ISO 27001 : Système de Management de la Sécurité de l’Information

La sécurité de l’information : un enjeu stratégique et un avantage concurrentiel

La norme ISO/CEI 27001 est devenue le modèle de référence pour la gouvernance de la sécurité des systèmes d’information. Elle permet aux organismes d’améliorer à la fois leur niveau sécurité de l’information d’un point de vue technique et humain, mais également leur système de management via des processus de validation et d’amélioration continue.

 

Nos experts en cybersécurité, certifiés ISO/CEI 27001 Lead Implementer et Lead Auditor, accompagnent les organismes dans une démarche d’alignement à la norme ou de certification, en proposant une approche adaptée au contexte de chaque organisme.

L’implémentation d’un système de management de la sécurité de l’information ISO/CEI 27001 présente un fort avantage concurrentiel pour les entreprises qui peuvent ainsi démontrer à leurs clients et à leurs partenaires que la sécurité de leurs informations est maitrisée.

Quelles sont les différentes étapes pour mettre en place un système de management de la sécurité de l'information ISO/CEI 27001 ?

  • L’analyse d’écarts
  • La mise en conformité
  • L’audit à blanc, ou audit interne
  • La certification par un tiers accrédité

L’analyse d’écarts

Nos consultants réalisent cet audit en partie dans vos locaux et en partie à distance. Il s’agit plus particulièrement d’une analyse de la documentation existante, d’une collecte d’informations par l’intermédiaire d’entretiens et d’une analyse des mesures de sécurité mises en œuvre.

 

L’objectif de l’analyse d’écarts est :

  • de formaliser et synthétiser le niveau de conformité de l’organisme ;
  • de définir et prioriser les actions à mettre en œuvre pour atteindre la conformité à l’ISO/CEI 27001 ;
  • d’estimer la charge nécessaire en interne et en externe pour la réalisation de ces actions.

 

Le livrable est un document complet présentant :

  • les résultats détaillés de l’audit sur chaque point des chapitres 4 à 10 de la norme ISO/CEI 27001 en intégrant le niveau d’implémentation et les justifications associées ;
  • la sélection des mesures de sécurité applicables à l’organisme (Annexe A de la norme ISO/CEI 27001) ;
  • les résultats détaillés de l’audit sur chacune des 93 mesures de sécurité de l’annexe A de la norme ISO/CEI 27001 en intégrant le niveau d’implémentation et les justifications associées ;
  • les résultats synthétiques de l’audit ;
  • les conclusions des auditeurs relatives à l’implémentation du Système de Management de la Sécurité de l’Information (ISO/CEI 27001) ;
  • les conclusions des auditeurs relatives à l’implémentation des mesures de sécurité (Annexe A de l’ISO/CEI 27001) ;
  • le plan d’actions pour atteindre la conformité à la norme ISO/CEI 27001 ;
  • la conclusion générale des auditeurs.

Exemple de graphique présent dans le rapport d’analyse d’écarts : conformité sur l’annexe A, par capacité opérationnelle

La mise en conformité avec la norme ISO/CEI 27001

L’identification des actions d’implémentation propre à la norme ISO/CEI 27001 découlera de l’analyse d’écarts, réalisée lors de la première étape.

Le projet de mise en œuvre d’un Système de Management de la Sécurité de l’Information s’appuie entre autres sur la mise en place des mesures de l’annexe A de la norme ISO/CEI 27001, notamment :

  • définition de la stratégie de la sécurité de l’information,
  • démarche de gestion des risques,
  • définition des objectifs et indicateurs de sécurité,
  • rédaction des politiques et procédure,
  • sensibilisation des équipes.

 

Nos équipes vous accompagnent également lors de la réalisation de l’audit de conformité, en complément de vos équipes, pour assurer la bonne réalisation de cette étape finale jusqu’à la certification.

L’audit à blanc, ou audit interne

Dans l’optique de préparer les collaborateurs à l’exercice d’audit de certification, nos experts réalisent un audit de vos systèmes de management pour analyser, d’un œil objectif et externe, les mesures mises en œuvre.

Cet exercice, réalisé par un auditeur certifié ISO/CEI 27001 Lead Auditor, permettra de proposer également des actions correctives pour améliorer le niveau de maturité du Système de Management de Sécurité de l’Information.

Il respecte la totalité de l’exigence 9.2, dont notamment :

  • l’indépendance et l’impartialité de l’auditeur,
  • la prise en compte de l’évolution du SMSI,
  • le respect du programme d’audit,
  • la réalisation d’un audit dans le respect des exigences de la norme ISO 19011.

Nous intervenons également sur l’audit de Systèmes de Management Intégrés, en auditant à la fois les exigences de la norme ISO/CEI 27001, mais également HDS, ISO/CEI 27701, ISO 22301 ou encore ISO 9001.

Intervention sur des référentiels complémentaires

La démarche proposée pour la norme ISO/CEI 27001 est applicable sur différents référentiels maitrisés par nos équipes d'experts :

  • le Règlement Général sur la Protection des Données (RGPD),
  • la norme ISO/CEI 27701 (PIMS),
  • le référentiel relatif à l’Hébergement des Données Santé (HDS),
  • le référentiel SecNumCloud,
  • la norme ISO 22301 (SMCA).

 

Découvrez les formations ISO 27001 associées

Devenir Lead Implementer ISO/CEI 27001 Devenir Lead Auditor ISO/CEI 27001 Devenir Risk Manager ISO/CEI 27005 Devenir EBIOS Risk Manager

Témoignage

Emmanuel Poidevin, président d'e-attestation
« Le plus grand risque qui pèse sur un éditeur gérant la conformité des tiers de ses clients, c’est une menace cyber »
Emmanuel Poidevin
Président d'e-Attestations
Besoin d'un accompagnement en cybersécurité ?

Quelle que soit votre interrogation sur une problématique de cybersécurité, nous sommes à votre écoute. 

Contactez-nous !

(+33)1 75 43 51 01