Certification en sécurité de l'information iso 27001/isms

INTRODUCTION Certification en Sécurité de l'Information ISO 27001/ISMS

L'information a une importance capitale pour toute forme de gestion, indépendamment du type d'activité, de la taille ou du secteur de l'organisme. Du fait de l'évolution de la société au cours de la dernière décennie, la sécurité des informations occupe encore plus explicitement le devant de la scène.

Durant cette période, il est apparu que couvrir des risques concrets, comme le manque d'informations et données pertinentes et précises pour des utilisateurs spécifiques ou l'usage inapproprié d'informations professionnelles confidentielles par des tiers, constituait une approche à succès. Il s'est aussi avéré que la gestion des informations est un autre facteur clé de succès, déterminant pour la relation avec les parties intéressées. Par « parties intéressées », nous entendons les parties prenantes comme les clients, actionnaires et/ou organismes publics. Outre une efficacité de niveau professionnel jouent aussi un rôle important la fiabilité, l'intégrité et l'image de l'entreprise.

Contact direct pour une offre? Cliquez ici

ISO 27001/ISMS

C'est dans ce contexte qu'est née en 2005 la norme anglaise BS 7799-2. La norme de certification internationale ISO 27001 (sécurité de l'information) en est issue. Cette norme est connue internationalement sous le nom d'ISMS (Information Security Management System) ou, en français, SMSI (système de management de la sécurité de l'information) et est depuis appliquée et reconnue partout dans le monde.

CHAMP D'APPLICATION

La norme de certification ISO 27001 relative à la sécurité de l'information est générique. Cela signifie que la méthodologie peut s'appliquer à n'importe quel type d'organisme, tant en Belgique qu'à l'étranger, indépendamment de sa taille, de ses effectifs, de son secteur d'activité ou encore de la nature de ses activités (primaires): but lucratif ou non, voire secteur public.

Il existe des secteurs spécifiques où la sécurité des informations revêt encore plus d'importance. C'est le cas, par exemple, des institutions financières comme les banques et compagnies d'assurances, des soins de santé, des organismes publics et des entreprises informatiques. Cela vaut aussi pour les organismes qui gèrent les données de tiers, comme les sociétés de sous-traitance informatique.

CONTENU DE LA NORME

La norme ISO 27001 vise une approche par processus de la planification, de la mise en œuvre, de l'application, de la surveillance, de l'évaluation, de la maintenance et de l'amélioration (continue) de la gestion de la sécurité des informations.

La norme est structurée selon un système de management où les aspects suivants occupent une place centrale: responsabilité de la direction et élaboration de la politique, identification de menaces (potentielles), risques et mesure dans laquelle ceux-ci peuvent avoir des conséquences pour l'organisme. La gestion des risques, la fixation d'objectifs concrets dans le domaine de la sécurité de l'information, ainsi que le contrôle et l'évaluation, font aussi partie de la norme.

PROCESSUS DE CERTIFICATION

À quoi ressemble-t-il? Le schéma du processus de certification ISO 27001 se base sur une méthodologie de mise en œuvre dans le cadre d'un cycle fixe de 3 ans. Nous procèderons en outre à une évaluation intermédiaire afin de pouvoir vérifier si les exigences de la norme restent satisfaites. Nous appelons ces évaluations des audits de surveillance. À la fin de la période, l'organisme certifié peut démarrer un nouveau cycle de 3 ans, qui débute par un audit de recertification. Vous souhaiteriez recevoir des informations plus détaillées quant à la pratique de cette certification?
Dans ce cas, consultez notre brochure relative au processus de certification (en néerlandais). Vous pouvez la télécharger ici sur notre site web.

NORMES COMPLÉMENTAIRES

La norme ISO 27001 (sécurité de l'information) a la même structure de base que, par exemple, les normes ISO 9001 (qualité), ISO 14001 (environnement) ou ISO 45001 (santé et sécurité). Elle peut ainsi être mise en œuvre avec une ou plusieurs de ces normes. Elle peut en outre être combinée avec d'autres normes nationales, internationales ou sectorielles, notamment la norme de certification apparentée à l'ISO 27001, qui vise la protection des données à caractère personnel et que Bureau Veritas a développée en se basant sur la législation européenne du RGPD (GDPR).