Quelle est la démarche pour une certification ISO 27001 ?

Home | Quelle est la démarche pour une certification ISO 27001 ?

LA NORME ISO 27001

La norme ISO/CEI 27001, publiée en octobre 2005 et révisée en 2017, succède à la norme BS 7799-2 de BSI (British Standards Institution)1.

L’objectif est de protéger les fonctions et informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et sinistre informatique.

Elle s’adresse à tous les types d’organismes (entreprises commerciales, ONG, administrations…) et définit les exigences pour la mise en place d’un système de management de la sécurité de l’information (SMSI).

Le SMSI recense les mesures de sécurité, dans un périmètre défini, afin de garantir la protection des actifs de l’organisme.

La norme précise que les exigences en matière de mesures de sécurité doivent être adéquates et proportionnées aux risques encourus et donc ne pas être ni trop laxistes ni trop sévères.

Un organisme qui demande la certification doit se soumettre à toutes les clauses définies dans les sections 4 à 10 de l’ISO 27001, déclarer les mesures de sécurité applicables et justifier les mesures non applicables de l’annexe A de la norme qui est composée de 114 mesures de sécurité classées dans 14 sections.

icon-box-img
Test de sécurité des infrastructures
icon-box-img
Conseil en sécurité de l'information
icon-box-img
Système de management de la sécurité de l'information

POURQUOI LA CERTIFICATION ISO 27001?

La certification n’est pas un but en soi, c’est-à-dire que l’organisme qui décide de mettre en place un SMSI (Système de Management de la Sécurité de l’Information) en suivant les exigences de l’ISO/CEI 27001, n’a pas pour obligation de se faire certifier.

Cependant, c’est l’aboutissement logique de l’implémentation d’un SMSI puisque les parties prenantes n’ont confiance qu’en un système certifié par un organisme indépendant.
La norme ISO 27001 est la seule norme auditable internationalement qui définisse les exigences pour un système de gestion de la sécurité de l’information (SMSI).

La mise en place d’un SMSI certifié ISO 27001 permet à votre organisation de

  • Améliorer la gestion de la sécurité de l’information
    • Technologique, organisationnelle, physique
  • Améliorer la gouvernance
    • Sensibilisation de personnel
    • protection des dirigeants
    • meilleure vision des forces et des faiblesse du SMSI
  • Se mettre en Conformité avec le RGPD
  • Réduire des coûts
    • Amélioration de l’organisation et la productivité
    • Diminution des dysfonctionnements, des risques de perte de données (RGPD), de cyberattaques (ransomware)
  • Améliorer sa notoriété:
    • Différenciation, avantage concurrentiel, Satisfaction des exigences clients ou partenaires, consolidation de la confiance des clients, fournisseurs ou partenaires.

Nos consultants certifiés ISO 27001 proposent  des Audits ou des pré-Audits ISO 27001 en vue de la certification ISO 27001

NOTRE ENGAGEMENT

Nous voulons être un partenaire de progrès mutuel et d’échange permanent. Cela parce que nous devons apporter des réponses à vos interrogations et la préservation de vos avantages économiques en renforçant le niveau de disponibilité de vos installations et la protection de vos avantages industriels et stratégiques.

Pour ce faire, nous sommes un partenaire de tous les instants, vous accompagnant à chaque étape de votre parcours vers la maîtrise de la digitalisation de votre organisme en nous appuyant sur nos différents domaines d’expertises. Le principe d’accompagnement est basé sur trois domaines maîtrisés qui sont la prévention, la mise aux normes et la réponse commune aux crises.

LES ETAPES POUR LA CERTIFICATION ISO 27001

Cette phase débute par un état des lieux des pratiques de votre entreprise par rapport :

  • Au périmètre de certification souhaité
  • Aux exigences de la certification 27001
  • De l’existant en matière de corpus documentaire SSI, de mesures techniques SSI, la gouvernance SSI

La phase se termine par une présentation des résultats lors d’un Comité de Pilotage :

  • Rapport : Gap Analysis
  • Proposition de Plan d’action : Draft pour la déclaration d’applicabilité

Cette étape permet de vous accompagner société dans l’exécution de la feuille de route  « certification ISO 27001», afin d’aider à la réalisation des tâches suivantes :

  • Établir un document hôte du SMSI (Manuel du SMSI, ou Politique du SMSI)
  • Identifier le Corpus documentaire du SMSI sur la base du référentiel  ISO 27001
  • Appréciation des risques nécessaires à l’établissement de la DdA
  • Rédiger la « Déclaration d’Applicabilité » (DdA)
  • Apporter un appui à la rédaction de documents du SMSI
  • Être conseil, contributeur sur la rédaction des documents
Oriano Pacini

Consultant informatique dans les domaines de la sécurité et de la gestion de projets avec plus de 15 ans d’expérience dans le secteur de la grande distribution et notamment dans les services ( Location de véhicules , spectacles , voyages …)

Je mets à profit mon expérience pour accompagner des entreprises dans leur transformation digitale


Contact