Académique Documents
Professionnel Documents
Culture Documents
1.Contenu de la mission
Le projet de mise en place doit commencer par la désignation d’un leader de
projet, qui travaillera avec d’autres membres du personnel. Il s’agit
essentiellement d’un ensemble de réponses aux questions suivantes :
Qu’espérons-nous réaliser ?
Combien de temps cela prendra-t-il ?
Qu’est-ce que cela coutera ?
Avons-nous le soutient des équipes de direction ?
2.Initiation du projet
Les organisations doivent utiliser leur contenu de mission afin de construire
une structure plus définie et plus détaillée concernant les objectifs liés à la
sécurité de l’information et l’équipe gérant le projet, la planification et les
risques.
3.Initiation du ISMS
La prochaine étape est d’adopter une méthodologie de mise en place d’un
ISMS. La norme ISO 27001 reconnait que la démarche d’amélioration
continue suivant une approche par processus est le modèle le plus efficace
pour la gestion de la sécurité de l’information.
4.Cadre de gestion
A ce stade, l’ISMS aura besoin d’une signification plus large du cadre. Cela
comprend l’identification de la portée du système, qui dépendra du contexte.
La portée doit également prendre en compte les appareils mobiles et les
télétravailleurs.
5.Critères de sécurité
Les organisations doivent identifier leurs principaux besoins de sécurité. Il
s’agit des exigences et mesures correspondantes ou des contrôles
nécessaires pour gérer l’entreprise.
9.Certification
Une fois l’ISMS en place, les organisations devraient essayer d’obtenir un
certificat auprès d’un organisme de certification accrédité. Cela prouve aux
parties prenantes que l’ISMS est efficace et que les organisations
comprennent l’importance de la sécurité de l’information.
En savoir plus
Obtenez plus de détails sur chacune de ces étapes dans notre livre
vert : Implementing an ISMS – The nine-step approach. Ce guide gratuit
montre exactement ce que vous devez faire pour répondre aux exigences de
la norme ISO 27001, ainsi que la mise en avant des enjeux auxquels vous
devrez faire face et comment en venir à bout.
Obtenez des conseils pratiques concernant la mise en place de la norme en
vous inscrivant à notre formation certifiée d’introduction à la norme ISO
27001 – ISMS (Formation en Anglais).
Cette formation d’une journée vous explique comment bénéficier au mieux
de la norme ISO 27001 et vous fournit une introduction complète aux
éléments clés requis pour se conformer à la norme.
Sommaire
1Historique
2Typologie
3Certification participative ou Systèmes Participatifs de Garantie
4Voir aussi
o 4.1Articles connexes
o 4.2Liens externes
5Références
Historique[modifier | modifier le code]
Autrefois, en France, le certificateur était « celui qui affirme qu'une caution présentée est solvable,
sans néanmoins se charger d'autre obligation que celle de répondre de la solvabilité de la
caution » ; les adjudicataires des « Bois du Roi » devaient « donner caution & certificateur »2.
Les systèmes de certification participatifs apparaissent dans les années 1970 pour pallier l'absence
de certification officielle dans certains domaines comme l'agriculture biologique3.
Typologie[modifier | modifier le code]
Certification comptable : processus de vérification de comptes d'une société.
Certification électronique : processus d'attribution de certificat électronique, ou certificat
numérique ou certificat de clé publique, par un tiers de confiance.
Certification des systèmes de management : processus qui vise à vérifier la qualité,
la protection de l'environnement, la santé et la sécurité au travail, les économies d'énergie, etc.
Certification financière : processus de mesure et d'évaluation de la qualité financière d'une
société.
Certification professionnelle : processus d'attribution d'un diplôme, titre, ou certificat attestant
d'une compétence professionnelle.
Disque de certification : récompense attestant un nombre donné de ventes concernant une
œuvre musicale.
Certification forestière : qui permet d'informer le consommateur que le bois qu'il achète est
issu de forêts gérées durablement
Certification agro-alimentaire ;
Certification environnementale :
o En France : Haute Qualité Environnementale, certification « NF Ouvrage Démarche HQE »
par l'AFNOR, qui concerne le bâtiment.
o En France : Haute Valeur Environnementale, certification environnementale qui concerne
les exploitations agricoles.
ISO/CEI 27001
Vous pouvez aider en ajoutant des références ou en supprimant le contenu inédit. Voir la page
de discussion pour plus de détails.
