ISO 27001 est une spécification internationalement reconnue pour un système de gestion de la sécurité de l'information, ou ISMS. Il s'agit de la seule norme auditable qui traite de la gestion globale de la sécurité de l'information, plutôt que des contrôles techniques à mettre en œuvre.

ISO/IEC 27001 spécifie formellement un système de gestion destiné à placer la sécurité de l'information sous un contrôle de gestion explicite. Être une spécification formelle signifie qu'elle impose des exigences spécifiques. Les organisations qui prétendent avoir adopté la norme ISO/IEC 27001 peuvent donc être formellement auditées et certifiées conformes à la norme.

Most organizations have a number of information security controls. However, without an information security management system (ISMS), controls tend to be somewhat disorganized and disjointed, having been implemented often as point solutions to specific situations or simply as a matter of convention. Security controls in operation typically address certain aspects of IT or data security specifically; leaving non-IT information assets (such as paperwork and proprietary knowledge) less protected on the whole. Moreover business continuity planning and physical security may be managed quite independently of IT or information security while Human Resources practices may make little reference to the need to define and assign information security roles and responsibilities throughout the organization.

La norme ISO/IEC 27001 exige que la direction :

Examiner systématiquement les risques liés à la sécurité de l'information de l'organisation, en tenant compte des menaces, des vulnérabilités et des impacts ;
Concevoir et mettre en œuvre une suite cohérente et complète de contrôles de sécurité de l'information et/ou d'autres formes de traitement des risques (telles que l'évitement des risques ou le transfert des risques) pour faire face aux risques jugés inacceptables.

Adopter un processus de gestion global pour garantir que les contrôles de sécurité de l'information continuent de répondre aux besoins de sécurité de l'information de l'organisation sur une base continue.

Bien que d'autres ensembles de contrôles de sécurité de l'information puissent potentiellement être utilisés dans un SMSI ISO/IEC 27001 ainsi que, voire à la place, la norme ISO/IEC 27002 (le Code de bonnes pratiques pour la gestion de la sécurité de l'information), ces deux normes sont normalement utilisées ensemble dans pratique. L'annexe A de l'ISO/IEC 27001 répertorie succinctement les contrôles de sécurité de l'information de l'ISO/IEC 27002, tandis que l'ISO/IEC 27002 fournit des informations supplémentaires et des conseils de mise en œuvre sur les contrôles.

Les organisations qui mettent en œuvre une suite de contrôles de sécurité de l’information conformément à la norme ISO/IEC 27002 sont susceptibles de répondre simultanément à de nombreuses exigences de la norme ISO/IEC 27001, mais peuvent manquer de certains éléments globaux du système de management. L’inverse est également vrai : en d’autres termes, un certificat de conformité ISO/IEC 27001 garantit que le système de gestion de la sécurité des informations est en place, mais en dit peu sur l’état absolu de la sécurité des informations au sein de l’organisation.

Les contrôles de sécurité techniques tels que les antivirus et les pare-feu ne sont normalement pas audités dans les audits de certification ISO/IEC 27001 : l'organisation est essentiellement présumée avoir adopté tous les contrôles de sécurité des informations nécessaires puisque le SMSI global est en place et est jugé adéquat en satisfaisant aux exigences de l'ISO. /CEI 27001.
En outre, la direction détermine la portée du SMSI à des fins de certification et peut la limiter, par exemple, à une seule unité commerciale ou à un seul site. Le certificat ISO/IEC 27001 ne signifie pas nécessairement que le reste de l'organisation, en dehors du domaine couvert, a une approche adéquate en matière de gestion de la sécurité de l'information.

D'autres normes de la famille de normes ISO/IEC 27001 fournissent des orientations supplémentaires sur certains aspects de la conception, de la mise en œuvre et de l'exploitation d'un SMSI, par exemple sur la gestion des risques liés à la sécurité de l'information (ISO/IEC 27005).

Comment se préparer à la certification ISO 27001

Il n’existe pas de réponse unique à cette question, car le niveau de préparation requis variera en fonction de la taille et de la complexité de votre organisation, ainsi que de votre niveau actuel de conformité à la norme. Cependant, quelques conseils sur la façon de se préparer à la certification ISO 27001 (LL-C) sont les suivants :

Effectuez une analyse des écarts pour identifier les domaines dans lesquels votre organisation ne répond pas aux exigences de la norme.
Élaborez un plan de mise en œuvre qui décrit comment vous comblerez les lacunes identifiées lors de l’analyse des lacunes.
Formez votre personnel aux exigences de la Norme et à votre plan de mise en œuvre.
Créez ou mettez à jour la documentation ISMS de votre organisation, y compris les politiques, procédures et autres documents justificatifs.
Réalisez des audits internes pour vérifier que votre SMSI fonctionne comme prévu et que tous les employés suivent les procédures requises.
Planifiez et réalisez un audit de certification externe avec un organisme de certification.

Le processus de certification ISO 27001

Une fois que vous êtes prêt à obtenir la certification, vous devrez faire appel aux services d’un organisme de certification indépendant et accrédité. Ces organismes de certification ont été évalués par l'autorité nationale compétente sur la base de leur compétence, de leur impartialité et de leur capacité de performance au moyen d'un processus d'évaluation rigoureux.

Le processus d'accréditation ISO 27001 comprend deux étapes et est mené par un auditeur qualifié.

Étape 1
L'auditeur examinera votre documentation pour vérifier que le SMSI a été développé conformément à la Norme. Vous devrez présenter des preuves de tous les aspects critiques du SMSI, mais cela dépend des exigences de l’organisme de certification.

Étape 2
Si vous réussissez la première étape, l'auditeur procédera à une évaluation plus approfondie. Cette évaluation impliquera l'examen des activités qui soutiennent le développement du SMSI. L'auditeur analysera plus en profondeur vos politiques et procédures et vérifiera le fonctionnement pratique du SMSI grâce à une enquête sur place.
L'auditeur interrogera également les membres clés du personnel pour vérifier que toutes les activités sont entreprises conformément aux spécifications de la norme ISO 27001.

Combien coûte la certification ISO 27001 ?

Le coût de la certification ISO 27001 dépend généralement du nombre d'employés travaillant pour l'organisation.

QUI NOUS SOMMES       SERVICES     TECHNICAL INSPECTION    
DOMAINES D'INTÉRÊT                                        















REMARQUE : CE SITE WEB N'UTILISE PAS DE COOKIES NI AUCUN MOYEN DE CONTRÔLE DES VISITEURS..

Copyright INTERCER. All rights reserved.
10 Rue du 1er Novembre Rostomia dely Bahim, Alger