Que couvre la norme ISO 27001 ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

La norme ISO 27001 est une norme de sécurité qui décrit les exigences proposées pour le contrôle, la surveillance et l’amélioration des systèmes de gestion de la sécurité de l’information (SGSI). Plus précisément, elle contient des lignes directrices pour l’établissement et la surveillance des systèmes de gestion de la sécurité de l’information (SGSI) et comprend des politiques et des procédures qui contribuent à la protection des données des clients. La conformité à la norme ISO 2701001 offre aux entreprises des avantages pour mieux gérer leurs systèmes informatiques grâce à des éléments de contrôle. Outre les contrôles, la norme ISO 2701001 comprend 10 « systèmes de gestion » qui assurent la gestion des systèmes d’information tels que la protection des données, la sécurité, l’intégrité des données et la sécurité des données. Sources : 8,19,5,0]

Les exigences GDPR intégrées de la norme ISO 2701001 pour la protection et l’intégrité des données étendent le champ d’application aux informations qui ont de la valeur pour l’entreprise, y compris les informations sur les clients telles que les informations sur les cartes de crédit, les informations sur les comptes bancaires, les informations financières et autres informations sensibles. Sources : 12]

Il en va de même pour les contrôles et processus de sécurité requis pour se conformer aux règles, comme la protection et l’intégrité des données. Si la norme ISO 27001 couvre la protection des données sous forme de copies électroniques et imprimées d’informations personnelles, elle couvre également de nombreux types différents d’informations stockées électroniquement, sur papier ou par des tiers. Sources : 9]

La norme ISO 27001 peut vous aider à sécuriser vos données en garantissant la confidentialité des informations clients et des données internes. Par exemple, la norme ISO 9001 vous permet d’exploiter le potentiel des systèmes de gestion de la qualité, tels que la norme ISO-9001. [Sources : 10,12,1,5]

Bien que la norme ISO 27001 soit censée être conçue pour gérer la sécurité de l’information dans son ensemble, elle couvre bien plus que le département informatique de votre organisation. Le certificat ISO 27001 vous indique clairement que votre organisation répond aux exigences de l’Organisation internationale de normalisation (IOS) et de l’Union européenne. Sources : 18,3]

ISO 27001 (ISMS), y compris ceux utilisés pour protéger la sécurité des informations, comme les bases de données, le stockage des données et les systèmes de gestion des données. La lettre d’application de la norme ISO 27001 sert de liste de contrôle des exigences que votre entreprise doit définir et respecter dans ses politiques, pratiques et procédures. La norme ISO 27002 attend de la direction de votre entreprise qu’elle définisse les exigences et les procédures requises pour les mettre en œuvre, ainsi que la mise en œuvre de ces exigences, en temps voulu et conformément aux politiques et pratiques de l’entreprise. Outre la normalisation des systèmes et processus informatiques au sein du département informatique, la norme ISO 29001 (c) (2013) exige également que les organismes s’évaluent en termes de qualité de leur infrastructure informatique et de leur gestion des systèmes (SGSI). [Sources : 17,11,13,16]

Les deux normes de conformité les plus courantes sont la norme ISO IEC 27001 (2013), souvent abrégée en ISO27001, et la norme ISO 27002. Alors que la norme ISO 29001 définit les exigences et les procédures pour la mise en œuvre des systèmes et processus informatiques conformément aux politiques, pratiques et usages de l’organisme et fournit des conseils détaillés dans la lettre d’accompagnement et l’annexe sur la gestion des systèmes informatiques, la norme ISO 28001 ne fournit qu’une brève description, tandis que la norme ISO 26002 fournit une description plus détaillée et plus précise des exigences de conformité pour les systèmes informatiques et les SGTI. [Sources : 4,14,14]

