des risques."

Invites pour la documentation du système de management

Créer le manuel ou aperçu de l'ISMS

"Rédigez un Manuel ISMS fournissant un aperçu de notre système de management de la sécurité de l'information. Incluez : objectif et périmètre de l'ISMS, contexte organisationnel et parties intéressées, structure de gouvernance ISMS, déclaration de périmètre, politique de sécurité de l'information, approche de gestion des risques, aperçu du cadre de contrôles, structure et références de la documentation, rôles et responsabilités, et cycle de vie de l'ISMS (Planifier-Faire-Vérifier-Agir). Public cible : direction, auditeurs, et parties prenantes nécessitant un aperçu ISMS. Longueur : 10-15 pages."

Concevoir le système de contrôle documentaire (Clause 7.5)

"Créez la procédure de contrôle des documents et enregistrements conforme à la Clause 7.5 de l'ISO 27001:2022. Définissez : catégories et classification des documents, cycle de vie des documents (création, revue, approbation, distribution, révision, archivage, destruction), gestion des versions et suivi des modifications, autorités d'approbation selon les types de documents, distribution et contrôles d'accès aux documents, calendriers de revue et déclencheurs, durées de conservation des enregistrements par type, stockage et protection des enregistrements, et système ou référentiel de gestion documentaire. Assurez-vous que les documents contrôlés soient identifiables et protégés contre toute modification non autorisée."

Construire les dossiers de compétence et de sensibilisation (Clauses 7.2-7.3)

"Créez un système de documentation pour la compétence et la sensibilisation selon les Clauses 7.2-7.3 de l'ISO 27001:2022. Documentez : exigences de compétence par poste (éducation, expérience, compétences, formations), dossiers d'évaluation et de vérification des compétences, plans et programmes de formation, dossiers d'achèvement des formations, preuves du programme de sensibilisation à la sécurité, mesure de l'efficacité de la sensibilisation, lacunes de compétences et plans de développement, et vérification des compétences des sous-traitants/tierces parties. Assurez-vous de pouvoir démontrer une compétence appropriée pour tous les rôles ISMS."

Invites pour la documentation opérationnelle

Créer des documents de planification opérationnelle (Clause 8.1)

"Développez la documentation de planification et de contrôle opérationnels pour la Clause 8.1 de l'ISO 27001:2022. Créez : plan de projet de mise en œuvre ISMS (phases, jalons, ressources), feuille de route de mise en œuvre des contrôles, plan de traitement des risques avec échéanciers et responsables, allocation des ressources (budget, effectifs, outils), intégration aux processus métiers, critères de performance et d'acceptation, et approche de gestion des changements pour le déploiement ISMS. Assurez-vous que les plans traitent la manière d'atteindre les objectifs de sécurité et de mettre en œuvre le traitement des risques."

Documenter la mise en œuvre des contrôles

"Créez un modèle standardisé de documentation pour la mise en œuvre des contrôles. Pour chaque contrôle de l'Annexe A mis en œuvre, documentez : objectif et exigence du contrôle, approche de mise en œuvre (comment nous satisfaisons à l'exigence), détails techniques et opérationnels, systèmes et outils impliqués, rôles et responsabilités, procédures opérationnelles, suivi et mesure, preuves disponibles, date de mise en œuvre, et limitations ou écarts connus avec contrôles compensatoires. Utilisez ce modèle pour documenter uniformément les 93 contrôles de l'Annexe A."

Construire une bibliothèque de runbooks

"Créez des runbooks opérationnels pour les opérations de sécurité couvrant les contrôles ISO 27001. Pour chaque processus [exemple : 'provisionnement des accès utilisateurs', 'réponse aux incidents', 'restauration des sauvegardes'], incluez : aperçu et déclencheur du processus, instructions pas à pas avec points de décision, rôles et responsabilités, outils et accès systèmes nécessaires, délais attendus et SLA, contrôles qualité et vérification, procédures d'escalade, guide de dépannage, processus et transferts liés, ainsi que la documentation/enregistrements à maintenir. Formatez pour exécution cohérente par les équipes opérationnelles."

Invites pour la documentation de gestion des risques

Créer le registre des risques

"Générez un registre des risques complet pour ISO 27001:2022. Incluez des colonnes pour : ID risque, actif impacté, propriétaire de l'actif, description de la menace, vulnérabilité, contrôles existants, probabilité (1-5 avec justification), impact (1-5 avec justification), score du risque inhérent, option de traitement (atténuer/éviter/transférer/accepter), contrôles sélectionnés (références Annexe A), état de mise en œuvre, score du risque résiduel, propriétaire du risque, date de revue et statut d'approbation. Remplissez avec les risques identifiés lors de notre évaluation des risques pour [organisation/périmètre]. Incluez statistiques sommaires et faits saillants des risques majeurs."

