Table des matières de l'article :
La conformité ISO 27001 est la plus courante et la plus pertinente pour fournir des exigences pour un système de gestion de la sécurité de l'information (SMSI).
Introduite pour la première fois en 2005, la famille de normes ISO pour la gestion de la sécurité de l'information a récemment reçu plus d'attention en raison de l'augmentation des violations de données et des pannes de sécurité. Cependant, ils ne sont toujours pas aussi populaires que les audits HITRUST ou SOC 2, donc dans cet article, nous parlerons spécifiquement d'ISO 27001, de qui cela affecte et de ce que la conformité signifie pour votre organisation.
Qu'est-ce que l'ISO 27001 ?
ISO 27001 est une réglementation de conformité comme PCI ou HIPAA. Il existe une douzaine de normes au sein de la famille ISO, mais 27001 est la plus courante et la plus pertinente pour fournir les exigences d'un système de gestion de la sécurité de l'information (SMSI). Les normes ISO ont été introduites pour la première fois en 2005, mais ont été révisées en 2013.
L'obtention d'une certification accréditée ISO 27001 démontre que votre entreprise suit les meilleures pratiques en matière de sécurité de l'information et fournit un contrôle indépendant et qualifié que la sécurité de l'information est gérée conformément aux meilleures pratiques internationales et aux objectifs commerciaux.
Qu'est-ce qu'un SMSI ?
Essentiellement, un SMSI est la façon dont vous décidez de vous rapprocher de la protection de vos données sensibles. Ces données peuvent inclure des dossiers financiers, des informations médicales, des données internes sur les employés ou d'autres informations qui vous sont confiées par un tiers. Votre SMSI n'est pas seulement les données elles-mêmes, mais aussi les personnes, les processus et la technologie qui l'entourent et comprend un processus de gestion des risques. L'objectif du SMSI est d'aider les organisations à protéger leurs informations.
Ai-je besoin de la conformité ISO 27001 ?
ISO 27001 est requis dans de nombreux domaines gouvernementaux, administrations publiques et même PME depuis l'avènement de la loi européenne sur la confidentialité des données, mieux connue sous le nom de RGPD.
Si vous gérez des informations personnellement identifiables (PII) ou utilisez un fournisseur d'hébergement qui le fait, c'est vraiment quelque chose que vous (ou eux) devriez avoir. Une certification ISO vous montre, ainsi qu'à vos clients et à votre conseil d'administration, que vous ou le fournisseur d'hébergement avec lequel vous travaillez prenez la sécurité des données très au sérieux.
Que signifie une revue d'audit ISO 27001 ?
Voici les contrôles auxquels vous vous mesurerez :
- Portée du SMSI
- Politique de sécurité de l'information
- Processus d'évaluation des risques liés à l'information
- Processus de traitement des risques informationnels
- Objectifs de sécurité de l'information
- Preuve de la compétence des personnes travaillant dans la sécurité de l'information
- D'autres documents liés au SMSI jugés nécessaires par l'organisation (facultatif ?)
- Documents de planification et de contrôle opérationnels
- Résultats des évaluations des risques liés à l'information
- Décisions concernant le traitement du risque informationnel
- Preuve de la surveillance et de la mesure de la sécurité de l'information
- Programme d'audit interne du SMSI et résultats associés
- Preuve des revues de la direction générale du SMSI
- Preuve du style de non-conformité identifié et des actions correctives qui en résultent
Comme vous pouvez le voir, ISO 27001 couvre en profondeur la sécurité de l'information. Mais gardez à l'esprit que la société que vous choisissez et qui vous contrôlera par rapport à ces normes offre une opinion que vous les respectez, alors assurez-vous de choisir des auditeurs réputés qui comprennent parfaitement les contrôles.
Qui est impliqué dans la mise en conformité ISO 27001 ?
L'ISO étant une norme de gestion, cela signifie que tous les membres de l'équipe de gestion sont impliqués, pas seulement le service informatique. Cela inclut le PDG, le directeur financier et toute autre personne de votre équipe. La participation de l'ensemble de l'équipe de gestion au processus facilite grandement l'application des contrôles de sécurité et une culture de la conformité à tous les niveaux, car chaque service est activement impliqué dans la mise en conformité.
Vous recherchez un cloud, un hébergement ou un fournisseur de services dédié conforme à la norme ISO 27001 ?
Nous travaillons uniquement et exclusivement avec des entreprises et des centres de données en possession de cette certification ISO 27001. Si vous travaillez avec nous, vous disposerez de tous les certificats de conformité et de conformité totale au RGPD.