7. Quelles sont les principales étapes de l’ISO 27001 ?

7. Quelles sont les principales étapes de l’ISO 27001 ?

La phase initiale de mise en place du système de management se déroule ainsi :

• Détermination du domaine d’application et des politiques de sécurité

L’entreprise choisit librement le périmètre du SMSI, c’est-à-dire sur quels actifs le système va porter.

Puis la Direction définit ses orientations par des politiques de sécurité, qui sont communiquées.

• Identification des risques et des responsabilités

L’appréciation des risques, des impacts potentiels, de la vraisemblance de ces risques et des niveaux de risque se fait au moyen d’une méthode précise.

• Traitement des risques

En tenant compte de l’appréciation des risques qui a été obtenue, l’entreprise détermine quelles mesures sont nécessaires pour traiter ces risques.

L’annexe A de la norme ISO 27001 fourni des repères pour ne pas oublier de mesures importantes.

• Évaluation des performances

Afin de s’assurer que le système de management est adapté et correctement mis en œuvre, l’entreprise procède à des audits internes.

Cela permet de corriger les défaillances et non-conformités, dans une logique d’amélioration continue.

Après la phase initiale et l’obtention de la certification, les audits internes et les correctifs se poursuivent continuellement, de façon à maintenir un bon niveau de sécurité dans un contexte de risques évolutifs.

Articles sur l’ISO 27001 et la cybersécurité