ISO 27001

L’ISO 27001 permet aux entreprises et aux administrations d’obtenir une certification qui atteste de la mise en place effective d’un système de management de la sécurité de l’information. Les grands groupes comme les TPE-PME sont concernés. 

En effet, depuis quelques années, le volume d’information ne cesse d’augmenter et les systèmes informatiques des entreprises participent à cette accélération en apportant les bénéfices de la dématérialisation. De ce fait, leur système d’information est accessible de l’extérieur via internet pour leurs fournisseurs, clients, partenaires et administrations. L’accessibilité par l’extérieur entraine la vulnérabilité vis à vis d’attaques potentielles.

L’investissement dans des mesures de protection et de sécurité est devenu ainsi indispensable et la mise en œuvre d’un plan de sécurité pour garantir la disponibilité, l’intégrité et la confidentialité de l’information s’impose à toutes les entreprises. Ces plans de fiabilité s’appliquent grâce à des normes telles que l’ISO 27001.

Les objectifs de cette formation sont :

  • Comprendre les principes d’application de la norme ISO 27001:2005 dans la construction d’un système de management de la sécurité de l’information,
  • Comprendre la relation entre le système de management de la sécurité de l’information, le management des risques, les mesures, et les différentes parties prenantes,
  • Comprendre les principes, procédures et techniques d’audit de la norme ISO 19011 :2002, et comment les appliquer dans le cadre d’un audit selon la norme ISO 27001,
  • Comprendre l’application des obligations légales, statutaires, réglementaires ou contractuelles pertinentes lors de l’audit d’un SMSI,
  • Acquérir les compétences nécessaires pour effectuer un audit de façon efficace, et les techniques de gestion dune équipe d’audit, préparer et compléter un rapport d’audit selon la norme ISO 27001.

 

Plan de formation:

  • Audit préliminaire de 2 à 3 jours si multi-sites puis mise en place selon les étapes suivantes :
  • Etape 1 : Définir la politique et les objectifs du SMSI ( Système de Management de la Sécurité de l’Information )
  • Etape 2 : Identifier les moyens et manager les ressources
  • Etape 3 : Identifier et évaluer les risques liés à la sécurité de l’information
  • Etape 4 : Traiter les risques identifiés avec un plan d’action et la gestion des évènements
  • Etape 5 : Sélectionner les mesures de sécurité à mettre en place ( Mise en place de procédures de sécurité et traitement des non-conformités )
  • Etape 6 : Présenter les résultats en revue de direction ( reporting ) et proposer des actions correctives et préventives
  • Etape 7 : Réaliser un audit à blanc de 2 à 3 jours.

La norme ISO 27001 est la référence en matière de système de management de la sécurisation des données informatiques dans le Monde. Elle s’adresse toutes les entreprises qui gèrent des données sensibles, soit pour le compte de tiers, soit pour soi-même.

Cette norme ISO 27001 définit l’ensemble des règles et bonnes pratiques à respecter pour maximiser la sécurité des systèmes d’information.

Le périmètre de sécurité porte à la fois sur les infrastructures (IT), les gens (People) et les logiciels (soft)



Voici les principales étapes qui composent le processus de mise en conformité avec les exigences de la certification ISO 27001 :

  • Decryptage
  • Identification des assets : tout ce qu’il faut protéger, préserver en priorité dans l’entreprise : On appellera cela les données à valeur ajoutée.
  • Le « risk treatment plan » : Quotation, gestion, priorisation des risques avec mise en place d’un plan d’actions de réduction systématique des risques.
  • Rédaction, formalisation d’une politique sécurité dans l’entreprise.
  • Tableau de bord : gestion des indicateurs, objectifs, moyens, pilotage factuel.
  • « Awareness » : La gestion des Ressources humaines. Obligations de formation, sensibilisation sur les enjeux et la sécurisation du système informatique.
  • Evaluations fournisseurs, sous-traitants, selon le prime sécuritaire.
  • Gestion des solutions d’urgence et des risques exceptionnels

« Statement of applicability » – Traitement des bonnes pratiques et gestion des risques usuels pour la mise en place du système qualité selon le référentiel ISO 27001 : 133 exigences à appréhender pour satisfaire le référentiel.

Quelques repères : 

  • Compter 6 à 12 mois pour obtenir la certification ISO 27001.
  • Pas moins de 20 journées de conseil sur site.
  • 3 entreprises accompagnées par France Certification
  • Maîtrise de l’anglais.
  • Des partenaires pour l’appréhension des aspects très technique dans le cadre d’une approche projet.