Les violations de la sécurité de l’information étant désormais la nouvelle norme, les équipes de sécurité sont obligées de prendre des mesures spécifiques pour réduire le risque de subir une violation dommageable. ISO 27001 présente un moyen efficace de réduire ces risques.
Dans ce blog, nous expliquons comment obtenir la certification ISO 27001 et examinons le processus de certification.
Préparer
Comprendre la norme ISO 27001
La lecture de la norme fournit un excellent contexte à la norme ISO 27001 et à ses exigences. Il existe plusieurs façons de vous perfectionner à propos de la norme ISO 27001:
- Lire un livre blanc gratuit sur la Norme
- Lire les informations gratuites de la Gouvernance informatique sur ISO 27001 et comment commencer
- Acheter une copie de la Norme (elle n’est pas disponible gratuitement)
- Vous voudrez peut-être assister à un cours de formation en ligne sur la Fondation ISO 27001
Nommer un champion ISO 27001
Avoir un aperçu de la norme ISO 27001 est un moyen utile de vous familiariser avec le processus de certification, mais vous avez besoin d’un véritable expert pour vous aider à mener à bien le processus.
Il peut s’agir d’une personne au sein de votre organisation ou d’un tiers chargé de gérer le processus. Quoi qu’il en soit, ils doivent avoir de l’expérience dans la mise en œuvre d’un système de gestion de la sécurité de l’information (SMSI) et comprendre comment mettre en œuvre ses exigences au sein de votre organisation.
Si vous n’avez pas d’expertise interne, vous pouvez vous inscrire à la formation en ligne ISO 27001 Lead Implementer.
Obtenir le soutien de la haute direction
Aucun projet ne peut réussir sans l’adhésion et le soutien de la direction de l’organisation.
Une analyse des lacunes, qui comprend un examen complet de tous les dispositifs de sécurité de l’information existants par rapport aux exigences de l’ISO/CEI 27001:2013, constitue un bon point de départ.
Une analyse approfondie des lacunes devrait idéalement inclure un plan hiérarchisé des mesures recommandées et des conseils supplémentaires pour définir la portée de votre SMSI.
Les résultats de l’analyse des lacunes peuvent être fournis pour développer une analyse de rentabilisation solide pour la mise en œuvre d’ISO 27001.
Établir le contexte, la portée et les objectifs
Il est essentiel de cerner les objectifs du projet et du SMSI dès le départ, y compris les coûts et le calendrier du projet. Vous devrez déterminer si vous utiliserez le soutien externe d’un cabinet de conseil ou si vous disposez de l’expertise interne requise.
Vous voudrez peut-être garder le contrôle de l’ensemble du projet tout en comptant sur l’assistance d’un mentor en ligne dédié aux étapes critiques du projet.
L’utilisation d’un mentor en ligne vous aidera à vous assurer que votre projet reste sur la bonne voie tout en vous épargnant les dépenses associées à l’utilisation de consultants à temps plein pour la durée du projet.
Vous devrez également développer la portée du SMSI, qui peut s’étendre à l’ensemble de l’organisation ou seulement à un département ou à un emplacement géographique spécifique.
Lors de la définition de la portée, vous devrez tenir compte du contexte organisationnel et des besoins et exigences des parties intéressées (parties prenantes, employés, gouvernement, régulateurs, etc.).
« Contexte » prend en compte les facteurs internes et externes qui pourraient influencer la sécurité de l’information de votre organisation. Il comprend des aspects tels que la culture organisationnelle, les critères d’acceptation des risques, les systèmes existants, les processus, etc.
(Envisagez un forfait tout compris à faire soi-même qui comprend cinq jours de conseil structuré, en plus des outils, de la formation et des logiciels).
Établir un cadre de gestion
Le cadre de gestion décrit les processus qu’une organisation doit suivre pour atteindre ses objectifs de mise en œuvre de la norme ISO 27001.
Ces processus comprennent l’affirmation de la responsabilité du SMSI, un calendrier d’activités et des audits réguliers pour soutenir un cycle d’amélioration continue.
Effectuer une évaluation des risques
Bien qu’ISO 27001 ne prescrive pas de méthodologie spécifique d’évaluation des risques, elle exige que l’évaluation des risques soit un processus formel.
Cela implique que le processus doit être planifié et que les données, l’analyse et les résultats doivent être enregistrés.
Avant de procéder à une évaluation des risques, vous devez établir vos critères de sécurité de base. Il s’agit des exigences commerciales, juridiques et réglementaires de l’organisation, ainsi que de ses obligations contractuelles liées à la sécurité de l’information.
vsRisk Cloud, le logiciel d’évaluation des risques le plus simple et le plus efficace, fournit le cadre et les ressources nécessaires pour mener une évaluation des risques conforme à la norme ISO 27001.
Mettre en œuvre des contrôles pour atténuer les risques
Une fois que les risques pertinents ont été identifiés, l’organisation doit décider de traiter, de tolérer, de mettre fin ou de transférer les risques.
Il est essentiel de documenter toutes les décisions concernant les réponses aux risques, car l’auditeur voudra les examiner lors de l’audit d’enregistrement (certification).
