10. Ma certification sera-t-elle définitive ?

10. Ma certification sera-t-elle définitive ?

Obtenir la certification ISO 27001 n’est que le début de votre progression en sécurité de l’information.

Ce n’est pas un objectif en soi, mais une façon de gérer votre activité sur le long terme.

Le certificat ISO 27001 obtenu à la suite de l’audit réalisé par un organisme certificateur est valable 3 ans.

Cependant au cours de cette période, un audit de suivi a lieu chaque année. Lors de cet audit de surveillance, les écarts ou non-conformités relevés lors de l’audit initial sont inspectés.

Le certificat peut être suspendu voire annulé si des non-conformités graves ne font l’objet d’aucune action corrective de la part de l’entreprise.

Vos audits internes devraient permettre de découvrir les non-conformités : cela signifie alors que votre SMSI est efficace, ce qui vous aidera à maintenir votre certification.

À l’échéance du certificat, un audit de renouvellement se focalise sur les non-conformités du dernier audit de surveillance, et fait le bilan de la performance du SMSI sur l’ensemble de la période de 3 ans.

Ce processus de re-certification régulière assure l’amélioration continue.

Votre entreprise doit donc être constamment mobilisée pour traiter le risque lié à l’information, de manière dynamique et évolutive.

L’état de non-conformité n’est pas atteint durablement. L’ISO 27001 vous permet justement d’intégrer continuellement de nouveaux enjeux de sécurité ou des nouvelles demandes du marché, pour rester à la pointe de la maîtrise de l’information.

Articles sur l’ISO 27001 et la cybersécurité