Les normes ISO peuvent être utilisées pour gérer la gouvernance, le risque et la conformité dans de nombreuses disciplines. En particulier, la norme ISO 27001 est conçue comme un cadre pour la mise en œuvre du GDPR (General Data Protection Regulation) et peut dans certains cas, si elle est correctement structurée, utiliser le GDPR. Alors qu’elle définit les exigences relatives aux SMSI, la norme ISO-27001 est la norme de conformité la plus courante pour la gestion des systèmes informatiques et des SMSI et un élément clé de la gestion des systèmes informatiques (GSI). Alors qu’elle définit les exigences relatives aux SMSI et comment elle définit les exigences relatives aux SMSI, la norme ISO-26002 est une partie importante du système de gouvernance et de gestion des risques (GRS) de l’ISO. [Sources : 12,2,20,20]

L’ISO-27001 est l’une des normes conçues pour gérer la sécurité de l’information et se compose de 114 contrôles (inclus dans l’annexe A et étendus dans l’ISO-26002) fournissant un cadre pour la gestion des risques de sécurité de l’information. Bien qu’il y ait des dizaines de normes couvertes dans la série ISO 27000, la norme ISO 26002 est la première et la plus importante et un élément clé du système de gouvernance et de gestion des risques de l’ISO. Sources : 15,20,5]

Après tout, l’ISO 27001 est un cadre complet qui aide les entreprises à se conformer à un large éventail de réglementations, telles que le GDPR et le NIST. Bien que certains domaines ne soient pas couverts par la norme ISO 27001, le Règlement général sur la protection des données (RGPD) de l’UE couvre la RGPD parce que les données personnelles sont reconnues comme un actif pour la sécurité de l’information à la fois par les normes ISO 26002 et ISO 26001. En effet, l’article 24 du RGPD stipule que le respect d’un code de conduite et une certification reconnue peuvent être utilisés comme éléments pour démontrer la conformité. La norme ISO27002 est la norme la plus complète en matière de sécurité des données et de gestion de la protection des données en Europe. Sources : 11,7,6]

Sources :

  • 0] : https://blackkitetech.com/do-you-monitor-your-suppliers-iso-iec-27001-regulations-say-you-should/
  • 1] : https://www.british-assessment.co.uk/insights/iso-27001-beginners-guide/
  • 2] : https://www.varonis.com/blog/iso-27001-compliance/
  • [3] : https://www.sufle.io/blog/what-is-iso-27001
  • [4] : https://www.vxchnge.com/blog/iso-27001-vs-soc-2
  • [5] : https://www.itgovernanceusa.com/iso27001
  • [6]: https://blog.netwrix.com/2018/04/26/gdpr-and-iso-27001-mapping-is-iso-27001-enough-for-gdpr-compliance/
  • [7] : https://secureprivacy.ai/blog/iso-27001-and-gdpr-website-compliance
  • [8] : https://www.iqvia.com/locations/united-states/blogs/2020/02/iso-iec-27001-and-value-of-certified-life-sciences-services-providers
  • [9] : https://hyperproof.io/resource/iso27001-certification/
  • [10] : https://xbsoftware.com/faq/difference-between-iso-certified-and-non-iso-companies/
  • [11] : https://heylaika.com/blog/iso-27001-for-startups/
  • [12] : https://www.assentriskmanagement.co.uk/iso-27001-gdpr/
  • [13] : https://www.ionos.com/digitalguide/server/security/iso-27001/
  • [14]: https://advisera.com/27001academy/what-is-iso-27001/
  • [15] : https://www.panorays.com/blog/what-is-the-iso-27000-series-and-how-it-affects-business/
  • [16] : https://www.rigcert.org/iso_iec_27001-12.htm
  • [17] : https://bestpractice.biz/iso-27001-controls-what-is-annex-a17/
  • [18] : https://www.pivotpointsecurity.com/blog/iso-27001-2013-business-continuity-iso-22301/
  • [19] : https://moqod.com/how-iso-27001-certification-helps-to-ensure-your-data-confidentiality-integrity-and-availability-2/
  • [20] : https://continuumgrc.com/why-is-iso-27001-critical/