Feel Agile

Certification du monde numérique

O f f r e d ’a c c o m p a g n e m e n t à l a c e r t i f i c a t i o n I S O 2 7 0 0 1
Certification ISO 27001

La norme ISO 27001 est une norme internationale sur le management de la sécurité de
l’information.
Elle définit un système de management de la sécurité de l’information (SMSI) à mettre en
place dans l’entreprise.
Le SMSI est l’organisation (processus, responsabilités, actions…) que l’entreprise doit
mettre en place pour améliorer la sécurité de l’information.
La sécurité de l’information et l’ISO 27001
Comprendre les fondementaux
La sécurité de l’information couvre toute la maîtrise des services et la protection des informations dans les composantes suivantes de l’entreprise :

Disponibilité La sécurité de l’information comporte une sécurité organisationnelle et la

Accessibilité au moment voulu des biens par les personnes
autorisées cyber-sécurité (sécurité technique en environnement complexe et
connecté).

Intégrité
Exactitude et de complétude
Une modification illégitime d’un bien doit pouvoir être détectée
et corrigée

Confidentialité
Propriété des biens de n'être accessibles qu'aux personnes
autorisées
Absence de fuite de données
 Norme internationale en sécurité Amélioration Continue
Norme internationale de sécurité de l’information qui vise La certification ISO 27001 ne vise pas un niveau de sécurité précis
à définir un Système de Management de la sécurité de mais une démarche d’amélioration continue sur plusieurs années.
l’Information (SMSI). Le niveau de sécurité est définit en fonction des enjeux de
l’entreprise.

Bonnes pratiques Pilotage de la sécurité

Ensemble de règles et de bonnes pratiques visant à Mise en place des responsabilités et KPI pour piloter et rendre
sécuriser les activités essentielles de votre entreprise, vous compte de la sécurité. Donner la garantie du niveau de sécurité
protégeant du vol ou de la perte de données, mais aussi en visé.
garantissant l’accès aux informations.

Organisation et responsabilités Analyse des risques

Définir les responsabilités, les processus et la L’analyse des risques est l’exigence centrale de l’ISO 27001 qui
documentation nécessaire au fonctionnement de la montre que l’entreprise est consciente des risques pesant sur ses
sécurité et du Système de Management de la Sécurité de données sensibles, et qu’elle est capable de se protéger.
l’Information

ISO 27001 - overview L’ISO 27001 – Exigences pour un Système de Management de la Sécurité de l’Information est
une norme certifiable pour les entreprises qui prouve la maîtrise de la sécurité et de leur
système d’information.
ISO 27002
Guide de bonnes pratiques à appliquer
L’ISO 27001 liste les actions de sécurité (mesures), 114 mesures de sécurité dans l’annexe A de la norme. Cette liste de mesures de sécurité est reprise et détaillée dans la

norme ISO 27002. Cette norme décrit ces pratiques en 14 chapitres listés ci-dessous.

Continuité
Politique de sécurité Gestion des actifs Sécurité physique R&D - Développement

Organisation Contrôle d’accès Exploitation SI Conformité et

Gestion des tiers
règlementation

Ressources Humaines
Cryptographie Communication et Gestion des incidents
réseaux
 ISO 27001
Processus de certification

Pré-audit*
pour vérifier la
Dépôt de dossier capacité de Délivrance du
et devis l’organisme certificat Second audit
3 à 4 mois avant la 1 mois avant 1 mois après de suivi
certification l’audit l’audit annuel

Envoi des Audit de

documents certification
Premier
clés sur site
audit
1 mois avant la de suivi
date de pré- annuel
audit

* Le pré-audit est un audit documentaire de 1 jour maximum pour vérifier la capacité de l’audité à répondre aux exigences de la norme ISO 27001.
Processus et offre

Notre offre d’accompagnement à l’ISO 27001 comprend un forfait d’accompagnement de bout en

bout pour votre certification.