L'ISO/CEI 27001 est une norme internationale de sécurité des systèmes
d'information de l'ISO et la CEI. Publiée en octobre 2005 et révisée en 2013, son titre
est "Technologies de l'information - Techniques de sécurité - Systèmes de gestion de
sécurité de l'information - Exigences". Elle fait partie de la suite ISO/CEI 27000 et
permet de certifier des organisations.
Sommaire
1Objectifs
2La structure de la norme
o 2.1Phase d'établissement (Plan)
2.1.1Étape 1 : Définir la politique et le périmètre du SMSI
2.1.2Étape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique de
sécurité
2.1.3Étape 3 : Traiter le risque et identifier le risque résiduel par un plan de gestion
2.1.4Étape 4 : Choisir les mesures de sécurité à mettre en place
o 2.2Phase d'implémentation (Do)
o 2.3Phase de maintien (Check)
o 2.4Phase d'amélioration (Act)
3Processus de certification
4Critique du standard
o 4.1Avantages
o 4.2Limites
5Notes et références
6Voir aussi
o 6.1Bibliographie
o 6.2Articles connexes
o 6.3Liens externes
Objectifs[modifier | modifier le code]
La norme ISO/CEI 27001, publiée en octobre 2005 et révisée en 2013, succède à la
norme BS 7799-2 de BSI (British Standards Institution)1. Elle s’adresse à tous les types
d’organismes (entreprises commerciales, ONG, administrations…) et définit les
exigences pour la mise en place d'un système de management de la sécurité de
l'information (SMSI). Le SMSI recense les mesures de sécurité, dans un périmètre
défini, afin de garantir la protection des actifs de l'organisme. L’objectif est de protéger
les fonctions et informations de toute perte, vol ou altération, et les systèmes
informatiques de toute intrusion et sinistre informatique. Cela apportera la confiance des
parties prenantes.
La norme précise que les exigences en matière de mesures de sécurité doivent être
adéquates et proportionnées aux risques encourus donc n'être ni trop laxistes ni trop
sévères.
L'ISO/CEI 27001 énumère un ensemble de points de contrôles à respecter pour
s'assurer de la pertinence du SMSI, permettre de l'exploiter et de le faire évoluer. Plus
précisément, l'annexe A de la norme est composée des 114 mesures de sécurité de la
norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classées dans 14 sections.
Comme pour les normes ISO 9001 et ISO 14001, il est possible de faire certifier un
organisme ISO/CEI 27001.
Des points ont disparu par rapport à la norme BS 7799-2 : l’ISO 27001 n’incorpore plus
l’amélioration de la compétitivité, des cash flow, de la profitabilité, le respect de la
réglementation et l’image de marque.
Actions correctives : agir sur les effets pour corriger les écarts puis sur les causes
pour éviter que les incidents ne se reproduisent
Actions préventives : agir sur les causes avant que l’incident ne se produise
Actions d’amélioration : améliorer la performance d’un processus du SMSI.
Processus de certification[modifier | modifier le code]
La certification n’est pas un but en soi, c’est-à-dire que l’organisme qui décide de mettre
en place un SMSI en suivant les exigences de l’ISO/CEI 27001, n’a pas pour obligation
de se faire certifier. Cependant, c’est l’aboutissement logique de l’implémentation d’un
SMSI puisque les parties prenantes n’ont confiance qu’en un système certifié par un
organisme indépendant.
La certification ISO/CEI 27001 se déroule sur un cycle de trois ans jalonné par l’audit
initial, les audits de surveillance et l’audit de renouvellement.
L’audit initial porte sur l’ensemble du SMSI. Sa durée est déterminée dans l’annexe C
de la norme ISO/CEI 27006. L’auditeur ne donne pas la certification, il donne juste un
avis qui sera étudié par un comité de validation technique, puis par un comité de
certification. Ce n’est qu’après cela que le certificat initial est délivré pour une durée de
trois ans. Dans le cas contraire, il y a un audit complémentaire dans le délai maximum
de trois mois. L’organisme devra, durant ce délai, corriger les problèmes décelés lors
de l’audit initial pour obtenir le certificat.
