Zoom sur l'Iso 27001 : Norme Internationale - Technologies de l'Information - Techniques de sécurité - Système de management de la sécurité de l'information (SMSI)

Zoom sur l'Iso 27001 : Norme Internationale - Technologies de l'Information - Techniques de sécurité - Système de management de la sécurité de l'information (SMSI)

Au chapitre relatif à la gestion des informations documentées, l’Iso 9001 nous précise que  chacune d’elle doit être protégée contre toute perte de confidentialité, utilisation inappropriée ou perte d’intégrité...

ll va s’en dire, que la maitrise de l’ensemble des informations « numérisées » doit répondre à cette exigence... Il n’en fallait pas plus pour que les membres de l’Iso décident de créer un référentiel spécifique au management de la sécurité de l’information... Soit l’Iso 27001....

Le domaine d’application de l’Iso 27001 est relativement clair, il concerne :
a)    La mise en œuvre, la mise à jour et l'amélioration d’un système de management de la sécurité de l’information dans le contexte d’une organisation
b)    L’appréciation et le traitement des risques de sécurité de l’information adaptés aux besoins de l’information

Ce référentiel est  basé sur la structure HLS (issue de l’ Iso 9001)... On retrouve donc les enjeux relatifs au management de la « sécurité de l’information » en plus des enjeux de conformité des produits et services déjà traités dans l’Iso 9001 (analyse du contexte, politique, objectifs...)...Ces référentiels sont donc conçus pour être traités de front...

On notera cependant quelques spécificités à l’Iso 27001 :

*   Chapitre 4,3 : Détermination du domaine d’application :  Prendre en compte les interfaces et dépendances existants entre les activités réalisées par l’organisation et celles réalisées par d’autres organisations pour déterminer le domaine d’application du Système de management de la sécurité

*    Chapitre 6,1,2 : appréciation des risques de sécurité de l’information. L’entreprise doit établir un processus d’appréciation des risques de sécurité de l’information selon des critères précis...

*    Chapitre 6,1,3 : Traitement des risques de sécurité de l’information. L’entreprise doit établir un processus de traitement des risques de sécurité de l’information selon des critères définis...

*    Chapitre 8,2 : Appréciation des risques de sécurité de l’information : l’entreprise doit suivre à date et apprécier les risques liés à la sécurité de l’information...

*    Chapitre 8,3 : Traitement des risques de sécurité de l’information : l’entreprise doit faire vivre un plan d’action capable de traiter les risques de sécurité de l’information...

De plus, le déploiement d’un SMSI doit prendre en compte l’ensemble des annexes  de l’Iso 27001 (politique en matière d’appareils mobiles, télétravail, distribution des accès, système de gestion des mots de passe, ....) ... la liste est significative... donc autant de possibilités de « récolter » des non-conformités en audit... mais aussi de faire progresser la sécurité informatique de votre organisation...

Enfin, pour mettre en place un système de management Iso 27001, vous devez vous appuyer sur la norme Iso 27000 : « Vue d’ensemble des  systèmes de management de la sécurité de l’information » (SMSI) , « Termes et définition d’usage pour un SMSI », ainsi que les « Principes généraux » associés...







Pour plus d’information sur ce sujet, n’hésitez pas à prendre contact avec notre Gérant :
Jacques Perrin au 06 29 36 84 94, nous sommes là pour vous aider et vous accompagner…


Une question, un besoin ?

Nous sommes à votre écoute !