CONFORMITE ISO/IEC 27001
Conformité
Conformité ISO/IEC 27001
L’obtention de la certification ISO/IEC 27001 démontre aux clients, partenaires et autres parties prenantes qu’une organisation s’engage à gérer les informations en toute sécurité.
EUXUNOV
Qu’est-ce qu’ISO 27001 ?
ISO 27001 est une norme de sécurité internationale qui décrit un cadre de contrôles de gestion des risques techniques requis pour un système de gestion de la sécurité de l’information (ISMS).
ISO 27001 fait partie de la série de normes ISO/CEI 27000 publiées conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI). Le cadre ISO est conçu pour aider les organisations à établir, mettre en œuvre, exploiter, surveiller, réviser, maintenir et améliorer leur SMSI.
La norme ISO 27001 adopte une approche basée sur les risques et neutre sur le plan technologique, obligeant les organisations à appliquer des contrôles en fonction de leurs propres risques de sécurité spécifiques. Plutôt que d’imposer une liste de contrôles, la norme présente une liste de contrôle des mesures à prendre en compte, ainsi qu’un ensemble de recommandations de bonnes pratiques qui sont mises en évidence dans la norme ISO 27002.
Même si votre organisation ne cherche pas à obtenir une certification complète pour le moment, il est conseillé de comprendre les contrôles décrits dans la norme pour s’assurer que les meilleures pratiques de sécurité sont suivies.
Contrôles ISO 27001 Annexe A
Pour construire un système de gestion de la sécurité de l’information (ISMS) efficace, le choix de contrôles appropriés est essentiel. L’annexe A de l’ISO 27001 répertorie un ensemble de 114 contrôles ISO de bonnes pratiques, répartis en 14 clauses.
Depuis la mise à jour de la norme ISO 27001 en 2013, ces contrôles ne sont plus obligatoires. Ils fournissent simplement des orientations pour les évaluations des risques, permettant aux organisations de sélectionner les contrôles qu’elles peuvent identifier et justifier comme étant les plus pertinents et significatifs pour leur organisation.
Les 14 clauses de contrôle de l’annexe A
Exigences ISO/CEI 27001
Examiner systématiquement les risques de sécurité de l’information en identifiant les menaces et les vulnérabilités et en quantifiant les impacts
Concevoir et mettre en œuvre une suite complète de contrôles de sécurité pour faire face aux risques de sécurité identifiés
Adopter un processus de gestion continu qui garantit que les contrôles répondent aux besoins de sécurité de l’information à mesure que les risques évoluent avec le temps
Diminuer
le risque légal
Bénéficier d’une expertise qualifiée
Renforcer l’efficacité opérationnelle
Processus à suivre
EUXUNOV
1
Etape1
L'étape 1 consiste en une évaluation préliminaire du SMSI d'une organisation , y compris la compilation de la documentation sur la politique de sécurité. Deux documents clés sont la déclaration d'applicabilité (SoA) et le plan de traitement de risque (RTP).
2
Etape 2
L'étape 2 comprend un audit de conformité formel au cours duquel le SMSI est testé par rapport aux exigences de la norme ISO 27001. Les organisations évaluées doivent s'assurer qu'elles sont en mésure de produire de la documentation sur la conception et la mise en peuvre du SMSI, ainsi que la preuve qu'il est activement exploité et entretenu.
3
Etape 3
Les organisations qui réussissent l'étape 2 sont réputées certifiées ISO 27001, mais elles doivent également passé par une série d'examens et d'audits de suivi pour confirmer qu'elles restent conformes. Il est recommandé que cela se produise au moin une fois par an, mais cela se produit généralement beaucoup plus régulièrement lorsque le SMSI en est à ses balbutiements.