LA NORME ISO 27001

La norme ISO/CEI 27001, publiée en octobre 2005 et révisée en 2017, succède à la norme BS 7799-2 de BSI (British Standards Institution)1. 

L’objectif est de protéger les fonctions et informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et sinistre informatique. 

Elle s’adresse à tous les types d’organismes (entreprises commerciales, ONG, administrations…) et définit les exigences pour la mise en place d’un système de management de la sécurité de l’information (SMSI). 

Le SMSI recense les mesures de sécurité, dans un périmètre défini, afin de garantir la protection des actifs de l’organisme. 

La norme précise que les exigences en matière de mesures de sécurité doivent être adéquates et proportionnées aux risques encourus et donc ne pas être ni trop laxistes ni trop sévères.

Un organisme qui demande la certification doit se soumettre à toutes les clauses définies dans les sections 4 à 10 de l’ISO 27001, déclarer les mesures de sécurité applicables et justifier les mesures non applicables de l’annexe A de la norme qui est composée de 114 mesures de sécurité classées dans 14 sections. 

    POURQUOI LA CERTIFICATION ISO 27001?

    La certification n’est pas un but en soi, c’est-à-dire que l’organisme qui décide de mettre en place un SMSI (Système de Management de la Sécurité de l’Information) en suivant les exigences de l’ISO/CEI 27001, n’a pas pour obligation de se faire certifier. 

    Cependant, c’est l’aboutissement logique de l’implémentation d’un SMSI puisque les parties prenantes n’ont confiance qu’en un système certifié par un organisme indépendant.
    La norme ISO 27001 est la seule norme auditable internationalement qui définisse les exigences pour un système de gestion de la sécurité de l’information (SMSI).

    La mise en place d’un SMSI certifié ISO 27001 permet à votre organisation de

    • Améliorer la gestion de la sécurité de l’information
      • Technologique, organisationnelle, physique
    • Améliorer la gouvernance
      • Sensibilisation de personnel
      • protection des dirigeants
      • meilleure vision des forces et des faiblesse du SMSI
    • Se mettre en Conformité avec le RGPD  
    • Réduire des coûts
      • Amélioration de l’organisation et la productivité
      • Diminution des dysfonctionnements, des risques de perte de données (RGPD), de cyberattaques (ransomware) 
    • Améliorer sa notoriété:
      • Différenciation, avantage concurrentiel, Satisfaction des exigences clients ou partenaires, consolidation de la confiance des clients, fournisseurs ou partenaires.

    Nos consultants certifiés ISO 27001 proposent  des Audits ou des pré-Audits ISO 27001 en vue de la certification ISO 27001

    NOTRE DÉMARCHE DE CERTIFICATION ISO 27001

    PHASE 1 :GAP ANALYSIS CERTIFICATION ISO 27001

    Cette phase débute par un état des lieux des pratiques de votre entreprise par rapport :

    • Au périmètre de certification souhaité
    • Aux exigences de la certification 27001
    • De l’existant en matière de corpus documentaire SSI, de mesures techniques SSI, la gouvernance SSI

    La phase se termine par une présentation des résultats lors d’un Comité de Pilotage :

    • Rapport : Gap Analysis
    • Proposition de Plan d’action : Draft pour la déclaration d’applicabilité
    accompagnement certification iso 27001
    accompagnement implémentation iso 27001

    PHASE 2 : ACCOMPAGNEMENT MISE EN CONFORMITÉ À LA CERTIFICATION ISO 27001

    Cette étape permet de vous accompagner société dans l’exécution de la feuille de route  « certification ISO 27001», afin d’aider à la réalisation des tâches suivantes :

    • Établir un document hôte du SMSI (Manuel du SMSI, ou Politique du SMSI)
    • Identifier le Corpus documentaire du SMSI sur la base du référentiel  ISO 27001
    • Appréciation des risques nécessaires à l’établissement de la DdA 
    • Rédiger la « Déclaration d’Applicabilité » (DdA) 
    • Apporter un appui à la rédaction de documents du SMSI 
    • Être conseil, contributeur sur la rédaction des documents

    NOTRE PROGRAMME DE CERTIFICATION ISO 27001

    Année 1

    Programme de mise en oeuvre:

    Année 2

    Programme Annuel de contrôles:

    Programme Annuel de contrôles:

    Année 3

    Année 4

    Programme Annuel de contrôles: