La norme ISO 27001

La norme du système de management de la sécurité de l'information

La norme ISO/CEI 27001 concerne la gestion de la sécurité de l'information, elle détaille les impératifs pour mettre en oeuvre un SMSI (Système de Management de la Sécurité de l'Information) pour les entreprises, organismes ou associations souhaitant protéger leurs informations et données numériques, leur réseau, et l'ensemble du système d'information.

La sécurité informatique est devenue stratégique pour toute entité étant donnée l'omniprésence de l'informatique dans la société actuelle, et la démarche qualité visant à améliorer en permanence cette sécurité est primordiale pour la survie même de certaines activités dont le coeur réside dans le système d'information.

Cette norme a vu le jour en 2005, et son succès est grandissant, à l'instar de l'ISO 14001 (norme environnementale) car les partenaires (fournisseurs, clients, assureurs ou autres...) demandent de plus en plus de garanties concernant la protection des données ou des process informatiques.



La certification

La décision d'entamer une démarche de certification ISO 27001 doit être entreprise dans le but réel de renforcer la sécurité informatique et non d'obtenir le certificat seul. En effet, cette démarche laisse la place à toute la personnalisation nécessaire à la spécificité de votre environnement de travail et à vos process. Les métiers étant très différents, les systèmes d'information qui les accompagnent le sont également. Il s'agit donc d'une méthode d'amélioration permanente, sur le mode du PDCA (Plan, Do, Check, Act) ou dans l'esprit de la roue de Deming, que vous devez adapter à votre prore système.

Trois audits sont nécessaires pour la certification :

  • l’audit initial, qui diagnostique la situation et détermine les objectifs
  • l’audit de surveillance, qui vérifie le SMSI, la mise en place des actions correctives et le bon suivi de la méthode.
  • l’audit de renouvellement : l'audit final qui vérifie la correction des non-conformités relevées dans les audits précédents. S'il est validé, le certificat est délivré.


La famille iso 27000

La famille des normes ISO 27000 correspond aux différentes étapes de la démarche qualité

Toutes les normes ISO fonctionnent sur le principe du PDCA (plan, do, check, act), un cycle d’amélioration permanente de la qualité. Il s'agit donc de planifier, faire, vérifier et corriger, puis de recommencer cette boucle. Pour ce faire, il est nécessaire de mettre en place un tableau de bord, comportant des indicateurs choisis avec soin.

  • ISO 27000 présente le vocabulaire associé au SMSI, il s’agit d’un glossaire et de définitions permettant de cerner l’objet de la norme et de normaliser les termes employés pour celle-ci.
  • ISO 27002 - Mesures de sécurité : il s’agit d’un ensemble de 113 bonnes pratiques réparties sur 18 chapitres, une liste complète des éléments de sécurité informatique, qui concernent aussi bien le matériel, les procédures, le chiffrement des données, les sauvegardes… (plan)
  • ISO 27003 – Implémentation, c'est-à-dire la procédure de réalisation et de mise en œuvre (do)
  • ISO 27004 - Indicateurs SMSI : L’ISO 27004 est la partie de la méthode de certification qui vise à doter le système d’évaluation d’indicateurs fiables pour mesurer de niveau d’efficacité du système de management de la sécurité de l’information. (check)
  • ISO 27005 - Gestion de risque (Act)
  • ISO 27006 - Certification de SMSI
  • ISO 27007 - Audit de SMSI : un auditeur externe, d'un organisme de certification agréé teste la procédure du SMSI point par point et détermine si la certification est accordée ou si des actions restent à mettre en oeuvre.



Mentions légales

Editeur :

GIBERT
263 B rue de Nantes
35200 Rennes
France
Numéro de Siret - 51077269200016

Hebergeur : OVH

Siège social : 2 rue Kellermann
59100 Roubaix
France.

informations cookies

Ce site utilise les cookies fournis par Google pour ses modules Adsesne et Analytics (publicités et statistiques)