L’ISO 27 001 permet aux entreprises et aux administrations d’obtenir une certification qui atteste de la mise en place effective d’un système de management de la sécurité de l’information.
La sécurité de l’information repose l’évaluation de vos risques sur 3 critères :
1. La Confidentialité
Depuis quelques années, le volume d’informations ne cesse d’augmenter et les systèmes informatiques des entreprises participent à cette accélération. En effet, avec la dématérialisation et la digitalisation des process, les informations sont multipliées.
Cela a l’avantage de les rendre accessibles à tous, mais elles risquent aussi d’être diffusées à des personnes non concernées.
Le système d’information d’une entreprise est facilement accessible de l’extérieur (via internet pour leurs fournisseurs, clients, partenaires et administrations). C’est donc une vulnérabilité vis-à-vis d’attaques potentielles.
2. L’intégrité
Comment garantissez-vous que les données n’aient pas été altérées durant leur communication ?
Par exemple, vous êtes prévenant et avez mis en place une sauvegarde régulière de votre SI. Bravo ! Mais comment vous assurez-vous que cette sauvegarde est complète ? Il serait dommage que lors d’un sinistre, seulement une partie des données soit récupérable.
3. La disponibilité
La bonne pratique en sécurité de l’information est « la politique du moindre accès ».
Comment gérez-vous vos droits d’accès ? Souhaitez-vous que tout le monde ait accès aux dossiers du personnel ? Il n’y a pas de réponse idéale, mais vous devez vous poser la question et appliquer vos propres règles.
Les grands groupes comme les TPE-PME sont concernés.
La norme ISO 27001 est la référence en matière de sécurisation des données informatiques/sécurité de l’information dans le monde. Elle s’adresse à toutes les entreprises qui gèrent des données sensibles, soit pour le compte de tiers, soit pour elle-même.
Le niveau de sécurité à mettre en place sera différent que vous soyez hébergeur, une ESN (Entreprise de Services du Numérique) ou une industrie. Pas de panique, la norme s’adapte !
• Analyse du contexte (analyse SWOT, PESTEL…) & intégration des enjeux
• Intégration des besoins et attentes des parties prenantes
• Analyse et traitement des risques sur la sécurité de l’information
• Informations documentées
• Communication
• Les ressources (humaines, infrastructures, matériels…)
• Sensibilisation à la sécurité de l’information
• Métrologie, moyens de mesure
• Gestion des non-conformités
• Amélioration continue, plan d’action
• Préparation et déroulement des audits internes
• Revue de direction (préparation, animation et compte rendu)
• Audit de certification (auquel nous pouvons vous assister)
Comptez 6 à 12 mois pour obtenir la certification ISO 27001.
Le principal interlocuteur est la personne qui à la fonction de DSI (Directeur des Systèmes d’Information) ou RSSI (Responsable de la Sécurité des Systèmes d’Information).
La clef de la réussite de l’ISO 27001 est la sensibilisation de tous les utilisateurs de votre Système d’Information !
Développé par e-Ness, création de site internet et agence Web