Quelles sont les exigences de la norme ISO 27001 ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Dans cet article, il y sera explorer comment vous pouvez utiliser les exigences de la norme ISO 27001 pour établir, mettre en œuvre, maintenir et améliorer en permanence votre système de gestion de la sécurité de l’information (SGSI). Cette norme représente un ensemble complet d’exigences pour l’introduction d’un système de gestion de la sécurité de l’information (SGSI) dans votre organisation. Sources : 24,18]

Les exigences de la norme ISO 27001, à condition que les exigences de votre organisation soient respectées et que vous ayez réalisé avec succès un audit et la mise en œuvre d’un SGSI. Sources : 23]

Enfin, la norme ISO 27001 est définie comme un ensemble d’exigences contraignantes qui doivent être mises en œuvre pour qu’une organisation se conforme aux normes. Le paragraphe 4 (10) indique que les exigences ISO27001 sont obligatoires pour toute organisation souhaitant se conformer à la norme. Sources : 7,21]

Les exigences de gestion ne sont généralement pas techniques et se réfèrent habituellement aux politiques et aux procédures. La norme ISO 27001 attend de la direction qu’elle définisse les exigences qui doivent être mises en œuvre conformément aux politiques, procédures et politiques de gestion de l’organisme. Sources : 4,16]

La formation à la sensibilisation à la sécurité peut être facilement mise en œuvre et contribuer à satisfaire à toutes les parties des exigences de la norme ISO 27001. L’organisme doit mettre en œuvre toutes ses exigences et est responsable du respect ou non des lignes directrices et des normes et de leur application. [Sources : 14,0]

Les normes ISO 27001 appartiennent à la famille des normes ISO / IEC 27000 et sont conçues en particulier comme des normes pour la protection des données, la gestion des données, la sécurité des informations et la gestion de la sécurité des données. L’ISO-27001 peut servir d’outil important pour les groupes et les institutions qui souhaitent améliorer leurs pratiques en matière de protection et de sécurité des données. Elle aide les organisations à sécuriser leurs bases d’informations en minimisant les risques et en maintenant un haut niveau de conformité aux exigences de l’Organisation internationale de normalisation (ISO). ISO, une organisation peut améliorer les risques liés à la sécurité de l’information et la capacité à se conformer aux ordres de protection des données. Sources : 22,2,13,22]

Ce document explique que les 114 contrôles de sécurité définis dans l’annexe A de la norme ISO 27001 sont repris. Les exigences de la norme ISO 27001 garantissent que vous êtes en mesure de mener à bien les activités, c’est-à-dire de suivre les procédures, les protocoles et les contrôles, et d’intégrer et de définir les exigences en matière de protection des données, de gestion des données et de sécurité des données. La GIS doit être introduite, maintenue, améliorée et entretenue conformément aux normes de l’Organisation internationale de normalisation (ISO) et de la norme IEC 27000. [Sources : 10,13,20,17]

Pour être certifié ISO 27001, vous devez mettre en œuvre des processus et suivre des pratiques d’amélioration continue. Ils doivent considérer les fournisseurs de services qui recherchent la meilleure mise en œuvre possible des meilleures pratiques dans les domaines de la protection des données, de la gestion des données et de la sécurité des données. En résumé, la norme ISO27001 vise à fournir une norme pour l’introduction de systèmes de sécurité et de gestion de l’information. L’objectif de la norme ISO 23001, de l’Organisation internationale de normalisation (ISO) et de la norme CEI 27000 est « d’établir des lignes directrices sur la manière dont une organisation moderne devrait gérer ses informations ou ses données. » [Sources : 5,22,11,9]

La liste de contrôle de l’ISO 27001 est basée sur les exigences fondamentales de l’ISO 27001, et la lettre d’application sert de guide pour définir précisément les exigences auxquelles une entreprise doit répondre par le biais de politiques, de pratiques et de procédures. Sources : 19,12]

La norme ISO 27001 exige que les entreprises reçoivent en temps utile des informations sur les vulnérabilités techniques des systèmes d’information, qu’elles évaluent ces vulnérabilités et qu’elles prennent des mesures pour gérer les risques encourus. La norme ISO 2701 exige qu’une entreprise identifie et mette à jour toutes les exigences légales, contractuelles et réglementaires applicables en matière de sécurité de l’information. Sources : 1,1]