L’audit de surveillance, annuel, a lieu pendant la période de validité du certificat (3 ans)
afin de s’assurer que le SMSI est toujours valable. L’audit porte notamment sur les
écarts ou non-conformités relevés lors de l’audit initial ainsi que sur d’autres points :
se former en interne ;
créer et renseigner la documentation fondamentale ;
s’entraîner avec un audit blanc ;
réussir l’audit documentaire niveau 1, appelé “stage 1” ;
passer l’audit de niveau 2, appelé “stage 2”.
Chez nous, il s’agissait par exemple de mettre en place une procédure pour
l'arrivée des nouveaux collaborateurs, de prévoir un plan de formation des
salariés à la sécurité, etc.
L’entreprise doit cocher ces 114 contrôles pour passer à l’étape suivante. Ils
permettent aussi de définir la politique de sécurité et de faire une analyse
complète du risque dans l'organisation, pour tous les métiers et toutes les
opérations.
A savoir :
Pour être certifié, il faut réussir deux audits. Le premier porte sur la
documentation de l’entreprise et constitue le niveau 1, dit la “stage 1”. Puis,
l’audit de niveau 2, dit la “stage 2”, va contrôler si les processus et
l’organisation de l’entreprise correspondent à la documentation établie.
Au cours de ces inspections, il existe 3 types d’anomalies :
- Des observations : l’auditeur émet un conseil pour améliorer un point, mais
cela reste informatif.
- Des non-conformité mineures : l’audit n’est pas compromis, à condition
que l’entreprise s’engage à corriger cette anomalie, en donnant un plan de
correction (qui va être engagé, quand, comment, etc). Plusieurs non-
conformités mineures peuvent se transformer en majeure.
- Des non-conformité majeures : l’entreprise ne réussit pas l’audit.
Etape 3 - L’audit blanc, confronter notre documentation à la réalité (au bout de 6
mois de préparation de l’audit)
Avant l’audit niveau 1, nous avons organisé un audit blanc avec BSI
Group. Nous avons alors simulé un audit de niveau 2 pour évaluer notre état
d'avancement. Jusque-là, nous parlions beaucoup de documentation, mais
cela restait très théorique et nous voulions nous confronter à la réalité. Cette
simulation s’est révélée extrêmement utile, et nous a permis de faire le point
sur nos avancées. Puis, nous avons passé et réussi le niveau 1 en juin 2020.
Chez PayFit, nous avons bénéficié du soutien total de la direction qui a été très
proactive pour nous aider. Comme elle reste proche des équipes, le projet a
été porté par une envie commune de mener à bien les changements
proposés, ainsi que par l’agilité inscrite dans l’ADN de PayFit. C’est ainsi
devenu un projet d’entreprise avec le top management, et un projet pour les
équipes avec des objectifs définis.
Etape 5 - L’audit “Niveau 2”, obtenir la certification à travers 150 contrôles (4
mois)
Le deuxième audit a eu lieu fin juillet. Il se déroule dans tous les sites de
l’entreprise, pour nous dans les quatre pays où nous sommes présents
(Allemagne, Espagne, France et Royaume-Uni). L’auditeur confronte alors la
documentation au terrain pour vérifier les pratiques de l’entreprise sur les 150
contrôles exigés par la norme. Nous regardons ensemble toutes les preuves
contrôle par contrôle. Par exemple, nous avons analysé nos processus et
mesures de sécurité pris sur tout un cycle de développement d'une
fonctionnalité. Nous avons aussi revu les accès et le matériel à la disposition
d'un employé, en choisissant quelques salariés de manière aléatoire.
Honnêtement, c’était un moment très stressant. Pendant deux ans, nous avons
travaillé à mettre en place tous les processus pour obtenir la certification, et
nous aurions été très déçus de ne pas l’avoir. Nous l’avons finalement
obtenue en septembre 2020.
Une fois obtenue, que vous apporte cette
certification ?
Obtenir la certification ISO 27001 est une super nouvelle. D’abord, elle a un
impact formidable en externe. Présenter la certification permet de changer
notre image en montrant que PayFit grandit tout en devenant plus solide et
mature. Nous passons du déclaratif à une preuve très concrète de nos
engagements. Elle donne la garantie à toutes les parties prenantes de
l’entreprise de travailler avec un acteur pleinement engagé dans la sécurité :
clients, prestataires, partenaires. Cela aura sûrement un impact sur l’acquisition
de nouveaux clients. Lorsqu’ils choisissent un prestataire pour gérer la paie, la
sécurité est un élément décisif pour eux.
En interne, avoir la certification requiert et prouve une volonté forte de
s'engager durablement dans des enjeux de sécurité.
