ISO 27001 dit par lentreprise qui le possède

Quest-ce que le système de gestion de la sécurité de linformation certifié ISO 27001 et quelles normes doivent être respectées pour lobtenir? Apporte-t-il vraiment une valeur réelle au marché de linformation et pourquoi les plus grandes institutions financières, telles que les banques, y attachent-elles autant dimportance?

(Transparent Data) (6 nov.2020)

Norme ISO 27001 du système de gestion de la sécurité de linformation

Profiter de la Transparent Data s quatrième audit ISO 27001 successif, nous révélons quelques secrets majeurs et mineurs de cette norme internationale:

  • Quest-ce que la norme ISO / CEI 27001 et qui la établie
  • Pourquoi est-il censé apporter de la valeur au marché de linformation
  • Pourquoi il vaut la peine de vérifier si lentreprise qui nous fournit des données ou traite nos données les possède
  • TOP ISO 27001 Q & A pour com des personnes qui se demandent si elles doivent lobtenir (entre autres, quelle est la partie la plus difficile de tout le processus de certification)
  • 4 étapes clés de lensemble du processus de demande dun certificat ISO 27001 .

Quest-ce que le système de gestion de la sécurité de linformation certifié ISO / CEI 27001?

De manière générale, le Système de Management de la Sécurité de lInformation (SMSI) conforme à la norme internationale ISO / IEC 27001 est un ensemble de règles définissant lintroduction et lamélioration dun système didentification des risques évalué indépendamment et dun système de sécurité précis dans une entreprise dans tous les domaines dactivité .

Ce certificat international respecté dans le monde entier et les conditions dobtention ont été établis par lOrganisation internationale de normalisation (ISO), qui est actuellement la plus grande organisation non gouvernementale du monde établissant des normes commerciales, et la Commission électrotechnique internationale (CEI), qui est l’organisation mondiale de développement de normes technologiques la plus connue. Les normes élaborées par ces organismes constituent la base des normes nationales et la référence pour les contrats et appels d’offres internationaux.

Le respect de la norme ISO / CEI 27001 savère le plus élevé protection de toutes les données commerciales et confidentielles, et minimisant ainsi le risque daccès non autorisé à celles-ci.

Lobtention de ce certificat se classe parmi les plus grandes entreprises du monde marché. Il s’agit d’une distinction particulière, car il existe encore peu d’entreprises traitant de la fourniture d’informations économiques et commerciales ou de la mise en œuvre d’outils permettant d’analyser l’information pour les entreprises qui peuvent se vanter de répondre à cette norme.

ISO 27001 apporte-t-il au marché de linformation?

Lorsque nous pensons à soutenir notre propre entreprise avec des informations commerciales externes, ce que nous prenons en compte en premier lieu, cest sa rapidité et sa crédibilité. Personne na besoin dinformations obsolètes car il existe une version plus récente et modifiée de celle-ci. Les suppositions, les opinions, les données non fiables ne sont pas quelque chose sur lequel nous voulons baser nos décisions.

Si nous examinons attentivement la procédure dachat dinformations sur lentreprise, nous arriver rapidement à une autre conclusion: ce que nous achetons n’est pas seulement important, mais aussi auprès de qui. Comment les informations sont stockées, qui y a accès et comment elles sont protégées contre les fuites indésirables sont tout aussi importantes. Rappelons, par exemple, la violation de données très médiatisée des données personnelles des clients de Zoom cette année.

Répétons-le:

à qui nous achetons des informations sur des questions.

Cest lune des raisons pour lesquelles les institutions les plus puissantes, telles que les banques, décident de coopérer uniquement avec des entreprises certifiées par la norme ISO / IEC 27001.

ISO 27001 de le point de vue de lentreprise qui la: TOP Q & A

Que signifie en pratique lobtention de la certification ISO / CEI 27001? Comment cela affecte-t-il les opérations commerciales?

Le processus même dobtention de la conformité à la norme apporte une valeur considérable aux processus internes de lentreprise, à sa mission et à ses objectifs – il permet dorganiser les pratiques appliquées et soutient le développement de bonnes habitudes de prise en charge de la sécurité de linformation par les salariés de lentreprise à tous les niveaux.

En tant que seul standard de ce type, il permet également de vérifier si les solutions adoptées par lentreprise se situent vraiment au plus haut niveau ou si le système de sécurité doit être amélioré. Une telle connaissance est toujours précieuse pour une entreprise orientée vers le développement.

En externe, cependant, lobtention de la norme ISO 27001 ouvre la porte à la coopération avec les clients les plus exigeants, tels que les banques ou les entreprises internationales. En dautres termes, elle influence positivement la croissance de la confiance des clients et la crédibilité de lentreprise sur le marché.

Si la valeur de la norme ISO 27001 contribue à accroître la confiance des clients et la crédibilité de lentreprise, pourquoi si peu dentreprises fournissant des informations ne postulent pas pour ce certificat?

La procédure dobtention de lISO / CEI 27001 est longue, compliquée et oblige lentreprise à répondre à des exigences très précises concernant le système didentification des risques et la sécurité économique, informations commerciales et confidentielles. Un système de gestion de la sécurité de linformation certifié est généralement associé à de nombreux mois de préparation et de formation, cest pourquoi la plupart des entreprises pensent quil nest disponible que pour les plus grands acteurs disposant dun capital substantiel et de centaines demployés.