La certification ISO 27001 devrait aider la plupart des partenaires commerciaux à s’assurer du statut de leur organisation en matière de sécurité de l’information par le biais de leurs propres contrôles de sécurité. En général, la norme ISO 2701 exige des fournisseurs qu’ils prennent en charge la sécurité de l’information conformément aux meilleures pratiques de l’Organisation internationale de normalisation (ISO) et d’autres normes internationales. Même si la certification n’est pas le but recherché, une organisation qui se conforme au cadre ISO 27001 bénéficiera d’une gestion optimale – et pratique – de la sécurité. Sources : 14,6,9]

Après tout, l’ISO 27001 est un cadre complet qui aide les entreprises à se conformer à un large éventail de réglementations, du GDPR au NIST. La norme ISO IEC 27000 est souvent appelée ISO-27001, mais elle est plus étroitement liée à l’Organisation internationale de normalisation (ISO) 2701 et est décrite plus en détail en faisant référence à un certain nombre d’autres normes internationales, telles que celles contenues dans la Convention des Nations Unies sur le droit de la mer (UNCLOS), l’Organisation mondiale de la santé (OMS) et l’Union européenne (UE). Sources : 12,3,25]

La norme ISO 27001 engage les entreprises à établir, mettre en œuvre et maintenir une approche d’amélioration continue pour gérer leur GIS. Cette norme aidera les entreprises à établir et à améliorer un système de gestion de l’information sur la protection des données (PIMS) pour améliorer un ISM basé sur la sécurité de l’information, la protection des données et l’intégrité des données. Pour prolonger cette brève description, la norme ISO-27002 est une norme supplémentaire qui contient un certain nombre de contrôles de sécurité de l’information qu’un organisme peut souhaiter introduire, et une annexe à la norme ISO 2701. ISO27001, qui exige qu’une entreprise ait établi, mis en œuvre et maintenu une « approche d’amélioration continue » pour la gestion de son SMSI. Sources : 2,18,6]

Pour qu’une organisation soit certifiée ISO 27001, vous devez suivre quelques étapes. Quelle que soit la taille de votre organisation, assurez-vous que vous avez déjà satisfait à un grand nombre des exigences de la norme ISO 27001. Sources : 8,15]

Sources :

  • [0] : https://thedefenceworks.com/blog/iso-27001-and-security-awareness-training/
  • 1] : https://www.rigcert.org/iso_iec_27001-12.htm
  • [3] : https://www.vxchnge.com/blog/iso-iec-270012013-data-center-compliance
  • [4] : https://www.pragmastrategy.com/consult/iso27001/iso-27001-requirements-and-certification-process/
  • [5] : https://linfordco.com/blog/soc-2-security-vs-iso-27001-certification/
  • [6] : https://www.isaca.org/resources/isaca-journal/past-issues/2011/2011-planning-for-and-implementing-iso-27001
  • [7] : https://www.vistainfosec.com/blog/guide-on-iso-27001-controls/
  • [9] : https://safetyculture.com/checklists/iso-27001/
  • [10] : https://www.imperva.com/learn/data-security/iso-27001/
  • [11] : https://www.coalfire.com/the-coalfire-blog/august-2020/key-scoping-factors-when-pursuing-iso-27001-cert
  • [12] : https://heylaika.com/blog/iso-27001-for-startups/
  • [13] : https://www.sync-resource.com/maintaining-iso-27001-certification/
  • [14] : http://www.klaushaller.net/?page_id=552
  • [15] : https://kirkpatrickprice.com/blog/iso-27001-certification-vs-audit-process/
  • [16] : https://www.ionos.com/digitalguide/server/security/iso-27001/
  • [17] : https://www.british-assessment.co.uk/insights/what-are-the-iso-27001-requirements/
  • [18] : https://www.certificationeurope.com/certification/iso-27001-information-security/
  • [19] : https://www.process.st/iso-27001/
  • [20] : https://www.riskmanagementstudio.com/best-practice-iso-27001-required-documentation/
  • [21] : https://www.securicy.com/blog/guide-to-implement-iso-27001-controls/
  • [22] : https://www.varonis.com/blog/iso-27001-compliance/
  • [23] : https://support.zendesk.com/hc/en-us/articles/205419737-Zendesk-s-Commitment-to-International-Standards-for-Information-Security-and-Privacy-ISO-27001-and-ISO-27018-
  • [24] : https://www.horangi.com/horangipedia/what-is-iso-27001
  • [25] : https://www.insightsassociation.org/get-support/iso-information-security-standard-27001