Justement, comment faire pour garder cette
certification sur la durée ?
Cet audit du système d'informations est réalisé à un instant-T, mais
l’entreprise ne relâche pas ses efforts pour autant. Par exemple, elle se
fixe des objectifs durant l'audit, comme augmenter l'usage de certains
outils. L'audit complet est renouvelé tous les trois ans, mais un contrôle est
effectué chaque année.
Si ces audits "allégés" sont ratés, la certification est immédiatement perdue.
Guillaume Gohin, Head of Information Security @PayFit
Aujourd'hui, on forme tous les employés à la sécurité, lors de leur
premier jour et au moins une fois par an. C’est un processus obligatoire,
mais je trouve cela extrêmement sain et positif. Avoir une formation spécifique
à la sécurité et aux usages met en valeur la place qu’elle occupe dans notre
organisation. Elle devient une problématique de l'entreprise entière et de
chaque collaborateur, pas seulement celle de l'équipe IT. C’est ainsi que le
niveau de sécurité peut être maintenu et amélioré au sein de l’entreprise.
Chacun peut ainsi comprendre en quoi un manquement aux procédures peut
impacter toute l'entreprise, comment chacun participe à la disponibilité de
notre produit, etc.
Quelle a été l'étape la plus compliquée ?
La première étape de documentation a été la plus complexe pour nous.
Nous devions écrire toutes les actions que l’entreprise allait mettre en œuvre
pour être conforme à l’intégralité de la norme. Nous étions face à une
montagne documentaire et théorique. Construire les fondations d’un tel projet
est long et fastidieux, d’autant plus que nous avions peu d’expérience en la
matière !
En général, l’étape du “change management” est extrêmement compliquée
dans les entreprises, notamment dans celles comptant des milliers de
salariés. Si on rencontre de la résistance en interne, le processus
d’obtention de la norme devient très pénible. Vous demandez à certaines
équipes de rajouter ou de changer leurs processus et leurs habitudes
quotidiennes. Il faut donc que la direction et l’ensemble des managers portent
le projet.
Chez PayFit, avec 500 employés, nous n’avons pas eu à affronter cela. Au
contraire, l’équipe sécurité a une mission comme les autres, et participe autant
à la réussite de l’entreprise que n'importe quelle autre fonction.
L’équipe de sécurité de l’information n’a pas simplement un rôle de contrôle,
mais elle participe à la solidité du produit et de la croissance, dans l’intérêt du
business et des salariés.
Firmin Zocchetto, CEO & Cofondateur de PayFit
Doit-on faire des compromis pour avoir la
certification ?
Forcément, lorsque vous décidez de renforcer les processus de sécurité, vous
renoncez à une partie de votre agilité. Davantage de processus sont mis en
place, notamment pour les relations avec des tiers (prestataires, partenaires,
etc). Par exemple, lorsque nous travaillons avec un nouveau prestataire, nous
devons nous assurer des garanties de sécurité qu’il fournit. S’il est certifié, le
processus est très rapide. C’est en revanche plus long s’il ne l’est pas !
De mon point de vue, c’est extrêmement positif et je ne le vois pas
comme un sacrifice. D’abord, inclure la sécurité dans ses enjeux de
développement et dans la structuration de l’entreprise est fondamental,
notamment quand on traite par nature des données sensibles, comme PayFit.
Ensuite, il faut savoir trouver le bon équilibre entre l'agilité et la sécurité.
Chez nous, l’équilibre penche vers l’agilité et l’innovation, mais en toute
sécurité. Il faut que les gens puissent aller le plus vite possible, mais pas à
n'importe quelle condition. C'est maintenant une limite très claire, que nous
prenons en compte dans chaque nouveau projet dès les étapes de design.
Les conseils de Guillaume pour entamer sereinement le processus de
certification
1. Faire les choses dans le bon ordre : ne vous lancez pas dans le processus
de certification si la sécurité n’a pas été un enjeu stratégique auparavant. La
norme vient valider un système. Or si on se lance sans avoir de système en
place, le retard à rattraper est trop important.
2. Avoir la volonté d’engager durablement l’entreprise dans des enjeux
de sécurité :
- impliquer les fondateurs et la direction dans le processus permet d’engager
l’ensemble des équipes ;
- faire de la sécurité un enjeu structurant pour l'entreprise. Il ne s’agit pas
simplement de cases à cocher. La sécurité est une problématique quotidienne
qui fait partie de l’ensemble des opérations.
3. Prévoir un budget suffisant : prenez en compte les audits blancs et réels,
l'accompagnement, les outils, etc
4. Mettre en place des outils nécessaires à l’obtention de la norme :
comme l’outil de gestion centralisée pour manager la sécurité du matériel
(JAMF chez PayFit) ou la vérification des antécédents pour les nouveaux
employés qu'on ne faisait pas avant (diplôme, identité, dernière expérience).
5. Faire un audit blanc : cela permet de faire le point sur votre situation et
d’améliorer ce qui doit l’être avant la grande inspection.
6. Former ses équipes :
- avoir au moins une personne certifiée auditeur ISO 27001 ;
- former tous les employés à la sécurité.
7. Communiquer sur les enjeux de sécurité : généralement, les gens
pensent que “sécurité” signifie uniquement “confidentialité”. Les développeurs
et profils tech entendent “intégrité”. Peu voient le dernier pan : la disponibilité.
S’assurer que notre application, notre produit et notre service soit disponible
fait pourtant pleinement partie des garanties de la sécurité. La norme 27001
inclut d’ailleurs une partie business security et incident response.
8. Rendre sa certification visible :
- afficher le logo en signature de mail ;
- dédier une page aux garanties de sécurité sur votre site ;
- prévenir vos équipes commerciales : c’est un atout qui peut être déterminant
pour certains clients.
Achetez la norme ISO/IEC 27001:2017 auprès du NBN et découvrez toutes les exigences à
prendre en compte.
Acheter
Dans la dernière version, la structure de la norme ISO/IEC 27001 a été adaptée à la High Level
Structure (HLS). Des dizaines d'autres normes de management de l'ISO ont également subi la
même transformation ces dernières années. L'ISO veille ainsi à ce qu'elles aient toutes la même
structure de base uniforme. L'avantage ? Il est plus facile pour les organisations d'intégrer
différentes normes dans un seul système de management. Par exemple, il est possible de mettre
en place votre SMSI en combinaison avec les normes ISO 9001 (managementde la qualité), ISO
14001 (management de l'environnement) ou ISO 45001 (santé et sécurité au travail).
Pourquoi la High Level Structure est-elle si importante ?
1. Domaine d'application
2. Références normatives
3. Termes et définitions tels que définis dans la norme ISO/IEC 27000
4. Contexte de l'organisation
5. Leadership
6. Planification: risques et opportunités
7. Support du SMSI
8. Fonctionnement du SMSI
9. Évaluation des performances
10. Amélioration
ISO/IEC 27001: des mots de passe à la protection incendie
Protection des données cruciales : avec un SMSI, vous réduisez le risque que vos
informations soient utilisées à mauvais escient, qu'elles soient incorrectes ou qu'elles ne soient
plus disponibles à temps.
Clarté : des procédures opérationnelles écrites et une répartition claire des rôles vous
permettent d'identifier systématiquement les vulnérabilités et de prendre en main de manière
ciblée.
Confiance accrue des clients : les clients manifestent un intérêt croissant pour la manière
dont leurs données sont gérées. Avec un SMSI, vous pouvez les rassurer et avoir la certitude
qu'ils continueront à choisir votre organisation à l'avenir.
Risque financier réduit : le non-respect des lois pertinentes peut entraîner des amendes
élevées. De plus une perte de réputation et une perte de clients peuvent entraîner de graves
préjudices financiers.
Du sur mesure pour chaque organisation : la norme ISO/IEC 27001 est applicable à toute
organisation, quels que soient son secteur, sa taille ou son type.
Renommée internationale : la norme de management ISO est connue dans le monde entier et
renforce sensiblement votre crédibilité au-delà des frontières nationales.
3. À qui s'adresse la norme ISO/IEC 27001 ?
La sécurité de l'information et un SMSI efficace sont importants pour toutes les organisations.
Chaque organisation ou entreprise garde une trace des flux d'informations physiques et/ou
numériques.
La mise en œuvre correcte et complète d'une norme de management ISO n'est pas une
obligation pour les organisations. Vous pouvez, par exemple, appliquer une partie de la norme.
Mais si vous visez la certification, vous devez remplir toutes les exigences que contient la norme.
Dans ce cas, une institution indépendante évaluera votre SMSI à votre demande. Si
l’évaluation est positive, vous recevrez une preuve écrite attestant que vous répondez à toutes les
exigences de la norme. Ce certificat est valable 3 ans. Vous passez ensuite par un nouveau
processus de certification (si vous le souhaitez) pour en renouveler la validité.
Pourquoi tenter d’obtenir un certificat ISO/IEC 27001 ?
En Belgique, il existe de nombreux organismes qui délivrent des certificats ISO/IEC 27001 après
un audit de votre organisation. Cependant, tous ne sont pas accrédités par BELAC, l'organisme
d'accréditation belge. Passer par un organisme accrédité n'est pas obligatoire, mais avec un
acteur accrédité, vous aurez la garantie d’avoir été audité par des experts. L’accréditation est en
effet une preuve d'impartialité, d'indépendance et de compétence technique.
En Belgique, vous trouverez une liste de tous les organismes de certification accrédités sur le site
web de BELAC.
Plus d'info
Certification ISO/IEC 27001 : plan par étape
1. Soutien : L'adhésion des dirigeants est sine qua non. Ce n'est que lorsqu'ils soutiendront l’idée
que vous pourrez entamer la démarche.
2. Achat de la norme NBN EN ISO/IEC 27001:2017 : Rendez-vous dans l’e-shop du NBN.
3. Formation : Qu’ils soient débutants ou expérimentés, les utilisateurs d’une norme tireront
profit d'une formation. Ne manquez pas de consulter la page de présentation des formations
ISO/IEC 27001 proposées par NBN Learning Solutions.
4. Mesure de référence : Effectuez une mesure de référence vous-même, avec vos collègues ou
en collaboration avec un consultant externe. Cette analyse GAP de la situation actuelle et de la
situation souhaitée vous montrera où se situent les principaux points à travailler.
5. Préparation : Sur la base de l'analyse préalable, élaborez un plan par étape avec des objectifs
concrets pour votre organisation et la direction. Établissez un calendrier et, si nécessaire,
désignez des équipes de projet avec une répartition des tâches claire.
6. Communication : Communiquez votre plan aux parties prenantes les plus importantes afin
que tout le monde soit sur la même longueur d'onde. Cela facilitera la mise en œuvre de la
norme de management.
7. Mise en œuvre : Réaliser toutes les actions prédéfinies et travailler (progressivement) à la
mise en œuvre complète de la norme de management.
8. Audit interne : Dès que votre SMSI est prêt, effectuez un audit interne pour voir si vous êtes
entièrement prêt pour l'audit officiel (externe). Cet audit interne est une étape obligatoire dans
l'obtention du du certificat et vous pouvez le faire vous-même ou en collaboration avec un
prestataire de services externe.
9. Audit de certification : Contactez un organisme de certification pour un audit. Préparez-le
bien en discutez ensemble après l'audit des lacunes éventuelles et de la manière dont vous
pouvez y remédier.
10. Certification : Si votre organisation remplit toutes les exigences de la norme, vous recevrez
un certificat. Il est bien sûr prévu que vous continuiez à travailler sur votre SMSI après la
certification.
Selon la taille et la complexité de votre organisation, le délai d'exécution de ce plan par étape
est de 3 mois à 1 an. Votre préparation, votre compréhension des exigences spécifiques de la
norme et le niveau de maturité de votre organisation seront déterminantes.
Certification ISO/IEC 27001 : le coût
À partir de 3 mois après la mise en œuvre complète de la norme de management, vous pouvez
entamer le processus de certification et programmer un audit externe. Selon la taille de votre
organisation, cet audit prendra un ou plusieurs jours. Si vos services sont répartis sur plusieurs
sites, l'auditeur visitera toutes les installations.
L'audit comporte deux phases :
Après l'audit, l'organisme de certification décide si vous avez correctement mis en œuvre votre
système de gestion. En cas d'avis négatif, vous recevrez un rapport avec les non-conformités et
les points sur lesquels vous devez travailler. Dans ce cas, un audit supplémentaire apportera une
réponse définitive. En cas d'avis positif, vous obtiendrez un certificat. L'auditeur vous rendra
ensuite visite chaque année pour évaluer votre SMSI. Vous pouvez demander le renouvellement
de votre certificat tous les 3 ans – le délai de validité d'un certificat.
Comment se préparer à un audit ?