Nous pouvons également réaliser des accompagnements complémentaires de formalisation

documentaire, de formations certifiantes, et d’audit blanc.

Votre projet de certification BUILD

La phase de mise en œuvre (Build) dure de 4 à 8

mois et nécessite la mise en œuvre des
exigences ISO 27001 et les bonnes pratiques de
sécurité de l’information de la norme ISO 27002.
Nous prenons en charge votre projet de certification à l’ISO 27001 sur un mode
forfaitaire en alternant séances sur site et travail à distance.

RUN

Notre offre comprends des actions de conseil, formation et formalisation. La phase de vie de votre système (Run) de 3 à 6
Tous les documents spécifiques à la certification sont rédigés par notre mois avant de pouvoir envisager une
certification.
consultant.

CYCLE DE
Comme présenté ci-après nous disposons également d’un offre de formalisation
CERTIFICATION
de votre documents et processus de sécurité.
Le cycle d’un certificat est de trois ans avec un audit tous les ans :
• Etape 1 (1 mois avant l’audit de certification)
• Premier audit (entre 2 et 5 jours environ)
L’effort de mise en œuvre nécessite en interne de mettre en place une ressource
• Audit de suivi 1
pour la coordination des actions et prendre la responsabilité du SMSI. • Audit de suivi 2

Suite à l’audit initial, le certificateur étudie le rapport de l’auditeur,

pour accorder ou non la certification. Sans écart majeur détecté lors
de l’audit de certification votre certificat est délivré au bout d’un
mois environ.

Le certificateur est un organisme accrédité par le COFRAC est

indépendant de la structure certifiée et ne doit pas avoir participé à
l’accompagnement ou au conseil de la structure certifiée.

Au bout de trois ans vous devez recommencer un cycle de certification complet.

Une offre intégrée
Conseil
Du diagnostic à la certification
Processus d’accompagnement
Processus complet

Documentation d’accompagnement de l’analyse

des risques jusqu’à la certification
Formalisation de l’ensemble de
Documentation Conseil
vos documents nécessaires à la
certification
Certification

Dossier de certification
Prise en charge du dossier de
certification et relation au
Audit Formation
certificateur

Audits

Réalisation des audits internes et

audits blancs obligatoires dans le
Formations
cadre du SMSI ISO 27001
Formations complémentaires
Formations certifiantes
 Processus d’accompagnement
10

Un process en 6 phases pour atteindre la certification

DIAGNOSTIC CONCEPTION DÉPLOIEMENT PRÉPARATION CERTIFICATION REX

Lancement et sensibilisation
Diagnostic initial
SWOT et politique qualité
Analyse des Risques
Définition des processus
Préparation de l’audit Support lors de l’audit de
Formations
Suivi de la mise en œuvre Audit blanc certification et aide pour Aide à l’analyse du rapport et
plan d’actions
. Séances de sensibilisation répondre aux questions de
l’auditeur

Step 01 Step 02 Step 03 Step 04 Step 05 Step 06

Vue d’ensemble
Processus d’accompagnement - forfait d’accompagnement principal

ü Piloter votre projet et vous conseiller sur la mise en

œuvre, ü Etre guidé dans les étapes complexes,
ü Vous apporter les compétences et vous former à la
norme, ü Valider vos documents,
ü Vous apporter des modèles professionnels et
adaptables, ü Monter le dossier administratif.

Conception Conception
Cadrage et Analyse des State of Sensibilisation à KIT de Sharepoint Préparation à la
Phases processus et politiques de
diagnostic risques Applicability la sécurité modèles sécurité certification
SMSI sécurité
Services inclus

Livrables • Analyse • Espace

• Séances de
des • Séances de • Charte dédié
Rapport travail et • Mise à
risques travail et sécurité avec • Séance de
diagnostic formation dispositi
• Processu • SoA formation • Diaporama de guides, préparation à la
• Suivi de on des
s de • Suivi de sensibilisation vidéo et certification
projet modèles
traiteme projet • Sensibilisation formation
nt en ligne
 Phase 1
12

