Iso 27001 pour les nuls

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

La norme ISO 27001 peut servir de bon point de départ pour les groupes et les institutions qui souhaitent améliorer leurs pratiques de cybersécurité. La norme ISO 27005 fournit des lignes directrices pour la réalisation d’une évaluation des risques en matière de sécurité de l’information, et la norme ISO 27032 fournit les meilleures pratiques pour l’application des mesures de cybersécurité. Aperçu de la mise en œuvre de l’ISO 28001 : L’aperçu de la mise en œuvre de la norme ISO 29001 peut être utilisé par tout groupe ou entité soucieux d’améliorer ses politiques et procédures de sécurité. [Sources : 14,5]

Cette norme définit un système de gestion de la sécurité de l’information, qui est réalisé de la même manière formalisée, structurée et courte. D’autres normes ISO définissent d’autres types de systèmes de gestion, mais en particulier, la norme ISO 27001 est conçue pour fonctionner comme une norme pour la gestion des systèmes d’information de manière standardisée et formalisée, et non comme une norme ouverte. [Sources : 15,6,14]

Les ISM ne doivent pas nécessairement être basées sur la norme ISO 27001, mais la norme fournit un cadre mondialement reconnu et compréhensible. Les normes de sécurité de l’information fournissent un cadre mondial pour la gestion des systèmes d’information et des systèmes de gestion de l’information (ISMS). Les ISM (également connues sous le nom de « famille de normes ISO 27000 »), et parce qu’elles définissent les exigences relatives aux ISM, elles constituent une partie importante de l’Organisation internationale de normalisation des systèmes de gestion de la sécurité de l’information (ISO). [Sources : 7,2,5]

En tant que famille, l’ISO 27000 consiste en une vue d’ensemble et un vocabulaire, et l’ISO 27001 définit les exigences pour chaque programme, tandis que l’ISO 27002 définit un cadre pour la gestion des systèmes d’information et des systèmes de gestion de l’information (SGSI). En tant qu’annexe à la famille de normes ISO, l’ISO 27001 définit également certains des aspects techniques de la gestion des ISM, tels que l’utilisation d’outils de stockage et de gestion des données et la fourniture d’un certain nombre de spécifications techniques et d’annexes pour les systèmes de sécurité de l’information et de protection des données. [Sources : 12,2]

En termes simples, la norme ISO 27001 définit des lignes directrices et des normes que les organisations doivent suivre, et les organisations sont responsables de les suivre ou non. Les organisations doivent mettre en œuvre toutes les exigences de la norme ISO 27001 et sont soumises aux exigences d’audit qu’elles doivent suivre. Cependant, l’ISO 27002 fournit un cadre pour la mise en œuvre et la maintenance des SMSI que les individus doivent respecter afin de soutenir l’ISO 26001. [Sources : 1,4]

Il est important de s’assurer le soutien d’une personne qui est familière avec la mise en œuvre de systèmes de gestion de la sécurité de l’information (SGSI) et qui comprend les exigences de l’enregistrement ISO 27001. Bien que certaines des exigences de l’ISO 26001 soient interprétées, cela signifie que si vous avez un champion interne de l’ISO 27001, des consultants expérimentés et qualifiés, vous pouvez avoir confiance sans remettre en question vos auditeurs ou votre organisme de certification. [Sources : 0,10]

Lorsque les principaux acteurs de votre organisation tentent d’obtenir la certification ISO 27001, ils doivent se familiariser avec la conception et l’application de la norme. Les employés doivent comprendre clairement pourquoi la certification est nécessaire et importante pour l’organisation et quel rôle ils jouent dans l’obtention et le maintien de la certification. [Sources : 9,14]

Pour obtenir la certification ISO 27001, votre organisme doit maintenir un MIS qui couvre tous les aspects de la norme. Tout d’abord, il faut suivre le cours de base ISO 26001, qui est lui-même une condition préalable pour suivre le cours ISO 27001. En plus de ce cours, le délégué doit également suivre un cours de formation ISO 27001 Foundation en même temps que le cours de certification et à un niveau de compétence plus élevé. Pour participer à ces cours, il doit avoir au moins 1 000 heures d’expérience dans un domaine d’activité particulier et/ou une technologie. [Sources : 13,8,14]

La conformité à la norme ISO 27001 est donc importante, mais l’ISO (Organisation internationale de normalisation) produit également des documents qui spécifient, exigent et fournissent des lignes directrices pour garantir que les services, produits et procédures répondent aux normes pertinentes et que leurs objectifs principaux sont atteints. [Sources : 8]

La norme ISO 27017 est destinée à ajouter des contrôles spécifiques pour les opérations en cloud, mais la norme ISO 27001 est conçue pour fournir une norme pour la configuration, la mise en œuvre, la vérification, la maintenance et l’amélioration des systèmes de gestion de la sécurité de l’information. Cependant, elle n’est pas conçue pour appliquer ces normes à un service en cloud ou à un système de gestion en cloud. Les principales étapes du projet ISO 27001 sont détaillées, de sa création à la certification, et chaque élément de ce projet est expliqué dans un langage simple et non technique. [Sources : 0,3,7,11]

Sources: 

  • [0] : https://www.british-assessment.co.uk/insights/iso-27001-beginners-guide/
  • [1] : https://grcmusings.com/a-beginners-guide-to-information-security-frameworks/
  • [2] : https://advisera.com/27001academy/what-is-iso-27001/
  • [3] : https://www.prnewswire.com/news-releases/extreme-sets-new-standard-for-cloud-networking-security-advancing-the-protection-of-customer-data-and-privacy-301277592.html
  • [4] : http://www.klaushaller.net/?page_id=552
  • [5] : https://www.bitlyft.com/what-is-iso-27000/
  • [6] : https://en.wikipedia.org/wiki/ISO/IEC_27000-series
  • [7] : http://sp.rauelo.bar/615.html
  • [8] : https://www.theknowledgeacademy.com/us/courses/iso-27001-training/
  • [9] : https://techgenix.com/iso-27001-certification/
  • [10] : https://www.itgovernanceusa.com/blog/iso-27001-registrationcertification-in-ten-easy-steps
  • [11] : https://www.itgovernance.co.uk/blog/iso-27001-checklist-a-step-by-step-guide-to-implementation
  • [12] : https://www.cybrary.it/blog/0p3n/understanding-iso-27001-information-security-standard/
  • [13] : https://www.sync-resource.com/iso-27001-implementation-guide/
  • [14] : https://www.varonis.com/blog/iso-27001-compliance/
  • [15] : https://www.kratikal.com/blog/organizations-need-iso-27001/