comprendre la certification iso 27001 en sécurité de l'information

La norme iso 27001 est une norme pour l'ensemble de l'entreprise et la maîtrise de ses risques liés à l'information. Elle concerne la sécurité de l'information de l'entreprise en générale (protection des données personnelles, de l'entreprise et des données clients).

Obtenir la certification ISO 27001 est devenu incontournable pour des entreprises qui souhaitent donner confiance à leurs clients dans la protection des données (DATA CENTER hébergeurs de données de santé - HDS, PME fournisseurs de grands groupes, société logiciels, règlementation RGPD...)

Pourquoi engager une démarche de certification ISO 27001 ?


Vous souhaitez faire certifier votre entreprise ISO 27001 systèmes de management de sécurité de l'information ?

Ce référentiel est une vraie sécurité pour vos clients et votre direction.

Se faire certifier nécessite de mettre en place un Système de Management dédié à la sécurité

Bénéfices

  • Mieux maîtriser les risques liés à la protection des données,
  • Maîtriser l'accès à l'information,
  • Respecter la réglementation (ex : RGPD),
  • Renforcer la confiance et les contrôles.

Qu'est-ce que la sécurité de l'information ?

L’objet de la norme iso 27001 est la sécurisation des informations métiers essentielles (asset) que l’on met sous contrôle à travers la maîtrise de 4 paramètres : 

  • La disponibilité des informations
  • L'intégrité : est-ce que les informations sont potentiellement corrompues ?
  • La confidentialité : est-ce que les informations peuvent être volées ?
  • La preuve 

Toute démarche débute par l’identification des besoins et enjeux en matière de protection concernant les informations métiers de l’entreprise. 

En quoi consiste la mise en place d'un système de management de la sécurité de l'information SMSI ?


L'objet d'un SMSI est la sécurisation des informations métier essentielles (asset) que l’on met sous contrôle à travers la maîtrise de 4 paramètres :  la disponibilité, l’intégrité, la confidentialité, la preuve ou la trace. 

Ces paramètres sont dénommés DICP ou DICT.

A mettre en place

  • La gouvernance liée à la sécurité de l'information,
  • Les processus nécessaires à la maîtrise de la sécurité,
  • Les méthodes pour analyser les risques,
  • Les processus de mesure, de suivi de la sécurité,
  • Les responsabilités liées à la sécurité de l'information.

Les principales exigences d'un système de management de la sécurité de l'information  ?

La norme ISO 27001 est une norme internationale sur le management de la sécurité de l'information. Elle définie un système de management de la sécurité de l'information (SMSI) à mettre en place dans l'entreprise. Le SMSI est l'organisation (processus, responsabilités, actions...) que l'entreprise doit mettre en place pour améliorer la sécurité de l'information.

Cette norme présente les exigences en matière d'organisation (système de management) pour s'assurer que la sécurité de l'information est bien maîtrisée :

  • La gouvernance liée à la sécurité de l'information et la stratégie,
  • Les processus nécessaires à la maîtrise de la sécurité de l'information,
  • Les méthodes pour analyser les risques et en rendre compte,
  • Les processus de mesure, de suivi et d'amélioration de la sécurité,
  • Les responsabilités liées à la sécurité de l'information.

L'entreprise peut obtenir la certification ISO 27001 délivrée par un organisme indépendant. L'organisme indépendant certifie le fait qu'elle a mis en place un système de management de la sécurité de l'information (SMSI) conforme à la norme ISO 27001. 

Quels sont les chapitres du référentiel ?

Nous avons résumé ci-dessous les principales exigences de la norme ISO 27001 et de l'esprit de chaque chapitre sans être exhaustif.

Chapitre Attendus
 Chapitre 4 : Contexte de l'organisation  Elaborer une compréhension des enjeux de l'entreprise, une stratégie et une politique en matière de sécurité de l'information
Chapitre 5 : Leadership S'assurer du leadership (le projet est porté) et du management via la définition des rôles et responsabilités
Chapitre 6 : Planification Comment je planifie mon organisation sécurité et la priorisation des actions en matière de sécurité ? La mise en oeuvre de mon plan d'actions débute par une analyse des risques et un recensement exhaustif des actions sécurité en cours.
Chapitre 7 : Support S'assurer que les activités supports soutiennent le SMSI.
Chapitre 8 : Fonctionnement La sécurité doit être suivie par des contrôles mis en oeuvre régulièrement et une surveillance du risque.
Chapitre 9 : Evaluation des performance L'évaluation des résultats en matière de sécurité de l'information par le recueil d'indicateurs et la réalisation d'audits. La revue de direction qui permet de faire le point avec la direction sur les résultats et les décisions à prendre.
Chapitre 10 : Amélioration La mise en place d'un système d'amélioration via la traitement des non-conformités. L'amélioration continue est une démarche globale à laquelle chaque chapitre contribue.

Comment se déroule une certification à la norme ISO 27001 ?


Une fois votre organisation en place et que vous vous êtes assuré que votre système fonctionne. Vous devez demander à un organisme accrédité de vous certifier.

Processus de certification

  • Dépôt d'un dossier auprès de l'organisme certificateur
  • Au bout d'un mois, une journée de pré-audit pour prendre connaissance du SMSI et vérifier l'auditabilité,
  • La première année, l'audit de certification sur site,
  • L'examen du rapport en commission,
  • 1 mois après environ la réponse sur la certification (favorable ou avec non-conformité),
  • Chaque année, une fois le certificat obtenu pour 3 ans, l'entreprise est auditée lors d'un audit dit de suivi (partiel),
  • A la fin d'un cycle de trois ans, un audit complet, dit de renouvellement, est réalisé.

Envie d'aller plus loin ?


Liens

Etre contacté


Note : veuillez remplir les champs marqués d'un *.