Documenter le plan de traitement des risques

"Créez un plan de traitement des risques documentant la manière dont nous allons gérer les risques identifiés selon la Clause 6.1.3 de l'ISO 27001:2022. Pour chaque risque nécessitant un traitement : description et score actuel du risque, option de traitement choisie avec justification, contrôles spécifiques à mettre en œuvre (références Annexe A), approche et jalons de mise en œuvre, responsable et ressources nécessaires, date cible d'achèvement, risque résiduel attendu, critères de succès, et signatures d'approbation. Organisez par priorité avec les risques critiques et élevés en premier. Incluez un résumé exécutif de la stratégie de traitement et des besoins en ressources."

Construire un registre d'acceptation des risques

"Créez un registre d'acceptation des risques pour les risques que nous choisissons d'accepter plutôt que de traiter. Pour chaque risque accepté : description et score du risque, justification métier pour l'acceptation (pourquoi le traitement n'est pas poursuivi), confirmation que le risque est dans le seuil d'appétence au risque, contrôles compensatoires ou surveillance en place, conditions déclenchant une réévaluation, approbation d'acceptation (qui l'a approuvée et quand), période de validité de l'acceptation (date de revue), et conséquences potentielles acceptées. Assurez-vous que toutes les acceptations disposent d'une autorisation de la direction appropriée."

Invites pour la documentation de performance et de surveillance

Définir les métriques de performance de l'ISMS (Clause 9.1)

"Concevez un cadre de surveillance et de mesure pour l'ISMS selon la Clause 9.1 de l'ISO 27001:2022. Définissez : ce qu'il faut mesurer (objectifs de sécurité, efficacité des contrôles, performance des processus), comment mesurer (métriques, KPI, méthodes de mesure), quand mesurer (fréquence, calendrier), qui mesure (rôles responsables), comment analyser (tendances, seuils, références), comment rapporter (tableaux de bord, rapports, revue de direction), et déclencheurs d'action corrective. Créez une bibliothèque de métriques couvrant : tendances des risques, métriques d'incidents, gestion des vulnérabilités, contrôle d'accès, succès des sauvegardes, complétion de formation, résultats d'audit, et efficacité des contrôles."

Créer un tableau de bord KPI

"Concevez un tableau de bord KPI de sécurité pour les rapports exécutifs. Incluez les catégories de métriques : Posture de sécurité (tendances du score de risque, état de mise en œuvre des contrôles, résultats d'audit), Performance opérationnelle (temps de réponse aux incidents, temps de remédiation des vulnérabilités, taux de succès des sauvegardes, conformité aux correctifs), Statut de conformité (complétion des formations, reconnaissance des politiques, revues d'accès complétées), Gestion des menaces (événements de sécurité, détections de menaces, attaques bloquées), et Impact sur l'entreprise (incidents de sécurité causant des interruptions, risque de fuite de données, conformité réglementaire). Pour chaque métrique : valeur actuelle, cible, tendance, et indicateur de statut (rouge/jaune/vert)."

Documenter le programme d'audit interne (Clause 9.2)

"Créez la documentation du programme d'audit interne pour la Clause 9.2 de l'ISO 27001:2022. Incluez : objectifs et périmètre d'audit (toutes les zones ISMS dans le cycle d'audit), calendrier annuel des audits, critères d'audit (exigences ISO 27001:2022), sélection des auditeurs et exigences d'indépendance, méthodologie d'audit (entretiens, revue documentaire, tests techniques, échantillonnage), processus de planification d'audit, procédures d'exécution d'audit, gradation des non-conformités (majeures, mineures, observations), format et distribution des rapports d'audit, suivi des actions correctives, procédures d'audit de suivi, et exigences de compétence des auditeurs."

Créer un modèle de rapport d'audit

"Concevez un modèle de rapport d'audit interne pour les audits de conformité ISO 27001. Incluez des sections pour : résumé exécutif (évaluation globale, constats clés, conclusion), détails de l'audit (périmètre, critères, date, auditeurs, audités), méthodologie, zones examinées avec constats, conformités et bonnes pratiques observées, non-conformités par gravité avec preuves, observations et recommandations, exigences d'actions correctives, conclusion et avis sur l'efficacité de l'ISMS, et liste de distribution. Assurez-vous que les rapports communiquent clairement le statut de conformité et les actions requises."

