Nos experts répondront chaque semaine à une question spécifique sur l’ISO 27001. Découvrez ci-dessous le premier chapitre : Que signifie réellement la certification ISO 27001 ?
La norme
La norme ISO 27001 est une norme internationalement reconnue. Elle définit les exigences relatives à l’établissement, à la mise en œuvre, au fonctionnement, à la surveillance, à l’examen, à la maintenance et à l’amélioration d’un système de gestion de la sécurité de l’information (SGSI) documenté. La norme s’aligne sur les activités de l’organisation et traite des risques auxquels elle est confrontée. Elle fait partie d’une famille de normes internationales de SMSI qui offrent des avantages aux organisations du monde entier en renforçant la sécurité de l’information dans l’environnement actuel où les risques sont omniprésents.
Histoire et évolution
La norme ISO27001:2013 est l’évolution de la version précédente de 2005, qui est elle-même une version révisée et mise à jour de la norme britannique BS 7799, partie 2, qui a connu un grand succès, et intègre l’approche basée sur les processus des normes ISO 9001:2000 et ISO 14001:2004. Comme toutes les normes, la norme ISO 27001 fait l’objet d’une révision systématique tous les cinq ans. Elle fait actuellement l’objet d’une révision par différents organismes et une version actualisée devrait être publiée prochainement.
La certification ISO 27001
Des organismes de certification externes accrédités et respectés procèdent à la certification. L’ISO elle-même ne procède pas à des certifications ; elle se contente d’élaborer des normes et de fournir des orientations. L’obtention d’un certificat par un tel organisme signifie que votre système de gestion de la sécurité de l’information est conforme aux exigences des normes ISO 27001 sur un périmètre spécifique de votre organisation ou sur l’ensemble de l’organisation.
SMSI et amélioration continue
Un système de gestion de la sécurité de l’information maintient la confidentialité, l’intégrité et la disponibilité des informations. Il protège les données de l’organisation, les informations des clients et les données d’autres parties intéressées. Conçu comme un processus de cycle de vie, il gère en permanence les risques dans un paysage de menaces et de vulnérabilités en constante évolution.
Secteur d’activité et taille de l’entreprise
Cette norme s’applique aux petites, moyennes et grandes organisations. Elle s’intègre avec souplesse dans les systèmes de management existants et permet aux organisations d’adopter diverses approches de management du risque.
Des organisations de tous les secteurs, y compris les télécommunications, la finance, l’assurance, les services publics, la vente au détail, la fabrication, les soins de santé et le gouvernement, l’intègrent désormais dans leurs stratégies d’entreprise.
Obligatoire
Aujourd’hui, la certification ISO 27001 n’est pas obligatoire. Néanmoins, comme les réglementations et les obligations de conformité augmentent continuellement (par exemple avec le récent GDPR, eIDAS, NIS, d’autres réglementations sectorielles spécifiques), les régulateurs, les clients et les autres parties intéressées recommandent fortement la certification ISO 27001 comme preuve de leur engagement à protéger les informations sensibles. La norme ISO 27001 est de plus en plus souvent incluse dans les critères d’acceptation des entreprises qui postulent à des appels d’offres privés et publics.
Approach recommande donc à toutes les entreprises de mettre en place au minimum un système de gestion de la sécurité de l’information. La voie de la certification doit être considérée comme le petit plus qui apportera un énorme retour sur cet investissement.