Diagnostic

Process Livrables Délais et durée

Diagnostic et plan d’actions
Durée de la phase : 1 mois
Plan d’actions
Le plan d’actions liste les écarts à lever et les actions à
Cette phase a pour objectif de préparer et Taches Durée j/h
mener pour assurer la conformité à la norme ISO 27001
Préparation du projet 1
lancer le projet de certification : Visite et entretien 3
Rédaction des plans 4
• Récupération des informations et
Plan documentaire Formations - sensibilisations 3

documents (création d’un SharePoint Le plan documentaire précise les documents à rédiger
pour être conforme à l’ISO 27001
d’échange documentaire)

• Visite sur site et entretiens avec les Client

responsables et le service informatique
• Rédaction du plan d’actions
• Formation et sensibilisation initiales des
managers et service informatique
Diaporama de formation
Les diaporama de formation et sensibilisation Durant cette phase le client doit fournir les informations
permettent au client de l’autonomie dans les futures
et documents demandés et se rendre disponible pour les
formation et le déploiement.
interviews et formations.
 Phase 2
13

Analyse des risques et politique sécurité

Process Livrables Délais et durée

Conception du SMSI
Durée de la phase : 1 mois
Politique sécurité
Cette phase a pour objectif de vous aider à
Aider la direction à définir une politique de sécurité, les
Taches Durée j/h
concevoir votre Système de Management projets sécurité à lancer et définir le processus de
Analyse des risques 8
gouvernance DdA 2
de la Sécurité de l’Information : Présentation des projets 1

• Réalisation de l’analyse des risques Analyse des risques et DdA Formations - sensibilisations 2

Réalisation de l’analyse des risques et de la Déclaration

• Echanges sur les projets sécurité et les
d’Applicabilité

processus à mettre en œuvre

• Revue et réalisation de la DdA

Client
Présentation des objectifs de
• Formation et présentation des projets sécurité Durant cette phase le client doit fournir les informations

Les projets de sécurité à lancer doivent être définis et documents demandés et se rendre disponible pour les
sécurité
pour répondre aux exigences de l’annexe A de l’ISO
27001 interviews et formations.
 Phase 3
14

Suivi du déploiement

Process Livrables Délais et durée

Vous accompagner dans la mise en
Durée de la phase : 1 mois
œuvre Mise à jour des plans
Tout au long du projet de certification nous vous aidons
Cette phase a pour objectifs de vous aider Taches Durée j/h
dans la mise à jour des différents plans de suivi
Points de suivi 10
à mettre en place les projets de sécurité et Mises à jour 4
Formations - sensibilisations 3
les différentes exigences de la norme.
Compte-rendu des points de suivi
Elle comporte des points de suivis associés Les comptes rendus permettent le suivi du projet, les
questions et information.
à des compte-rendus.

Nous mettons à jour les plan d’actions,

Client
plans projets sécurité et plan
Formations complémentaires
Durant cette phase le client doit mettre en place les
Nous assurons des formations complémentaires sur des
documentaire.
points techniques de la norme ou de la sécurité. projets de sécurité et rédiger les documents nécessaires

en sécurité (fiches de poste, procédures, politiques)

 Phase 4
15

Préparation de la certification

Process Livrables Délais et durée

Une fois le SMSI en fonctionnement, nous
Durée de la phase : 1 mois
intervenons pour vous préparer à la
Rapport d’audit blanc
Tout au long du projet de certification nous vous aidons
certification : Taches Durée j/h
dans la mise à jour des différents plans de suivi
• Séances de sensibilisation des audités Audit blanc 5
Séance de préparation 2
• Audit blanc
• Audit interne Séance de sensibilisation
Les comptes rendus permettent le suivi du projet, les
questions et information.