Invites pour la documentation de revue de direction

Créer l'agenda de revue de direction (Clause 9.3)

"Concevez l'agenda de la réunion de revue de direction selon la Clause 9.3 de l'ISO 27001:2022 couvrant tous les apports et résultats requis. Points à l'ordre du jour : état des actions de la précédente revue, changements des enjeux externes et internes, retour sur la performance de l'ISMS (métriques, KPI), atteinte des objectifs de sécurité de l'information, résultats des évaluations et traitements des risques, résultats des audits (interne et externe), non-conformités et actions correctives, résultats de la surveillance et mesure, retours des parties intéressées, opportunités d'amélioration, adéquation des ressources, et changements nécessaires à l'ISMS. Allouez un temps pour chaque point et spécifiez les présentateurs et supports requis."

Préparer le dossier de revue de direction

"Créez un dossier de présentation pour la revue de direction de [trimestre/période]. Incluez : résumé exécutif de l'état de l'ISMS, tableau de bord des métriques de sécurité (tendances sur 12 mois), réalisations et succès clés, résumé des audits internes et état des constats, résultats des audits externes (le cas échéant), changements dans l'évaluation des risques (nouveaux risques, variations des scores), résumé des incidents de sécurité et leçons apprises, état de mise en œuvre des contrôles, progression des objectifs de sécurité, statut de conformité (réglementaire, contractuel), besoins en ressources et budget, initiatives d'amélioration proposées, et décisions attendues de la direction. Présentation ciblée de 30-45 minutes."

Documenter les résultats de la revue de direction

"Rédigez le procès-verbal de la réunion de revue de direction documentant les résultats selon la Clause 9.3 de l'ISO 27001:2022. Enregistrez : date et participants, points d'agenda examinés, discussions clés et préoccupations soulevées, décisions de la direction sur l'amélioration de l'ISMS, décisions sur l'adéquation des ressources, décisions sur les modifications des objectifs de sécurité, décisions sur les changements du périmètre ou de la politique ISMS, opportunités d'amélioration approuvées, actions attribuées avec responsables et délais, et signatures d'approbation. Assurez-vous que le procès-verbal démontre l'engagement de la direction et l'amélioration continue."

Invites pour la documentation des incidents et problèmes

Créer un modèle de fiche d'incident

"Concevez un modèle de fiche d'incident de sécurité pour les contrôles ISO 27001:2022 A.5.24-A.5.28. Incluez des champs pour : ID et classification de l'incident, date/heure et source de détection, description de l'incident et systèmes/données affectés, niveau de gravité et évaluation d'impact, équipe de réponse aux incidents et rôles, actions de confinement réalisées, étapes d'éradication, actions de récupération, preuves collectées, analyse des causes profondes, leçons apprises, mesures préventives, registre des communications (qui a été notifié quand), déclaration réglementaire (si requise), date de clôture de l'incident et approbation, et complétion de la revue post-incident. Assurez-vous que le modèle supporte la conformité aux exigences de notification des violations."

Construire un registre de gestion des problèmes

"Créez un registre de gestion des problèmes pour suivre les incidents récurrents et les faiblesses systémiques. Pour chaque problème : ID et description, incidents liés (ID d'incidents), analyse des causes profondes, systèmes et processus affectés, solutions de contournement ou temporaires, correctif permanent proposé, priorité et impact, propriétaire et statut, date cible de résolution, et approche de vérification. Utilisez la gestion des problèmes pour identifier les motifs nécessitant des améliorations systémiques plutôt que de corriger répétitivement les symptômes."

Invites pour la documentation changement et déploiement

Documenter les enregistrements de gestion des changements

"Créez un modèle d'enregistrement des changements pour le contrôle ISO 27001:2022 A.8.32. Incluez : ID du changement et demandeur, description et justification du changement, systèmes impactés, catégorie du changement (standard, normal, urgence), évaluation des risques (impact, probabilité, atténuation), workflow d'approbation et approbateurs, plan et calendrier de mise en œuvre, exigences de test, plan de retour arrière, résultats de mise en œuvre, revue post-implémentation, et changements/dépendances liés. Assurez-vous que les enregistrements de changements fournissent une traçabilité d'audit pour tous les changements affectant l'ISMS."

Construire la documentation de déploiement

"Créez un paquet de documentation de déploiement pour les changements système significatifs. Incluez : vue d'ensemble et objectifs du déploiement, fonctionnalités et changements inclus, évaluation des implications de sécurité, tests effectués (fonctionnels, sécurité, performance), plan et calendrier de déploiement, procédures de retour arrière, problèmes connus et limitations, communication et formation des utilisateurs, plan de support, et critères de succès. Assurez-vous que les tests de sécurité et approbations soient réalisés avant la mise en production."

