Après avoir fait un focus dans le premier volet sur la certification ISO 27001, HDS et la règlementation RGPD, nous allons passer en revue dans ce deuxième volet les certifications :

  • Certification ISO 9001 en Management de la qualité,
  • ISO 20000 Management des services informatique
  • Norme ISO 27701 Certification du Management de la Protection de la vie privée
  • La qualification SecNumCloud – sécurité des services SaaS

Pourquoi la norme ISO 9001 est une des normes les plus reconnues à travers le monde ?

La norme ISO 9001 est la norme de management la plus déployée et reconnue sur le plan international. Avec plus d’un million de certificats à travers le monde, elle est utilisée comme un outil de pilotage d’entreprise. Cette démarche permet d’avoir un véritable socle qui permet de maitriser ses activités en clarifiant les responsabilités de chacun. L’ISO 9001 amène à un état des lieux des dysfonctionnements et des risques. Ces risques sont traités ce qui permet une réduction des sources de non-qualité.

Obtenir cette certification permet de démontrer son aptitude à fournir un produit ou un service conforme aux exigences des clients et aux exigences légales et réglementaires applicables. De plus, la direction montre également sa volonté d’accroître la satisfaction de ses clients. C’est un véritable avantage concurrentiel et outil d’amélioration.

En quoi consiste la mise en place et l’obtention d’une certification ISO 9001 ?

L’obtention de la certification ISO 9001 demande de répondre aux exigences de la norme. En mettant en place un Système de Management de la Qualité (SMQ), l’entreprise réajuste les processus existants. La direction passe en revue, vérifie et contrôle l’efficacité de ces processus et des actions réalisées. Pendant la préparation de la certification et l’instauration du SMQ, le référent désigné, le responsable qualité, informe, sensibilise et communique avec tous les collaborateurs sur l’engagement de l’entreprise, la politique et les orientations données par la direction. La mise en oeuvre de la norme ISO 9001 est un véritable projet d’entreprise.

Une fois la certification obtenue par un organisme certificateur, elle est valable pendant trois ans. Pendant ce laps de temps, des audits de surveillance se tiennent chaque année, jusqu’au renouvellement du cycle de certification au bout de ces trois années.

Mettre en place la certification ISO 20000 Management des services informatiques

La norme ISO 20000, issue de la norme britannique BS 15000, est une norme visant à garantir un niveau de qualité élevé des services en technologies de l’information pour le client et pour les employés de l’entreprise. Elle s’appuie sur le référentiel de bonnes pratiques ITIL et les principes du cycle de Deming (P pour Plan : planifier, D pour Do : faire, C pour Check : contrôler et vérifier, A pour Act : chercher des points d’amélioration).

La réponse aux exigences de la norme permet de produire un service plus efficient et de réduire les coûts sur le long terme. C’est un atout concurrentiel non négligeable car elle garantit une qualité de service : réduction des risques, qualité de service vérifiée tous les ans et image d’expertise du service IT.

La nouvelle norme 27701 entrée en vigueur en août 2019, qu’est-ce que c’est ?

Avec l’entrée en application de la RGPD en mai 2018, la norme 27701 sur les données personnelles a été mise à jour. Elle regroupe les exigences relatives à l’établissement, la mise en œuvre, la mise à jour et l’amélioration continue d’un système de management de la vie privée. Elle permet donc d’évaluer efficacement, d’identifier et de traiter les risques associés à la collecte et au traitement des données personnelles. C’est un complément à la norme ISO 27001. Pour être donc certifié ISO 27701, il faudra préalablement être certifié ISO 27001 sur le périmètre. La réponse aux exigences de cette norme est un excellent moyen pour toute entreprise d’adopter une démarche d’amélioration continue et de renforcer la confiance des parties prenantes.

Quelles sont les autres normes ISO qui concernent les entreprises du numérique et notamment les services de cloud ?

La suite ISO 27000 contient les normes pour l’implémentation et le maintien du Système de Management de la Sécurité de l’Information, les recommandations des meilleures pratiques et un nombre croissant de normes liées au SMSI. Pour les services de cloud spécifiquement, la ISO 27017 est un code de pratique pour les contrôles de sécurité de l’information fondés sur les objectifs de contrôles de ISO 27002 et la ISO 27018 concerne la protection des données à caractère personnel. Cette dernière peut donner lieu à une certification.

Et la qualification SecNumCloud ?

La qualification SecNumCloud, délivrée par l’ANSSI, est un référentiel de sécurité adapté aux métiers de services en nuage. Son approche centralisée traite la problématique de sécurité de manière globale. Le SecNumCloud s’adresse spécifiquement aux Opérateurs d’Importance Vitale et aux organismes étatiques. Mais elle concerne également chaque entreprise qui manipule des données sensibles et qui est soumise à des enjeux importants de sécurité et de confidentialité des données. Une fois la qualification délivrée, des audits de surveillance sont réalisés tous les 18 mois afin de contrôler la bonne conformité des dispositifs.

Entrons en contact sur LINKEDIN Thomas DE MOTA

Feel Agile sur Linkedin

Si vous souhaitez vous faire accompagner dans la mise en place de ces normes et dans la préparation à une certification ou si vous souhaitez en savoir plus, vous pouvez nous contacter ici.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !