ISO 27001 est une norme de système de gestion de la sécurité de l’information (ISMS) qui a été développée pour aider les organisations à protéger leurs informations de manière systématique et rentable. La norme ISO 27001 a été révisée à plusieurs reprises, la dernière en 2013. Dans cet article de blog, nous expliquerons ce qu’est ISO 27001, de son fonctionnement et de ses objectifs, normes, contrôles et domaines à ses principaux avantages.
Qu’est-ce que la certification ISO 27001 ?
ISO 27001 est la principale norme internationale axée sur la sécurité de l’information. La norme ISO/IEC 27001:2013 a été publiée le 25 septembre 2013 et ISO27001:2017 est la version actuelle. ISO 27001 fournit un ensemble d’exigences standard pour un système de gestion de la sécurité de l’information (ISMS). Un SMSI est un cadre de politiques et de procédures qui comprend tous les contrôles juridiques, physiques et techniques impliqués dans les processus de gestion des risques liés à l’information d’une organisation.
ISO 27001 vise à protéger la confidentialité, l’intégrité et la disponibilité des informations d’une organisation. Ceci est réalisé en procédant à une évaluation des risques des problèmes potentiels qui pourraient survenir avec les informations, puis en définissant le plan d’atténuation des risques à utiliser pour éviter que de tels problèmes ne se produisent. Ainsi, le principal moteur d’ISO 27001 est un processus de gestion des risques : identifier où se trouvent les risques, puis les traiter systématiquement via la mise en œuvre de contrôles ou de sauvegardes de sécurité.
C’est pour qui?
ISO 27001 s’adresse à toute organisation, de toute taille et de toute industrie, qui souhaite mettre en œuvre un SMSI. La norme ISO 27001 détaille les exigences pour l’établissement, la mise en œuvre, la maintenance et l’amélioration continue d’un SMSI – conçu pour aider les organisations à sécuriser davantage leurs actifs informationnels.
Pourquoi la norme ISO 27001 est-elle importante ?
L’ISO 27001 est importante car il s’agit d’une norme internationale reconnue permettant aux organisations qui la mettent en œuvre de montrer à leurs différentes parties prenantes qu’elle prend la sécurité de l’information au sérieux et s’engage à :
- Effectuez des évaluations de risques pratiques et complètes.
- Réduire les risques identifiés à un niveau acceptable.
- Gérez efficacement ces risques.
Que signifie être « certifié ISO 27001 » ?
Une organisation peut entreprendre la certification ISO 27001 en invitant un organisme de certification accrédité ISO à évaluer si elle est conforme à la norme ISO 27001. Une fois certifiée, une organisation peut utiliser le logo ISO et prétendre être conforme à la norme ISO-27001, ce qui signifie qu’elle a mis en œuvre avec succès un SMSI qui répond aux exigences de la norme ISO 27001.
Quels sont les objectifs d’ISO 27001 ?
L’objectif essentiel d’ISO 27001 est de protéger ces trois principaux aspects de l’information :
- Confidentialité : Seules les personnes autorisées ont le droit d’accéder aux informations.
- Intégrité : Seules les personnes autorisées peuvent modifier les informations.
- Disponibilité : Les informations doivent être accessibles aux personnes autorisées chaque fois que cela est nécessaire.
Quels sont les domaines ISO 27001 14 ?
Les 14 domaines répertoriés dans l’annexe A de la norme ISO 27001, des sections A.5 à A.18, couvrent les éléments suivants :
- A.5. Politiques de sécurité des informations
- A.6. Organisation de la sécurité de l’information
- A.7. Sécurité des ressources humaines
- A.8. La gestion d’actifs
- A.9. Contournement du
- A.10. Cryptographie
- A.11. Sécurité physique et environnementale
- A.12. Sécurité des opérations.
- A.13. Sécurité des communications
- A.14. Acquisition, développement et maintenance du système
- A.15. Relations fournisseurs
- A.16. Gestion des incidents de sécurité de l’information
- A.17. Aspects de sécurité de l’information de la gestion de la continuité des activités:
- A.18. Conformité
Un examen plus approfondi de ces domaines nous montre que la gestion de la sécurité de l’information ne concerne pas seulement la sécurité informatique (pare-feu, etc.), mais également la gestion des processus, la protection juridique, les RH, la protection physique, etc.
Quels sont les contrôles ISO 27001 et comment les mettre en place ?
Les contrôles ou sauvegardes ISO 27001 – qui peuvent être techniques, organisationnels, juridiques, physiques ou humains – sont les pratiques à mettre en place pour réduire les risques de sécurité de l’information à des niveaux acceptables.
- Les contrôles techniques sont principalement mis en œuvre dans les systèmes d’information à l’aide de modules logiciels, matériels et micrologiciels ajoutés au système. par exemple, un logiciel antivirus.
