ISO 9001 Vs 27001

La norme ISO 27001 est une norme internationale publiée par l’Organisation internationale de normalisation (ISO) et décrit comment gérer la sécurité de l’information d’une entreprise. La norme ISO 9001 décrit une approche orientée processus pour documenter et examiner la structure, les responsabilités et les procédures requises pour parvenir à une gestion efficace de la qualité au sein d’un organisme. Par exemple, elle permet de débloquer le potentiel grâce à l’utilisation de systèmes de gestion de la qualité et peut contribuer à la sécurité des informations en garantissant la confidentialité des informations sur les clients et des données internes. Les organisations peuvent également intégrer des contrôles documentés de l’information afin d’adopter les meilleures pratiques de gestion de la qualité de la sécurité de l’information. Sources : 7,6,7,4]

Ces exigences sont communes et peuvent être satisfaites de la même manière et au même moment, mais elles ne peuvent pas être satisfaites par l’extension du SMQ ISO 9001 existant ou par des clauses qui spécifient les exigences relatives aux informations documentées. Ces exigences étaient communes, mais ne peuvent plus être satisfaites de cette manière ou d’une manière similaire aux exigences de l’ISO 27001. Sources : 2,7,8]

Ces exigences sont communes et peuvent être satisfaites de la même manière et au même moment, mais elles ne peuvent pas être satisfaites en étendant le SMQ ISO 9001 existant ou par des clauses qui spécifient les exigences en matière d’informations documentées. Sources : 7]

ISO 9001 est la première norme générale qui peut être appliquée à toutes les organisations qui cherchent à satisfaire leurs clients et à améliorer leurs processus. Le programme de gestion des fournisseurs ISO 27001 fournira aux organismes les outils de base nécessaires pour répondre aux exigences de la norme ISO 901001. Sources : 1,3]

Alors que la deuxième méthode a beaucoup moins d’exigences et que l’application de la même méthodologie dans l’ISO 9001 peut être écrasante et improductive, le processus est mélangé avec les risques et les opportunités abordés dans l’ISO 901001. Bien que la première ait beaucoup plus d’exigences en termes de risques et d’opportunités que l’ISO 27001, elle est également mélangée avec certains des risques / opportunités abordés en soi, tandis que la troisième a peu ou pas d’exigences, et bien que l’application de toutes ces méthodes dans ou en dehors de l’ISO 8001 et de l’ISO 7001-2015 puisse être écrasante ou improductive. Bien que la dernière fasse des exigences presque identiques à celles de l’ISO 29001 ou de l’ISO 26001, mais qu’elle soit beaucoup moins exigeante en matière de risques ou d’opportunités, et parce qu’elle applique toutes les méthodes de mise en œuvre, ce processus peut également être mélangé avec un certain nombre de risques / opportunités abordés dans / hors ou dans et hors de l’ISO 6001 et de l’ISO 5001 – 2015. Sources : 7,8]

L’ISO 7001 – 2015 prend en compte les exigences en matière de sécurité de l’information du fournisseur, alors que l’ISO 26001 ne le fait pas, et que l’ISO 6001-2015 ne traite que du risque / opportunité d’assurer la qualité du service. Si les exigences de l’ISO 9001 concernent la sécurité des informations et l’aptitude à fournir des services de qualité, elles ne concernent pas la protection des données personnelles. Sources : 5,3,3]

Bien que la gestion de l’information et la gestion de la qualité poursuivent des objectifs clairement distincts et différents, les exigences des systèmes ISO 27001 et ISO 9001 présentent certaines similitudes. La différence est que la première concerne la gestion de l’information, tandis que la seconde se concentre sur la sécurité de l’information. Les questions internes et externes pertinentes pour l’organisme doivent être identifiées avec ISO nine001 ou 270001, mais pas les deux. Sources : 4,9]

Si vous avez déjà mis en œuvre la norme ISO 9001 et souhaitez mettre en œuvre la norme ISO 27001 ou si vous envisagez de mettre en œuvre les deux normes simultanément, la meilleure approche consiste à créer un système de gestion intégré (SGI) qui répond aux exigences de chaque norme. Si votre organisme dispose déjà d’un SMQ certifié, vous pouvez intégrer un SGI à votre SMQ existant s’il est conçu pour permettre à l’organisme de développer un système de gestion qui intègre les exigences des deux normes. En outre, un organisme qui a développé et adapté ses systèmes de gestion de la qualité (SGQ) aux exigences de l’ISO est également certifié ISO-9001-215 et doit adapter son SGQ existant aux exigences de l’ISO (à l’exception des similitudes entre les normes ISO 7001 – 2601 et ISO27001 décrites ci-dessus). Les organisations qui souhaitent avoir la capacité de démontrer leur conformité à ISO 29001 ou ISO 28001, ainsi que leur conformité à ISO 26001 (ou même à ISO 23001), peuvent économiser beaucoup de temps, d’argent et d’efforts en intégrant ces efforts dès le départ. Sources : 8,2,0,2]

Sources :

[0] : https://www.sync-resource.com/iso-27001-integration/
2] : https://www.pivotpointsecurity.com/blog/benefits-integrating-isos-27001-and-9001/
[4] : https://xbsoftware.com/faq/difference-between-iso-certified-and-non-iso-companies/
[5] : https://www.process.st/iso-27001/
[6] : https://www.axway.com/en/customers/axway-quality-and-security-compliance
[9] : https://www.cognidox.com/blog/iso-27001-and-iso-9001-how-an-integrated-response-can-work