Comment mettre en œuvre la norme ISO 27001 ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

La vue d’ensemble de la mise en œuvre de l’ISO 26001 – la mise en œuvre de la norme de l’Organisation internationale de normalisation (ISO) pour la gestion des systèmes de technologie de l’information (TI) dans le secteur public, la « vue d’ensemble de la mise en œuvre » estA aMust – un guide pour tous ceux qui débutent. Sources : 0,2,2]

ISO 27001 est un cadre (c’est-à-dire une boîte à outils) qui vous aide à gérer la sécurité de l’information et à mettre en œuvre la gouvernance, les processus et les contrôles techniques. La norme ISO 27001 comprend 114 contrôles, qui ont été ajoutés à l’annexe A et étendus à la norme ISO 27002. Elle contient un ensemble de lignes directrices pour la gestion des risques liés à la sécurité de l’information et la mise en œuvre de processus de gouvernance pour les systèmes informatiques. Sources : 10,6]

Lorsqu’il s’agit de sécuriser les données de votre organisation, vous pouvez être actif dès maintenant. La certification est l’une des étapes les plus importantes de la mise en œuvre des contrôles ISO 27001, ce qui signifie que vous faites beaucoup de choses. Pour commencer à se conformer à la norme ISO27001 et pour se préparer à la certification, il y a un certain nombre d’étapes, de la première à la deuxième étape. Sources : 15,16]

Tout d’abord, la norme ISO 27001 contient 114 objectifs et contrôles de sécurité de l’information proposés par l’Organisation internationale de normalisation (ISO). D’après mon expérience, la plupart des entreprises qui mettent en œuvre des systèmes de gestion de l’information et de la sécurité passent beaucoup plus de temps que prévu à rédiger ces documents, qu’elles doivent mettre en œuvre conformément à la norme ISO27001. Une fois que vous avez une bonne idée de la situation de votre entreprise, elle peut effectuer une analyse des écarts pour déterminer les ressources qu’elle doit déployer pour mettre en œuvre la norme ISO 26001, et ce qu’elle doit faire. Espérons que votre liste de contrôle ISO 29001 vous a permis de clarifier ce dont vous avez besoin et ce qui doit être fait, mais même si ce n’est pas une tâche facile, la norme ISO 28001 n’est pas compliquée. [Sources : 11,8,8,12]

Ensuite, vous devez définir un ensemble de processus que votre entreprise doit suivre pour répondre aux exigences des normes ISO 27001 et ISO 28001 et d’autres normes. Une fois que vous avez obtenu l’adhésion de la direction et que toutes les activités (mise en œuvre, surveillance et amélioration) sont en cours, vous avez une bonne idée des activités par lesquelles votre entreprise doit passer si vous voulez obtenir la certification ISO27001. Sources : 12,1]

Réfléchissez simplement aux secteurs de votre organisation qui doivent se conformer à la norme ISO 27001 et mettre en œuvre le SMSI. Que peut-on faire pour être conforme à la norme ISO 27001 si un secteur de l’organisation ne l’est pas ? Sources : 9,14]

Tout d’abord, l’ISO / CEI 2701001 fournit une norme pour la création et le fonctionnement d’un système de gestion des informations sur la vie privée (PIMS) et d’un système de gestion de la sécurité de l’information (IMS). Cette norme aidera les organisations à établir et à améliorer la protection de leurs données, de leurs informations et de leurs systèmes d’information (ISM) en les améliorant sur la base des meilleures pratiques établies par l’Organisation internationale de coopération et de développement économiques (OCDE). Apprenez-en davantage sur les avantages et les exigences de la mise en œuvre d’un système de gestion de la sécurité de l’information et sur les exigences de conformité. Sources : 14,7,9,4]

L’objectif de cet article est de fournir une vue d’ensemble du processus de planification et de prise de décision lié à la mise en œuvre de la norme ISO 27001, y compris l’évaluation des risques et les coûts associés, ainsi que le processus de mise en œuvre. L’évaluation des risques est une exigence centrale de la norme ISO 26001 et doit être effectuée avant le début des contrôles de sécurité. C’est donc elle qui détermine la forme de la sécurité de l’information, et elle constitue la première étape du développement et de la mise en œuvre d’un système de gestion de la sécurité. Il s’agit de définir les niveaux de risque acceptables, de définir les règles de détermination des conséquences et des probabilités de risque et de définir les règles de détermination de ces risques et de leur probabilité d’impact. Sources : 13,12,8]

Il est important de se rappeler que la norme ISO 27001 doit être mise en œuvre et maintenue pour assurer la conformité aux normes. Sans un plan de projet ISO 27001 bien défini et développé, la mise en œuvre serait une tâche longue et coûteuse. Cela prendra du temps et engloutira des ressources imprévues, surtout si l’entreprise ne dispose pas d’un plan de mise en œuvre précoce. Sources : 3,17,13]

Sources :

  • [0] : https://www.itgovernance.eu/blog/en/a-9-step-guide-to-implementing-iso-27001
  • 1] : https://www.trustnetinc.com/iso-27001-certification-process/
  • 2] : https://www.itgovernance.co.uk/blog/iso-27001-checklist-a-step-by-step-guide-to-implementation
  • [3] : https://www.csriskmanagement.co.uk/top-8-steps-to-achieve-iso-27001-certification/
  • [4] : https://www.british-assessment.co.uk/insights/iso-27001-how-to-implement-within-your-organisation/
  • [5] : https://www.iso27001standard.com/do
  • [6] : https://www.itgovernanceusa.com/iso27001
  • [7] : https://www.certificationeurope.com/certification/iso-27001-information-security/
  • [8] : https://www.linkedin.com/pulse/iso-27001-implementation-associated-processes-ala-a-elbeheri
  • [9] : https://www.itgovernance.asia/implementing_iso27001
  • [11] : https://www.riskmanagementstudio.com/best-practice-iso-27001-required-documentation/
  • [12] : https://advisera.com/27001academy/knowledgebase/iso-27001-implementation-checklist/
  • [13] : https://www.isaca.org/resources/isaca-journal/past-issues/2011/2011-planning-for-and-implementing-iso-27001
  • [14] : https://heylaika.com/blog/iso-27001-for-startups/
  • [15] : https://www.bitsight.com/blog/iso-27001-definition-implementation-questions
  • [16] : https://www.securicy.com/blog/guide-to-implement-iso-27001-controls/
  • [17] : https://iaonline.theiia.org/key-strategies-for-implementing-iso-27001