- Les contrôles organisationnels sont mis en œuvre à travers la définition des règles à suivre et du comportement attendu des utilisateurs, des équipements, des logiciels et des systèmes. par exemple, politique BYOD, politique de contrôle d’accès.
- Les contrôles juridiques sont mis en œuvre en s’assurant que toutes les règles et tous les comportements attendus respectent et appliquent les lois, réglementations, contrats et autres instruments juridiques similaires auxquels l’organisation doit se conformer. par exemple NDA (accord de non-divulgation), SLA (accord de niveau de service).
- Les contrôles physiques sont principalement mis en œuvre par l’utilisation d’équipements ou de dispositifs ayant une interaction physique avec des personnes et des objets. caméras CCTV, systèmes d’alarme, serrures.
- Les contrôles des ressources humaines sont mis en œuvre en fournissant des connaissances, une éducation, des compétences ou une expérience aux individus leur permettant d’exercer leurs activités en toute sécurité. par exemple, formation de sensibilisation à la sécurité, formation d’auditeur interne ISO 27001.
Quels sont les documents obligatoires ISO 27001 ?
L’ISO 27001 spécifie un ensemble minimal de politiques, de procédures, de plans, d’enregistrements et d’autres informations documentées qui doivent être conformes à l’ISO 27001.
L’ISO 27001 nécessite la rédaction des documents suivants :
- Champ d’application du SMSI (clause 4.3)
- Politique et objectifs de sécurité de l’information (clauses 5.2 et 6.2)
- Méthodologie d’évaluation et de traitement des risques (clause 6.1.2)
- Déclaration d’applicabilité (clause 6.1.3 d)
- Plan de traitement des risques (clauses 6.1.3 e et 6.2)
- Rapport d’évaluation des risques (clause 8.2)
- Définition des rôles et responsabilités de sécurité (contrôles A.7.1.2 et A.13.2.4)
- Inventaire des actifs (contrôle A.8.1.1)
- Utilisation acceptable des actifs (contrôle A.8.1.3)
- Politique de contrôle d’accès (contrôle A.9.1.1)
- Procédures opérationnelles de gestion informatique (contrôle A.12.1.1)
- Principes d’ingénierie des systèmes sécurisés (contrôle A.14.2.5)
- Politique de sécurité des fournisseurs (contrôle A.15.1.1)
- Procédure de gestion des incidents (contrôle A.16.1.5)
- Procédures de continuité d’activité (contrôle A.17.1.2)
- Exigences légales, réglementaires et contractuelles (contrôle A.18.1.1)
Et la production des enregistrements suivants :
- Dossiers de formation, de compétences, d’expérience et de qualifications (clause 7.2)
- Résultats de la surveillance et de la mesure (clause 9.1)
- Programme d’audit interne (clause 9.2)
- Résultats des audits internes (clause 9.2)
- Résultats de la revue de direction (clause 9.3)
- Résultats des actions correctives (clause 10.1)
- Journaux des activités des utilisateurs, des exceptions et des événements de sécurité (contrôles A.12.4.1 et A.12.4.3)
Tout document de sécurité supplémentaire jugé nécessaire peut être écrit.
L’ISO 27001 est-elle obligatoire ?
Dans la plupart des pays, la mise en œuvre d’ISO 27001 n’est pas obligatoire. Cependant, certains pays ont créé des réglementations obligeant certaines industries à mettre en œuvre la norme ISO 27001.
Quels sont les avantages d’ISO 27001 ?
La mise en œuvre de la norme de sécurité de l’information ISO 2700 fournira aux organisations conformes les quatre avantages clés suivants :
- Se conformer aux exigences légales La mise en œuvre de la norme ISO 27001 vous donnera la méthodologie idéale pour vous conformer au nombre toujours croissant de lois, de réglementations et d’exigences contractuelles en matière de sécurité de l’information.
- Obtenez un avantage concurrentiel Les clients soucieux de la sécurité de leurs informations peuvent probablement percevoir votre certification ISO 27001 comme un net avantage par rapport à vos concurrents qui ne l’ont pas.
- Éviter les incidents de sécurité coûteux Depuis la philosophie principale de la norme ISO 27001, empêcher les incidents de sécurité de se produire – et chacun d’eux, grand ou petit, coûte une somme d’argent importante. De plus, votre investissement dans ISO 27001 est bien inférieur aux économies que vous réaliserez.
Emballer
ISO 27001 est l’une des normes de sécurité de l’information les plus respectées au monde, et pour cause. Il fournit un cadre complet pour établir un système de gestion de la sécurité de l’information (ISMS). La certification ISO 27001 oblige les organisations à passer par un processus d’audit rigoureux pour garantir leur conformité à la norme. Mais les avantages commerciaux de la certification ISO 27001 – sécurité améliorée, avantage concurrentiel, économies de coûts et meilleure organisation – en valent la peine.
Contactez-nous si vous avez besoin d’aide pour votre projet de conformité de sécurité .