La SoA (Déclaration d’applicabilité) et le RTP (plan de traitement des risques) sont deux rapports obligatoires qui doivent être produits comme preuve de l’évaluation des risques.
Dispenser une formation
La Norme exige que des programmes de sensibilisation du personnel soient mis en place pour sensibiliser l’ensemble de l’organisation à la sécurité de l’information.
Vous devrez également mettre en œuvre des politiques qui orientent les employés vers de bonnes habitudes. Cela peut inclure une politique de bureau propre et l’obligation de verrouiller les ordinateurs chaque fois qu’ils quittent leurs postes de travail.
Un cours d’apprentissage en ligne sur la sensibilisation du personnel à l’échelle de l’entreprise est le moyen le plus simple de faire comprendre la philosophie qui sous-tend la norme et ce que les employés doivent faire pour assurer la conformité.
Examiner et mettre à jour la documentation requise
La documentation est requise pour soutenir les processus, les politiques et les procédures du SMSI nécessaires.
La compilation de politiques et de procédures est cependant souvent une tâche assez fastidieuse et difficile. Heureusement, des modèles de documentation – développés par des experts de la norme ISO 27001 – sont disponibles pour effectuer la plupart du travail pour vous.
Formatés et entièrement personnalisables, ces modèles contiennent des conseils d’experts pour aider toute organisation à répondre à toutes les exigences de documentation de la norme ISO 27001.
Au minimum, la Norme nécessite la documentation suivante:
- Portée du SMSI
- Politique de sécurité de l’information
- Processus d’évaluation des risques liés à la sécurité de l’information
- Processus de traitement des risques liés à la sécurité de l’information
- Déclaration d’applicabilité
- Objectifs de sécurité de l’information
- Preuve de compétence
- Informations documentées déterminées par l’organisation comme étant nécessaires à l’efficacité du SMSI
- Planification et contrôle opérationnels
- Résultats de l’évaluation du risque de sécurité de l’information
- Résultats du risque de sécurité de l’information traitement
- Preuve de la surveillance et de la mesure des résultats
- Un processus d’audit interne documenté
- Preuve des programmes d’audit et des résultats de l’audit
- Preuve des résultats des examens de la direction
- Preuve de la nature des non-conformités et de toute mesure subséquente prise
- Preuve des résultats de toute mesure corrective prise
Mesurer, surveiller et examiner
ISO 27001 prend en charge un processus d’amélioration continue. Cela exige que le rendement du SMSI soit constamment analysé et examiné pour en vérifier l’efficacité et la conformité, en plus d’identifier des améliorations aux processus et aux contrôles existants.
Effectuer un audit interne
L’ISO/CEI 27001:2013 exige des audits internes du SMSI à intervalles planifiés. Une connaissance pratique du processus d’audit des leads est également cruciale pour le responsable de la mise en œuvre et du maintien de la conformité à la norme ISO 27001.
Le cours en ligne certifié ISO 27001 Lead Auditor vous apprend à planifier et à exécuter un audit de sécurité de l’information efficace conformément à la norme ISO 27001:2013.
Il vous apprend également à diriger une équipe d’auditeurs et à mener des audits externes. Si vous n’avez pas encore sélectionné de bureau d’enregistrement, vous devrez peut-être choisir une organisation appropriée à cette fin.
Les audits d’enregistrement (pour obtenir un enregistrement accrédité, reconnu mondialement) ne peuvent être effectués que par un registraire indépendant accrédité par l’autorité d’accréditation compétente de votre pays.
Audits d’enregistrement / certification
Au cours de la première étape de l’audit, l’auditeur évaluera si votre documentation répond aux exigences de la norme ISO 27001. Ils signaleront également tous les domaines de non-conformité et d’amélioration potentielle du système de gestion.
Une fois les modifications requises apportées, votre organisation sera prête pour votre audit d’inscription de l’étape 2.
Audit de certification
Lors d’un audit de phase Deux, l’auditeur effectuera une évaluation approfondie pour déterminer si vous êtes conforme à la norme ISO 27001.
Combien de temps faudra-t-il pour être certifié?
Le processus de mise en œuvre de la norme ISO 27001 dépendra de la taille et de la complexité du système de management, mais dans la plupart des cas, les petites et moyennes entreprises peuvent s’attendre à achever le processus dans un délai de 6 à 12 mois.
Support de certification avec IT Governance USA
Êtes-vous prêt à commencer votre projet ISO 27001 ? Si c’est le cas, notre gamme de bundles de mise en œuvre est le point de départ idéal.
Grâce à une combinaison d’outils, de logiciels, de guides et de formations basées sur la qualification avec jusqu’à 40 heures de conseil en ligne, vous recevrez les conseils d’experts dont vous avez besoin pour répondre aux exigences de votre organisation.
Ils vous aideront à réduire le temps et les efforts nécessaires à la mise en œuvre d’un SMSI, ainsi qu’à éliminer les coûts de travail de conseil, de déplacement et d’autres dépenses associées au conseil traditionnel.
Une version de ce blog a été initialement publiée le 13 mars 2019.