UNI EN ISO 27001
Certification du Système de Management de la Sécurité de l’Information
Qu’est-ce que l’ISO 27001?
La sécurisation de l’information est maintenant un élément vital pour votre organisation.
L’ISO 27001 propose un système de gestion de sécurité de l’information et est entièrement compatible avec d’autres systèmes de management existants.
L’ISO 27001 est applicable à toutes les organisations qui souhaitent sécuriser leurs données internes ou externes.
Avantages de la certification ISO 27001:
- Rend le management du flux d’informations au sein d’une entreprise sûr et efficace
- Garantit que l’information soit disponible en temps et heure
- Proscris la perte, l’abus et les modifications non autorisées d’informations
- Garantit que l’information est accessible uniquement aux personnes autorisées
- Contribue à la conformité avec les exigences légales et la protection des données
Les organismes certifiés peuvent communiquer en utilisation les logos URS et UKAS.
Comment obtenir la certification ?
Le processus de certification selon la norme UNI EN ISO 27001 comprend :
- la demande de devis
- acceptation de l’offre
- réaliser un audit de pré-évaluation (facultatif)
- la réalisation d’un audit de Certification (divisé en deux étapes)
- la gestion des défaillances constatées
- la résolution de certification
- contrôles d’entretien sur une base annuelle
Points clés
Pour définir le Système de Management de la Sécurité Informatique conforme à la norme ISO 27001 il faut :
- évaluation des risques en lien avec le contexte de référence
- valorisation de la notion d’information (ou de ressource informationnelle)
- aspects économiques et financiers liés à la sécurité de l’information
- aspect organisationnel (et pas seulement technologique) de la sécurité de l’information
- l’efficacité du SMSI et des contre-mesures adoptées pour faire face aux risques.
L’annexe A est d’une importance fondamentale qui contient les 114 contrôles (ou contre-mesures) auxquels l’organisation qui entend appliquer la norme doit se conformer.
Ils concernent entre autres :
- la politique et l’organisation de la sécurité de l’information
- la sécurité des ressources humaines
- la gestion d’actifs
- le contrôle des accès logiques
- chiffrement
- sécurité physique et environnementale
- la sécurité des activités opérationnelles
- la sécurité des communications
- gestion de la sécurité des applications
- la relation avec les fournisseurs impliqués dans la gestion de la sécurité de l’information
- le traitement des incidents (liés à la sécurité de l’information)
- la gestion de la continuité d’activité
- respect de la réglementation
Avantages
Une organisation peut bénéficier de la certification d’un système de management de la sécurité informatique ISO 27001, tel que :
- Gagner un avantage concurrentiel en répondant aux exigences contractuelles de ses clients avec une attention particulière à la sécurité de leurs informations
- Réaliser de manière impartiale l’identification, l’évaluation et la gestion des risques de l’organisation, tout en formalisant les processus, les procédures et la documentation relatifs à la sécurité de l’information
- Certifier de manière impartiale la conformité aux lois et réglementations applicables
- Démontrer l’engagement des dirigeants d’entreprise à assurer la sécurité de l’information
- Assurer un suivi constant de la performance de l’entreprise et activer les actions d’amélioration nécessaires.