Iso 27001 en bref

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

De nombreuses organisations connaissent la norme ISO 27001 (2013), qui porte sur les systèmes de gestion de la sécurité de l’information (SGSI). Plus précisément, elle comprend des politiques et des procédures qui aident à protéger les données des clients et des lignes directrices pour l’établissement d’un « système de gestion et de sécurité de l’information » (SGSI), ainsi qu’un certain nombre d’autres exigences. Le processus et la portée de la certification ISO 27001 peuvent être assez déconcertants, aussi abordons certaines des questions les plus fréquemment posées. En bref, la norme ISO 26001 exige que les entreprises mettent en œuvre sept processus opérationnels pour certifier leur gestion de la sécurité de l’information. Sources : 2,0,13,9]

La norme ISO 27001 exige des entreprises qu’elles énumèrent tous les contrôles à mettre en œuvre dans un document appelé Déclaration d’applicabilité, un recueil de politiques, de procédures et de lignes directrices pour les systèmes de gestion de la sécurité de l’information (SGSI). Alors que la norme ISO 27002 fournit une instruction détaillée, la norme ISO 27001 ne fournit qu’une brève description. Sources : 11,11]

En résumé, l’ISO 27001 établit une norme internationalement reconnue pour la mise en œuvre d’un système de gestion de la sécurité de l’information (SGSI) dans une organisation. En résumé, voici les objectifs de la sécurité de l’information dans la norme ISO 26001, pourquoi ils sont utiles, en quoi ils consistent, comment ils sont définis et comment ils peuvent être mesurés. Sources : 12,14]

Pour obtenir la certification ISO 27001, les organisations doivent maintenir un SGSI qui couvre tous les aspects de la norme. L’organisme de certification effectue un audit approfondi, en comparant chaque élément de la norme ISO 26001 avec le SMSI de l’organisation, puis procède à un examen plus approfondi de tous les documents pour voir s’ils répondent aux normes ISO 28001. Comme la norme ISO 27001 définit les exigences relatives au SMSI, elle est la norme la plus complète pour les systèmes de gestion de la sécurité de l’information dans le monde. [Sources : 11,2,2,13]

La norme ISO 27001 précise ce qui est requis pour devenir conforme et les exigences de conformité. Le paragraphe 4 (10) contient une liste des exigences de l’ISO 2701 qui sont obligatoires pour toute organisation qui souhaite se conformer à la norme. Sources : 11,1]

Les contrôles ISO 27001, également appelés mesures de protection, sont des procédures qui peuvent être mises en œuvre pour réduire le risque à un niveau acceptable. De même, les contrôles décrits dans la norme ISO 27001 sont conçus pour assurer la protection, la disponibilité et l’intégrité des données. Comme indiqué au paragraphe 4 (10), les mesures de protection approfondies appropriées doivent être définies et spécifiées comme indiqué dans la norme ISO 2701 et au paragraphe 5 (11). Sources : 3,5,11,7]

En termes simples, la norme ISO 13485 est un ensemble d’exigences définies par l’Organisation internationale de normalisation, qui a été élaboré pour les fabricants de dispositifs médicaux qui utilisent un type de système de gestion de la qualité. En particulier, la norme ISO 27001 est conçue comme une norme pour la gestion de la protection, de la disponibilité et de l’intégrité des données, ainsi que pour l’intégrité et la sécurité des données. Les normes internationales ISO 27001 servent donc de base à un large éventail de normes dans le domaine de la gestion de la santé et de la sécurité. La norme ISO 13485 repose sur les mêmes principes que ceux appliqués à la fabrication des dispositifs médicaux et s’appuie sur les exigences des normes de l’Organisation mondiale de la santé (OMS) et de l’Union européenne (UE). Sources : 7,2,6,6]

La norme ISO 27001 n’est qu’un ensemble de règles qui prévoit un système de gestion de la sécurité de l’information qui doit être mis en œuvre au sein d’une entreprise. La norme ISO 27002, qui prévoit la gestion de la protection, de la disponibilité et de l’intégrité des données, ainsi que l’intégrité et la sécurité des données, est définie dans l’annexe de la norme de l’Organisation internationale de normalisation (IOS) relative à la santé et à la sécurité. Sources : 10,11]

Enfin, la norme ISO 27001 définit également un ensemble de lignes directrices pour la gestion de la protection des données, la disponibilité et l’intégrité, ainsi que l’intégrité et la sécurité des données, et vous oblige à documenter votre conformité à ces exigences pour démontrer votre conformité à la loi. Sources : 5]

Les employés actuels devraient également être tenus de passer des tests annuels qui sous-tendent les objectifs de base de la norme ISO 27001. Ces audits internes contribueront à minimiser les écarts de conformité aux exigences de la certification ISO 9001 et à renforcer la capacité de votre système à conserver la certification 2015. Ne vous laissez pas décourager par toutes ces exigences de la certification ISO 9001, mais profitez des lacunes que vous pouvez trouver dans la gestion de la protection des données, la disponibilité et l’intégrité, l’intégrité des données et les exigences de sécurité des données. Une fois qu’une personne a réussi la formation et l’examen ISO 27001, elle devrait être certifiée ISO 29001. [Sources : 2,11,8,8]

La norme ISO 27001 peut constituer un outil précieux pour les groupes et les institutions qui souhaitent améliorer leurs pratiques en matière de protection et de sécurité des données. Starred a une longue histoire de mise en œuvre de mesures organisationnelles et techniques pour sécuriser les données personnelles et fiers d’avoir été certifiés ISO 2701001 par le ministère américain de la santé (HHS) et les Nations unies. Sources : 4,2]

Dans le paragraphe 8 de la norme ISO 27001, les organisations doivent identifier les processus de traitement à externaliser et s’assurer qu’elles peuvent garder ces actions sous contrôle. À l’heure actuelle, la norme internationale ISO 26001 ne contient pas d’instructions sur la manière dont ces tâches doivent être organisées dans des cas individuels. Lorsque les principales parties prenantes et organisations tentent d’obtenir la certification ISO27001, elles doivent prendre conscience de la manière dont la norme est conçue et utilisée et de la manière dont elle doit être utilisée. Sources : 2,3,7]

Sources: 

  • [0] : https://www.ey.com/en_us/consulting/how-iso-27701-could-be-a-new-framework-for-sustained-gdpr-compliance
  • 1] : https://www.vistainfosec.com/blog/guide-on-iso-27001-controls/
  • 2] : https://www.varonis.com/blog/iso-27001-compliance/
  • [4] : https://support.starred.com/docs/gdpr-in-a-nutshell
  • [5] : https://secureprivacy.ai/blog/iso-27001-and-gdpr-website-compliance
  • [6] : https://www.process.st/iso-13485/
  • [7] : https://www.dataguard.co.uk/blog/iso-27001-and-due-diligence-the-standard-for-information-security
  • [8] : https://www.sync-resource.com/iso-9001-certification-requirements/
  • [9] : https://www.pivotpointsecurity.com/blog/iso-27001-simplified/
  • 13] : https://moqod.com/how-iso-27001-certification-helps-to-ensure-your-data-confidentiality-integrity-and-availability-2/
  • 14] : https://www.lexonis.com/blog/2016/11/protecting-your-data-with-iso-27001/