La certification iso 27001

Comprendre la certification iso 27001 – Management de la sécurité de l’information

certification iso 27001

Obtenir la certification iso 27001 est devenu incontournable pour des entreprises qui souhaitent donner confiance à leurs clients dans la protection des données (DATA CENTER hébergeurs de données de santé – HDS, PME fournisseurs de grands groupes, société logiciels, règlementation RGPD…).

L’obtention de la certification iso 27001 nécessite de répondre aux exigences du référentiel iso 27001.

La norme iso 27001 est une norme pour l’entreprise et la maîtrise de ses risques liés à l’information. Elle concerne la sécurité de l’information de l’entreprise en générale (protection des données personnelles, de l’entreprise et des données clients).

 Pour en savoir plus sur la norme iso 27001 et ses exigences vous pouvez consulter notre page sur le référentiel : Norme iso 27001

Les bénéfices d’une certification ISO 27001

Vous souhaitez faire certifier votre entreprise ISO 27001 systèmes de management de sécurité de l’information ?

Ce certificat est une vraie sécurité pour vos clients et votre direction.

Se faire certifier nécessite de mettre en place un Système de Management dédié à la sécurité de l’information.

Bénéfices

  • Renforcer la confiance vis à vis des clients et gagner des marchés
  • Sé différencier de la concurence
  • Mieux maîtriser les risques liés à la protection des données et la continuité des services
  • Maîtriser l’accès à l’information
  • Assurer le respect de la réglementation en matière d’information (ex : RGPD)
bénéfices d'une certification iso 27001

Qu’est-ce que la sécurité de l’information ?

sécurité de l'information

L’objet de la norme iso 27001 est la sécurisation des informations métiers essentielles à travers la maîtrise de 4 paramètres :

      • La disponibilité des informations et des services : Accessibilité au moment voulu des biens et services par les personnes autorisées
      • L’intégrité des données (est-ce que les informations sont potentiellement corrompues ?) : Une modification illégitime d’un bien doit pouvoir être détectée et corrigée
      • La confidentialité des informations : Propriété des biens de n’être accessibles qu’aux personnes autorisées et empêcher les fuites de données
      • Les preuves : Garantir l’accès aux preuves et enregistrements de l’entreprise

Toute démarche débute par l’identification des besoins et enjeux en matière de protection concernant les informations métiers de l’entreprise.

La sécurité de l’information comporte une sécurité organisationnelle et la cyber-sécurité (sécurité technique en environnement complexe et connecté).

Comment obtenir la certification ISO 27001 pour son entreprise ?

Pour obtenir la certification ISO 27001 vous devrez répondre à toutes les exigences du référentiel ISO 27001 – Exigences pour un système de management de la sécurité de l’information.

Ce référentiel décrit les attentes en matière de gouvernance et d’organisation en sécurité désigné par un Système de Management de la Sécurité de l’Information (SMSI). Il implique égallement de mettre en oeuvre un programme de sécurisation technique de vos infrastructures et services.

L’entreprise peut ensuite obtenir la certification ISO 27001 délivrée par un organisme indépendant. L’organisme indépendant certifie le fait qu’elle a mis en place un système de management de la sécurité de l’information (SMSI) conforme à la norme ISO 27001.

obtenir la certification iso 27001

Mettre en place un SMSI et répondre aux exigences de l’ISO 27001

mise en place d'un smsi

La norme ISO 27001 est une norme internationale sur le management de la sécurité de l’information.

Elle définie un système de management de la sécurité de l’information (SMSI) à mettre en place dans l’entreprise. Le SMSI est l’organisation (processus, responsabilités, actions…) que l’entreprise doit mettre en place pour améliorer la sécurité de l’information.

Cette norme présente les exigences en matière d’organisation (système de management) pour s’assurer que la sécurité de l’information est bien maîtrisée :

  • La gouvernance liée à la sécurité de l’information et la stratégie,
  • Les processus nécessaires à la maîtrise de la sécurité de l’information,
  • Les méthodes pour analyser les risques et en rendre compte,
  • Les processus de mesure, de suivi et d’amélioration de la sécurité,
  • Les responsabilités liées à la sécurité de l’information.

 

Comment se déroule une certification à la norme ISO 27001 ?

Une fois votre organisation en place et que vous vous êtes assuré que votre système fonctionne. Vous devez demander à un organisme accrédité de vous certifier.

    Processus de certification

    • Dépôt d’un dossier auprès de l’organisme certificateur
    • Au bout d’un mois, une journée de pré-audit pour prendre connaissance du SMSI et vérifier l’auditabilité,
    • La première année, l’audit de certification sur site,
    • L’examen du rapport en commission,
    • 1 mois après environ la réponse sur la certification (favorable ou avec non-conformité),
    • Chaque année, une fois le certificat obtenu pour 3 ans, l’entreprise est auditée lors d’un audit dit de suivi (partiel),
    • A la fin d’un cycle de trois ans, un audit complet, dit de renouvellement, est réalisé.
    processus de certification iso 27001

    Quels sont les chapitres du référentiel ISO 27001 ?

    Nous avons résumé ci-dessous les principales exigences de la norme ISO 27001 et de l’esprit de chaque chapitre sans être exhaustif.
    Chapitre Attendus
    Chapitre 4 : Contexte de l’organisation  Elaborer une compréhension des enjeux de l’entreprise, une stratégie et une politique en matière de sécurité de l’information
    Chapitre 5 : Leadership S’assurer du leadership (le projet est porté) et du management via la définition des rôles et responsabilités
    Chapitre 6 : Planification Comment je planifie mon organisation sécurité et la priorisation des actions en matière de sécurité ? La mise en oeuvre de mon plan d’actions débute par une analyse des risques et un recensement exhaustif des actions sécurité en cours.
    Chapitre 7 : Support S’assurer que les activités supports soutiennent le SMSI.
    Chapitre 8 : Fonctionnement La sécurité doit être suivie par des contrôles mis en oeuvre régulièrement et une surveillance du risque.
    Chapitre 9 : Evaluation des performance L’évaluation des résultats en matière de sécurité de l’information par le recueil d’indicateurs et la réalisation d’audits. La revue de direction qui permet de faire le point avec la direction sur les résultats et les décisions à prendre.
    Chapitre 10 : Amélioration La mise en place d’un système d’amélioration via la traitement des non-conformités. L’amélioration continue est une démarche globale à laquelle chaque chapitre contribue.

    Nous contacter par Linkedin :

    Profil Linkedin

    Page Feel Agile

    Notre vidéo sur les certifications du numérique :

    Les certifications du numérique

    Toutes les questions sur la FAQ ISO 27001 :

    FAQ iso 27001

    Contactez-nous

    Des projets ? Des questions ? N'hésitez pas à nous contacter !