Invites pour la documentation conformité et juridique

Créer un registre des obligations de conformité

"Construisez un inventaire des obligations de conformité pour le contrôle ISO 27001:2022 A.5.31. Documentez : exigences légales (lois sur la protection des données, notification de violation, régulations sectorielles), exigences réglementaires (RGPD, HIPAA, PCI DSS, SOX), obligations contractuelles (exigences de sécurité client, SLA), engagements organisationnels (certifications, déclarations publiques), pour chacune : description et source, applicabilité (systèmes/processus concernés), propriétaire responsable, méthode de vérification de conformité, preuve de conformité, date et résultat de la dernière évaluation, et date de la prochaine revue. Assurez une couverture complète de toutes les obligations."

Documenter les activités de traitement des données (Article 30 RGPD)

"Créez un Registre des Activités de Traitement (RoPA) conformément à l'Article 30 du RGPD et au contrôle ISO 27001:2022 A.5.33. Pour chaque activité de traitement : finalité du traitement, catégories de données traitées (types de données personnelles), catégories de personnes concernées, destinataires ou catégories de destinataires, transferts internationaux (mécanisme, pays), durées de conservation, mesures techniques et organisationnelles de sécurité, et base juridique du traitement. Maintenez un RoPA à jour en tant que documentation requise démontrant la conformité au RGPD et le respect du principe de protection dès la conception."

Construire un registre des violations de données

"Créez un registre des violations de données pour la conformité RGPD et le contrôle ISO 27001:2022 A.5.26. Pour chaque violation ou suspicion : ID de violation et date de découverte, description de la violation et données concernées, nombre de personnes concernées, évaluation de la violation (à déclarer à l'autorité ? notifier les personnes concernées ?), échéancier de notification (à l'autorité dans les 72 heures, aux individus sans retard excessif), notifications envoyées et dates, actions de réponse à la violation, cause racine, mesures préventives, numéro de dossier de l'autorité de contrôle, et période de conservation du registre de violation (minimum 3 ans selon RGPD). Même les violations non déclarables doivent être documentées."

Invites pour la documentation fournisseurs et contrats

Créer un inventaire fournisseurs

"Construisez un inventaire des fournisseurs et tiers pour les contrôles ISO 27001:2022 A.5.19-A.5.23. Pour chaque fournisseur : nom et contact, services fournis, niveau d'accès aux données (aucun, limité, étendu), accès système fourni, classification de risque (élevé/moyen/faible), détails du contrat (date de début, date de renouvellement, conditions), date et résultats de l'évaluation de sécurité, certifications détenues (ISO 27001, SOC 2), couverture d'assurance, dernière date de revue, statut de conformité, et contacts d'escalade. Maintenez un inventaire à jour pour la gestion des risques tiers."

Documenter les évaluations fournisseurs

"Créez la documentation d'évaluation de sécurité des fournisseurs. Pour le fournisseur [nom], documentez : date et méthodologie de l'évaluation, réponses au questionnaire, preuves examinées (politiques, rapport SOC 2, certificat ISO, résultats de test d'intrusion), évaluation des contrôles de sécurité par catégorie (contrôle d'accès, chiffrement, réponse aux incidents, continuité d'activité), risques et lacunes identifiés, actions de remédiation requises, contrôles compensatoires si des lacunes sont acceptées, notation globale du risque, conclusion de l'évaluation (approuver/approuver avec conditions/rejeter), signatures d'approbation, et date de la prochaine évaluation. Conservez pour preuve d'audit."

Invites pour la documentation de formation et sensibilisation

Créer le programme de formation

"Concevez un programme de formation à la sensibilisation à la sécurité pour le contrôle ISO 27001:2022 A.6.3. Incluez : formation de base en sensibilisation à la sécurité (sujets : sécurité des mots de passe, phishing, ingénierie sociale, usage acceptable, signalement d'incidents, sécurité physique, classification des données, sécurité en télétravail), parcours de formation basés sur les rôles (développeurs : codage sécurisé ; administrateurs : accès privilégié ; managers : leadership en sécurité ; tout le personnel : sensibilisation), méthodes de livraison (e-learning, formation en présentiel, vidéos), durée et fréquence des formations, méthodes d'évaluation (quiz, certifications), et mesure de l'efficacité de la formation."