Client
Durant cette phase le client doit mettre en place les

projets de sécurité et rédiger les documents nécessaires

en sécurité (fiches de poste, procédures, politiques)

 Offre Documentation Exemples des Documents pris en charge Offre documentation

Politique de sécurité des systèmes d'information X

Processus de formalisation Politique générale et engagement de la direction X
Charte de sécurité pour l'utilisation du système d'information et support de sensibilisation X
Procédure de gestion de la documentation X
Prendre en charge la rédaction des procédures sécurité (non métier) nécessaires à la Méthode de gestion des risques X
mise en place des bonnes pratiques en matière de sécurité (ISO 27002) Procédure de gestion des audits, contrôles et évaluations X
Procédure de gestion des ressources humaines et recrutements X
Procédure de classification et transferts d'information, manipulation des supports X
Entretiens avec les acteurs du domaine concerné
Procédure de gestion des exigences légales et règlementaires (+ liste) X
Procédure de gestion des fournisseurs / Chaine d’approvisionnement X
Gestion des incidents X
Politique d’exploitation, supervision ou de développement ou activités cœur de métier X
Rédaction des procédures, politique, processus et plans
Gestion des accès physiques et protection périmétrique X
Gestion de la continuité (plan de continuité) X
Gestion des sauvegarde X
Relecture par le Responsable Procédure de gestion des changements (exploitation) X
Politique de gestion des vulnérabilités X
Politique journalisation et surveillance X
Prise en charge des modifications Politique sur le cryptage X
Procédure de télétravail et mobilité X
Procédure de gestion des actifs X
 Coûts du projet
certification ISO 27001

1 2 3 4 Option de
Phase Certification
Diagnostic Conception Suivi Préparation formalisation
SWOT et politique Préparation de l’audit
Lancement et Formations Formalisation des
qualité Audit blanc Cycle de certification sur
Description sensibilisation
Analyse des Risques
Suivi de la mise en
Séances de
politiques, procédures
3 ans
Diagnostic initial œuvre et plans
Définition des processus sensibilisation

Conseil 9000 9000 € 10.000

Formalisation 2600 2600 16250 -

Formation/Présentation 2700 2700 2700 1800 € 15.000

Audit 3600 4500

total 8900 11700 14300 6300 16250

TAUX conseil 900

TAUX formalisation 650

• Les frais de déplacements et de missions (hébergements et repas) sont facturés au frais réels.
Option Formation
Formation complémentaire ou certifiante

Nous mettons à disposition de nos clients des stages de formation certifiante accessibles via le plan de formation de l’entreprise ou du
Compte Personnel Formation :
•Lead Implementer ISO / CEI 27001
•Lead Auditor ISO / CEI 27001
•Risk Manager ISO / CEI 27005

Formation Lead Implementer ISO / CEI 27001 Formation Lead Auditor ISO / CEI 27001 PECB Certified Risk Manager ISO / CEI 27005

Ce cours intensif de cinq jours permet aux Pendant cette formation, le participant acquiert les Découvrez notre stage de formation de 3 jours Risk

participants de développer l’expertise nécessaire aptitudes et compétences requises pour planifier et Manager qui permet la maîtrise de la gestion des

pour accompagner une organisation dans la mise en réaliser des audits internes et externes de manière risques de sécurité de l’information et l’obtention de

œuvre et la gestion d’un Système de Management efficace et conformes au processus de certification des la certification PECB Risk Manager.

de la Sécurité de l’Information (SMSI) tel que spécifié normes ISO 19011 et ISO 17021.

dans l’ISO/CEI 27001. Grâce aux exercices pratiques, le participant développe

les aptitudes (maîtrise des techniques d’audit) et
compétences (gestion des équipes et du programme
d’audit, communication avec les clients, résolution de
conflits, etc.) nécessaires pour conduire efficacement un
audit.
 Ressources

Les certifications Nous contacter

du numérique
Feel Agile
Information commercial et projet

FAQ ISO 27001 Thomas DE MOTA

CEO
06 82 17 75 32

tdemota@feelagile.com
OFFRE RGPD https://feelagile.com/rgpd/

Certification HDS https://feelagile.com/certification-hds/