L’ISO 27001 permet aux entreprises et aux administrations d’obtenir une certification qui atteste de la mise en place effective d’un système de management de la sécurité de l’information.
La sécurité de l’information repose l’évaluation de vos risques sur 3 critères :
1. La Confidentialité
Depuis quelques années, le volume d’informations ne cesse d’augmenter et les systèmes informatiques des entreprises participent à cette accélération. En effet, avec la dématérialisation et la digitalisation des process, les informations sont multipliées.
Cela a l’avantage de les rendre accessibles à tous, mais elles risquent aussi d’être diffusées à des personnes non concernées.
Le système d’information d’une entreprise est facilement accessible de l’extérieur (via internet pour leurs fournisseurs, clients, partenaires et administrations). C’est donc une vulnérabilité vis-à-vis d’attaques potentielles.
2. L’intégrité
Comment garantissez-vous que les données n’aient pas été altérées durant leur communication ?
Par exemple, vous êtes prévenant et avez mis en place une sauvegarde régulière de votre SI. Bravo ! Mais comment vous assurez-vous que cette sauvegarde est complète ? Il serait dommage que lors d’un sinistre, seulement une partie des données soit récupérable.
3. La disponibilité
La bonne pratique en sécurité de l’information est « la politique du moindre accès ».
Comment gérez-vous vos droits d’accès ? Souhaitez-vous que tout le monde ait accès aux dossiers du personnel ? Il n’y a pas de réponse idéale, mais vous devez vous poser la question et appliquer vos propres règles.
Les grands groupes comme les TPE-PME sont concernés.
La norme ISO 27001 est la référence en matière de sécurisation des données informatiques/sécurité de l’information dans le monde. Elle s’adresse à toutes les entreprises qui gèrent des données sensibles, soit pour le compte de tiers, soit pour elle-même.
Le niveau de sécurité à mettre en place sera différent que vous soyez hébergeur, une ESN (Entreprise de Services du Numérique) ou une industrie. Pas de panique, la norme s’adapte !
Mettre en place un système de management afin de réduire vos risques.
Identifier et évaluer le contexte global de votre organisme.
Établir quelles sont les parties intéressées liées à vos activités et ce qu’elles attendent de votre entreprise ou organisation. Vous pourrez ainsi clairement définir vos objectifs et identifier de nouvelles opportunités.
Établir des processus tenant compte du contexte dans lequel votre organisme évolue, des risques et des opportunités.
Identifier et répondre aux exigences légales et règlementaires applicables.
En effet, dans certains secteurs et pour certains clients ou appels d’offres, la conformité à l’ISO 27001 est un critère essentiel.
Identifier et gérer les risques associés à la sécurité de l’information. La certification ISO 27001 est compatible avec les certifications ISO 9001 et ISO 14001. Elle est aussi basée sur la structure de haut niveau (High Level Structure). Il est ainsi plus facile par la suite de mettre en place un système intégré (ISO 9001 v 2015, ISO 14001 v 2015 et ISO 27001 v 2022).
• Analyse du contexte (analyse SWOT, PESTEL…) & intégration des enjeux
• Intégration des besoins et attentes des parties prenantes
• Analyse et traitement des risques sur la sécurité de l’information
• Informations documentées
• Communication
• Les ressources (humaines, infrastructures, matériels…)
• Sensibilisation à la sécurité de l’information
• Métrologie, moyens de mesure
• Gestion des non-conformités
• Amélioration continue, plan d’action
• Préparation et déroulement des audits internes
• Revue de direction (préparation, animation et compte rendu)
• Audit de certification (auquel nous pouvons vous assister)
Selon vos besoins et votre connaissance de la norme 27001, nous vous proposons les prestations suivantes :
FORMATION
Votre consultant France Cert vous présente les exigences et les principes fondamentaux de la norme iso 27001. Une partie pratique peut être inclue dans le déroulé pédagogique, permettant d’initier votre démarche et d’évaluer les acquis.
ACCOMPAGNEMENT
Initié généralement par un diagnostic, l’accompagnement permet un suivi de A à Z de votre projet. Notre consultant vous aide à mettre en œuvre la démarche de certification ou d’accréditation (en présentiel comme en distanciel). Il vérifie ensuite votre système avant la présentation à l’audit. Un kit documentaire vous est fourni avec la prestation.
RÉFÉRENT QUALITÉ-ENVIRONNEMENT EXTERNALISÉ
Cette prestation reprend les principes de l’accompagnement avec en plus une partie animation et rédaction. Notre consultant intervient auprès de vos équipes et reste à vos côtés lors de vos instances QSE (revue de direction, audit…).
AUDIT INTERNE
La plupart des démarches de certification et d’accréditation exigent un programme d’audit interne (aussi appelé « audit blanc »). France Cert est là pour réaliser vos audits 27001 en toute impartialité et avec professionnalisme.
Comptez 6 à 12 mois pour obtenir la certification ISO 27001.
Le principal interlocuteur est la personne qui à la fonction de DSI (Directeur des Systèmes d’Information) ou RSSI (Responsable de la Sécurité des Systèmes d’Information).
La clef de la réussite de l’ISO 27001 est la sensibilisation de tous les utilisateurs de votre Système d’Information !
Développé par e-Ness, création de site internet et agence Web