Qu’est-ce que la norme ISO 27001 ?
La norme ISO 27001 est une norme internationale qui définit un cadre pour le SMSI ou système de gestion de la sécurité de l’information dans le contexte de l’organisation. La norme internationale pour le SMSI que les entreprises peuvent faire certifier, ISO 27001, est officiellement connue sous le nom d’ISO/IEC 27001:2013 et a été créée par un comité composé d’experts de l’Organisation internationale de normalisation (ISO) et de la Commission électrotechnique internationale (CEI).
L’ISO 27001:2013 ne doit pas être confondue avec l’ISO/CEI 27000:2018, une autre norme ISO/CEI 27000, qui vise à définir les terminologies communes utilisées dans le corps de normes ISMS.
Pourquoi est-ce important ?
La norme ISO 27001 est importante car elle établit une référence pour le type de cadre ISMS que les entreprises ou les organisations peuvent mettre en œuvre et affiner en fonction de leurs besoins. Elle définit une norme minimale pour le système de gestion de la sécurité de l’information que l’on peut attendre de toute entreprise, quelle que soit sa taille, son secteur d’activité ou son emplacement, qui cherche à être reconnue comme ayant un SMSI robuste.
Industries et organisations qui ont fait face à des défis en matière de sécurité de l’information
La technologie numérique faisant désormais partie intégrante des opérations quotidiennes des entreprises et des organisations, il est devenu nécessaire de sécuriser les informations numériques liées à la gestion de ces entreprises. Voici quelques-uns des domaines qui ont été confrontés à des défis en matière de sécurité de l’information :
La mise en place d’un système solide de gestion de la sécurité de l’information nécessite un effort concerté au sein de l’organisation et le savoir-faire nécessaire pour le maintenir.
Quelles sont les exigences de la norme ISO 27001 ?
L’un des avantages de la mise en œuvre de la norme est qu’elle exige la preuve que les processus existants contribuent à assurer la sécurité des informations et que les besoins uniques de l’entreprise en matière de maintien d’un SMSI solide sont pris en compte.
Les clauses 4.1 à 10.2, qui constituent les exigences fondamentales de la norme, sont présentées ci-dessous. Ils permettent de découvrir les lacunes des processus et d’évaluer l’état de préparation d’une organisation à la certification.
- 4. Contexte de l’organisation
- 4.1 Comprendre l’organisation et son contexte
- 4.2 Comprendre les besoins et les attentes des parties intéressées
- 4.3 Déterminer le champ d’application du système de gestion de la sécurité de l’information
- 4.4 Système de gestion de la sécurité de l’information
- 5. Leadership
- 5.1 Leadership et engagement
- 5.2 Politique
- 5.3 Rôles, responsabilités et pouvoirs de l’organisation
- 6. Planification
- 6.1 Actions pour faire face aux risques et aux opportunités
- 6.2 Objectifs de sécurité de l’information et plans pour les atteindre
- 7. Soutien
- 7.1 Ressources
- 7.2 Compétence
- 7.3 Prise de conscience
- 7.4 Communication
- 7.5 Informations documentées
- 8. Opération
- 8.1 Planification et contrôle opérationnels
- 8.2 Évaluation des risques liés à la sécurité de l’information
- 8.3 Traitement des risques liés à la sécurité de l’information
- 9. Évaluation des performances
- 9.1 Surveillance, mesures, analyse et évaluation
- 9.2 Audit interne
- 9.3 Revue de direction
- 10. Amélioration
- 10.1 Non-conformité et action corrective
- 10.2 Amélioration continue
Comment obtenir la certification ?
ISO/IEC 27001:2013 est la norme internationale pour le SMSI parmi la famille ISO 27000 pour laquelle les entreprises peuvent être certifiées. Les organisations et les entreprises peuvent suivre ces étapes pour se préparer à la certification :
Étape 1 : Examiner la norme et découvrir les lacunes des processus internes
Familiarisez-vous avec la norme ISO/IEC 27001:2013 et vérifiez comment vos processus internes existants s’alignent sur celle-ci. Vérifiez votre SGSI actuel et ces trois documents en particulier – politique de sécurité de l’information, déclaration d’applicabilité et plan de traitement des risques de sécurité de l’information – car la norme exige ces documents pour qu’une organisation soit certifiée.
Étape 2 : Effectuer un audit interne
Évaluez l’état de préparation de votre organisation en effectuant un audit interne à l’aide d’une liste de contrôle ISO 27001 qui prend en compte les trois documents et d’autres détails sur votre SMSI que les auditeurs tiers examineront au cours de l’audit de certification proprement dit.
Étape 3 : Faire appel à un vérificateur réputé pour la certification
Après avoir effectué votre propre audit interne et préparé votre organisation du mieux que vous pouvez, prenez contact avec un auditeur tiers qui peut effectuer un audit objectif afin d’obtenir une certification pour votre entreprise.
Une fois certifiée, l’entreprise doit ensuite maintenir sa conformité. La réalisation d’audits internes réguliers peut permettre de s’assurer que le SGSI en place est toujours efficace contre les menaces à la sécurité de l’information et qu’il est conforme aux normes mondiales.
Comment SafetyCulture (iAuditor) peut-il aider votre organisation à obtenir la certification ?
SafetyCulture (iAuditor) est utilisé par les leaders du secteur pour s’aligner sur les normes internationales et se conformer aux réglementations applicables. SafetyCulture (iAuditor) peut aider les entreprises à se préparer à la certification de la manière suivante :
- Réaliser des audits internes pour découvrir les lacunes des processus à l’aide de modèles tels que la liste de contrôle ISO 27001:2013 que les utilisateurs peuvent personnaliser pour répondre aux besoins de l’organisation.
- Identifier les domaines à améliorer et enregistrer efficacement les actions correctives réalisées en vue de la certification.
- Des informations sécurisées qui ne sont accessibles qu’au personnel autorisé via le cloud, un système qui est déjà conforme à la norme
- Maintenir la conformité à la norme par des révisions régulières du SGSI actuel