Découvrez nos solutions sans obligation d’achat
La norme ISO 27001 est publiée par l’Organisation internationale de normalisation (ISO) et décrit comment la sécurité de l’information est assurée dans une organisation. Les exigences de la norme ISO 9001 reflètent la nécessité de garantir la qualité des services, comme le décrivent les exigences du ministère américain de la sécurité intérieure (DHS). L’exigence de la norme ISO 27001 reconnaît l’importance de fournir des services de haute qualité pour la sécurité et l’intégrité des systèmes d’information et des systèmes de gestion de l’information. L’ISO 27001 est une norme conçue pour vous aider à construire, maintenir et améliorer en permanence votre système de gestion de la sécurité de l’information, tandis que l’ISO 27002 décrit les exigences relatives à la mise en œuvre de systèmes de gestion de la sécurité de l’information (SGSI) dans votre organisation et traite des exigences en matière d’information et de sécurité pour vos fournisseurs. [Sources : 2,10,1,1]
Ces exigences sont communes et peuvent être prises en compte de la même manière et au même moment, mais elles ne sont pas communes à toutes les organisations, car les exigences relatives aux différents types de systèmes de gestion de l’information (SGI) sont différentes selon les organisations. Et dans certaines organisations, elles ne sont pas toutes satisfaites en même temps. Cette exigence est générale, commune à toutes les organisations dans les exigences d’intégration de l’ISO 9001 et de l’ISO 27001 et peut être prise en compte dans ces exigences et dans l’une d’entre elles. [Sources : 0,0]
Le programme de gestion des fournisseurs ISO 27001 fournira à l’organisme les outils de base nécessaires pour répondre aux exigences de l’ISO 9001. Le développement d’un processus documenté pour répondre aux exigences de l’ISO 27001 aidera les organismes à créer une base pour l’ISO 27001 et pour intégrer les exigences du SGTI dans leurs systèmes informatiques. [Sources : 1,1]
Si vous avez déjà mis en œuvre la norme ISO 9001, si vous souhaitez mettre en œuvre les normes ISO 27001 ou ISO 9001, ou si vous envisagez de mettre également en œuvre la norme ISO 28001, la meilleure approche consiste à créer un système de gestion intégrée (SGI) qui répond aux exigences des deux normes. Le SGI peut être intégré à un SGQ existant si l’organisme dispose déjà d’un SGQ certifié ou s’il est conçu pour permettre à un organisme de développer un système de gestion qui intègre toutes les exigences des deux normes. [Sources : 1,7,11]
Cela signifie que le SMSI ISO 27001 peut être intégré à d’autres systèmes de management ISO pour partager une structure commune. La norme ISO 9001 aide les responsables à améliorer les performances de l’entreprise par rapport aux concurrents qui n’utilisent pas un tel système de management. En adoptant les mêmes normes de gestion de la qualité et de la sécurité de l’information, une organisation peut intégrer le contrôle de l’information, qui documente la gestion de l’information et des données, ainsi que la protection de l’information, dans le SGSI. [Sources : 2,6,11]
Si un organisme est déjà certifié ISO 27001 et dispose d’un SGSI existant, il n’est pas nécessaire de l’intégrer dans la norme ISO. Un organisme qui a développé son système de management de la qualité (SMQ) selon les exigences de l’ISO est également certifié ISO 9001-215. En outre, l’organisme qui le conçoit et l’adapte à ses exigences ISO doit étendre son SMQ existant à toutes les exigences ISO et exclure les similitudes entre ISO-9001 et ISO 27001 déjà décrites ci-dessus. Les clauses qui définissent les exigences en matière de documentation de l’information doivent être remplies afin d’étendre les possibilités de l’ISO 90001-QMS existant et de la nouvelle ISO 2300-ISMS dans le SGTI pour le contrôle de l’information. [Sources : 11,5,5]
Pour les organismes qui ont déjà été certifiés ISO, la certification ISO-27001 est une étape importante dans le développement et la mise en œuvre de leur organisation. Les organismes qui souhaitent démontrer leur conformité aux normes ISO 27001 et ISO 9001 peuvent économiser beaucoup de temps, d’argent et d’efforts en intégrant ces normes, en commençant par l’introduction de la norme ISO 2300-ISMS dans le SGTI et les autres normes ISO.
Sources :
[0] : https://www.certificationeurope.com/insights/integrating-iso-9001-iso-27001-works/
2] : https://www.process.st/iso-27001/
[3] : https://www.itgovernance.eu/sv-se/management-system-integration-se
[4] : https://www.itgovernance.co.uk/management-system-integration
[5] : https://www.sync-resource.com/iso-27001-integration/
[6] : http://isoconsultantpune.com/iso-9001/
[8] : https://www.engineeringmanagement.info/2020/12/integrating-iso-9001-and-iso-27001.html
[9] : http://www.qspsolutions.co.uk/services/ims/index.html
[10] : https://qalliance.org/en/why-iso-27001-important-for-your-company/
[11] : https://www.pivotpointsecurity.com/blog/benefits-integrating-isos-27001-and-9001/