Ces 4 conseils augmentent vos chances de réussite :
1. effectuer un audit interne – avec ou sans aide extérieure – pour identifier les éventuelles
lacunes ;
2. veiller à ce que la direction soit présente lors de l'audit et que tous les collaborateurs soient
informés ;
3. conserver tous les documents nécessaires dans un endroit central et vérifier qu'ils sont rédigés
dans la langue de la norme de management ;
4. établir une liste d'actions et de projets réussis et mesurables, qui garantissent une amélioration
continue.
Notre nouveau programme d’e-learning a été mis au point pour les personnes qui désirent
maîtriser les bases de la norme ISO/IEC 27001. De quoi apprendre, où et quand vous le
souhaitez, ce que contient la norme et quels avantages sa mise en œuvre apportera à votre
organisation.
Suivre l’e-learning
Envie d’acquérir encore plus de connaissances? NBN Learning Solutions a mis au point un
programme unique! Le Master Track ISO/IEC 27001 comporte quatre parties : une introduction
à la norme ISO/IEC 27001 sous la forme d’un e-learning, deux approfondissements en
présentiel et une épreuve finale avec présentation en présentiel. Cerise sur le gâteau : si vous
réussissez l’examen, vous décrocherez le titre d’ISO/IEC 27001 Certified Master.
Vous inscrire au Master Track
ISO/IEC 27000
L’ISO/CEI 27000:2009 fournit une vue d’ensemble des systèmes de management de la
sécurité de l’information (SMSI); cette vue d’ensemble constitue l’objet de la famille des
normes SMSI et définit les termes qui s’y rattachent. Suite à la mise en oeuvre de
l’ISO/CEI 27000:2009, tous les types d’organismes (par exemple entreprises
commerciales, organismes publics et organismes à but non lucratif) sont censés obtenir
1. une vue d’ensemble de la famille des normes SMSI,
2. une introduction aux SMSI,
3. une brève description du processus Planifier-Déployer-Contrôler-Agir (PDCA), et
4. les termes et définitions utilisés dans la famille des normes SMSI.
Les objectifs de l’ISO/CEI 27000:2009 sont la fourniture de termes et définitions, et une
introduction à la famille des normes SMSI qui
1. définissent les exigences pour un SMSI et pour les organismes certifiant de tels
systèmes,
2. apportent un soutien direct, des recommandations détaillées et/ou une
interprétation des processus et des exigences générales selon le modèle Planifier-
Déployer-Contrôler-Agir (PDCA),
3. traitent des lignes directrices propres à des secteurs particuliers en matière de
SMSI, et
4. traitent de l’évaluation de la conformité d’un SMSI.
ISO/IEC 27001
ISO/IEC 27001: “ISMS requirements”. La norme ISO 27001 est une mise à jour de la
norme BS7799-2, rendant celle-ci obsolète. Elle a été publiée en octobre 2005. Elle est
à la base de la certification d’un SGSI, à l’instar de ses homologues ISO 9001 pour la
qualité et ISO 14001 pour l’environnement.
ISO/IEC 27002
ISO/IEC 27002: “Code of practice for information security management”.
ISO/IEC 27003
ISO/IEC 27003: ISMS implementation guidance. La norme ISO 27003 a pour objectif de
fournir un guide d’aide à l’implémentation des exigences d’un SGSI. Cette est plus
particulièrement orientée sur l’utilisation du cycle PDCA et des différentes exigences
requises à chaque étape du cycle.
ISO/IEC 27004
ISO/IEC 27004: Information security management measurements”. Cette norme a pour
but d’aider les organisations à mesurer et à documenter l’efficacité de la mise en
oeuvre de leur SGSI.
ISO/IEC 27005
ISO/IEC 27005: “Information security risk management”. La norme ISO 27005 est une
continuation de la norme ISO 13335. Elle reprendra les parties 3 et 4 de cette dernière,
définissant les techniques à mettre en œuvre dans le cadre d’une démarche de gestion
des risques.
ISO/IEC 27006
ISO/IEC 27006: “Requirements for the accreditation of bodies providing certification of
ISMS.” Cette norme, a pour but d’accompagner les organismes de certification, dans
les exigences nécessaires à atteindre pour être accrédités en tant qu’organisme de
certification d’un SGSI.
ISO/IEC 27007
ISO/IEC 27007: “Auditor guidelines”. Cette norme sert comme guide spécifique pour les
audits d’ISMS, notamment en support à l’ISO 27006.
Literature