Construire un système de suivi des formations

"Créez un système de gestion des dossiers de formation. Suivez pour chaque employé : ID et nom, poste, formations requises (selon le rôle), formations complétées (nom du cours, date, score), statut de formation (à jour, en retard, à venir), dates d'expiration de certifications, affectations de formations correctives (tests phishing échoués, violations de politique), et reconnaissances de formation. Générez des rapports pour : conformité formation par département, formations en retard, renouvellements à venir, et métriques d'efficacité (scores avant/après, résilience phishing)."

Invites pour les rapports exécutifs et communication

Créer un rapport mensuel de sécurité

"Concevez un rapport mensuel de sécurité pour la direction exécutive. Incluez des sections : résumé exécutif (faits saillants du mois, préoccupations clés, actions nécessaires), tableau de bord des métriques de sécurité (incidents, vulnérabilités, conformité), mises à jour des risques (nouveaux risques, changements de scores de risque, progrès du traitement des risques), incidents de sécurité et réponse, faits marquants du renseignement sur les menaces, état de la mise en œuvre des contrôles, statut de conformité (certifications, audits, réglementations), initiatives et projets de sécurité, statut du budget et des ressources, et axes à venir. Limitez à 3-5 pages avec des visualisations."

Générer un briefing sécurité au niveau du conseil

"Créez un briefing trimestriel de sécurité pour le conseil d'administration. Incluez : paysage des risques cyber dans notre secteur, évaluation de la posture de sécurité de l'organisation, principaux investissements en sécurité et ROI, incidents majeurs et leçons apprises, statut de conformité et réglementaire, risques tiers et chaîne d'approvisionnement, stratégie et feuille de route de sécurité, besoins en ressources et budget, menaces émergentes et préparation, et recommandations stratégiques nécessitant l'avis ou l'approbation du conseil. Concentrez-vous sur les risques métier et décisions stratégiques, limitez le jargon technique. Durée cible 15-20 minutes."

Concevoir la communication aux parties prenantes

"Élaborez un plan de communication sécurité pour différents groupes de parties prenantes. Pour les parties prenantes (direction exécutive, employés, clients, partenaires, régulateurs), définissez : objectifs de communication, messages clés, fréquence de communication, canaux, informations à partager vs. à retenir, déclencheurs d'escalade pour communications urgentes, et modèles de communication (bulletins, notifications d'incidents, mises à jour de politique, campagnes de sensibilisation). Assurez une cohérence et un message adapté à chaque audience."

Invites pour l'amélioration continue

Créer un registre d'amélioration (Clause 10)

"Élaborez un registre d'amélioration continue pour la Clause 10 de l'ISO 27001:2022. Suivez : description et source de l'opportunité d'amélioration (constat d'audit, leçon d'incident, évaluation des risques, feedback employé, analyse métrique), justification métier et bénéfices attendus, priorité et estimation d'effort, propriétaire assigné, plan de mise en œuvre, état, date d'achèvement, vérification d'efficacité, et leçons apprises. Utilisez ce registre pour démontrer une approche systématique d'amélioration de l'ISMS et suivez depuis l'identification jusqu'à la mise en œuvre et la vérification."

Documenter le processus d'action corrective

"Créez une procédure et un système de suivi des actions correctives pour la Clause 10.1 de l'ISO 27001:2022. Pour chaque non-conformité : description et preuves, origine (audit, incident, revue), exigence ISO non satisfaite, impact et risque, analyse des causes racines (5 pourquoi, diagramme d'Ishikawa), correction immédiate (traiter le symptôme), action corrective (résoudre la cause racine), plan de mise en œuvre et responsable, date cible d'achèvement, méthode de vérification d'efficacité, suivi de l'état, et approbation de clôture. Assurez que les actions correctives empêchent la récurrence et ne se limitent pas à traiter les symptômes."

Conseils pour utiliser efficacement ces invites

Bibliothèques d'invites associées

Complétez votre mise en œuvre ISO 27001 avec ces collections d'invites associées :

• Invites d'évaluation des risques ISO 27001

• Invites de politiques et procédures ISO 27001

• Invites de préparation à l'audit ISO 27001

• Invites de mise en œuvre des contrôles ISO 27001

• Bibliothèque d'invites SOC 2

Besoin d'aide

Pour un support concernant la documentation et le reporting :

• Comprendre les exigences : Consultez Comment réaliser une évaluation des risques ISO 27001 avec l'IA pour voir quelles documentations découlent de l'évaluation des risques

• Créer un contenu cohérent : Utilisez les invites de politique et procédure pour une documentation alignée

• Utiliser l'IA de manière responsable : Lisez Comment utiliser ISMS Copilot de manière responsable pour le développement documentaire