Quils soient petits et les moyennes entreprises peuvent également obtenir la certification ISO 27001?

Oui, et nous le savons de notre propre expérience. Dans Transparent Data, nous navons pas des centaines demployés et nous avons quand même réussi à briser le stéréotype selon lequel la taille compte. Nous sommes une société de logiciels de données relativement petite, mais en retour, nous sommes très agiles et rapides.Par conséquent, malgré le nombre accru dobligations qui nous incombent avec la préparation de laudit de certification, nous avons suivi toute la procédure en douceur.

Combien de temps la certification ISO 27001 est-elle valable?

Standard 3 ans, mais au moins une fois par an, lorganisme de certification vient dans lentreprise pour revérifier à la fois la conformité aux normes ISO 27001 et si lentreprise sefforce vraiment daméliorer les systèmes. Contrairement à la plupart des autres standards, celui-ci est donc unique. Le travail ne sarrête pas à son obtention. Vous devez encore être prêt à le conserver.

Est-il difficile de répondre aux normes internationales de sécurité en matière de gestion de linformation? La norme ISO 27001 est-elle liée à la mise en œuvre de procédures complexes?

Si vous êtes une entreprise qui opère sur le marché depuis de nombreuses années et qui compte de grands clients exigeants dans son portefeuille, la plupart des procédures de sécurité sont déjà en pratique, et sinon, leur mise en œuvre ne vous causera pas beaucoup de problèmes. Du moins, cétait notre cas. En tant que fournisseur de données, nous avons dû améliorer nos procédures plus dune ou deux fois pour répondre aux très hautes exigences de sécurité des institutions financières bien avant de procéder à la certification ISO / IEC 27001. Cest pourquoi la mise en œuvre na pas été particulièrement difficile pour nous.

Cependant, toute lexpérience sest avérée très précieuse du point de vue de la culture organisationnelle – nous avons déjà fait beaucoup de choses avant ISO 27001, mais seulement les voir rédigés sous forme dexigences nous a fait pleinement comprendre pourquoi nous le faisons. En tant quorganisation, nous en avons certainement bénéficié.

Quelle est la partie la plus difficile de tout le processus de certification ISO 27001?

Nous ne devrions probablement pas en parler à haute voix, mais soyons transparents – la partie la plus difficile est la partie formelle, cest-à-dire des piles de documents en attente de remplissage. Malheureusement, vous devriez réserver quelques semaines pour cette activité et vous rappeler que chaque changement dans lentreprise, même si cest un peu comme remplacer un ordinateur, nécessite de remplir non pas un document supplémentaire, mais un dossier complet de documents.

Existe-t-il des politiques spécifiques qui définissent le niveau de gestion de la sécurité de linformation?

Le plus important ce qui doit être développé est le Manuel du Système de Management Intégré, qui définit lensemble des obligations à respecter pour se conformer à la norme ISO. Il contient la liste complète des procédures, instructions, politiques, ressources de lentreprise et tableaux de responsabilités de gestion.

Ensuite, nous avons, entre autres, la politique de sécurité de linformation, qui définit létendue des responsabilités et obligations liées au traitement des données personnelles (par exemple les fonctions de ladministrateur de la sécurité de linformation, de ladministrateur des systèmes informatiques, du représentant de la gestion intégrée du système et dautres employés de lentreprise). Il décrit également les types de données que nous gérons en tant quentreprise, les systèmes dans lesquels elles sont traitées ou les ensembles de données dont nous sommes le contrôleur.

Les autres politiques principales incluent, par exemple, la politique de gestion de la continuité des activités, qui vise à garantir la stabilité du travail dans le domaine du traitement de linformation. Il doit inclure, entre autres, des scénarios de conduite en cas de cyberattaque, de panne système, de panne de courant, dincendies, de catastrophes, dabsence demployés clés ou de perte dactifs importants pour lentreprise.

À quoi ressemble lensemble du processus de demande dun certificat ISO 27001?

Lensemble du processus de demande dun certificat ISO 27001 peut être divisé en 4 étapes clés:

  1. Ce que vous devez faire au tout début est une étude approfondie des exigences contenues dans la norme ISO 27001, puis analyser tous les documents dont lentreprise dispose déjà Si nous constatons des lacunes ou des incohérences, nous devons adapter nos politiques internes à une norme internationale et modifier ou créer de nouveaux documents.
  2. La prochaine étape consiste à former tous les employés et tout le personnel dencadrement aux politiques en vigueur dans la norme ISO / CEI 27001. Cela nécessite , bien sûr, la nomination de personnes appropriées dans lentreprise, qui seront responsables du projet de A à Z.
  3. Seulement alors vous pourrez commencer à mettre en œuvre le système de sécurité nécessaire tiges, et ils doivent «travailler» dans l’environnement quotidien naturel de l’entreprise pendant au moins plusieurs mois , et s’ils fonctionnent réellement doivent être confirmés par un audit interne, ce qui signifie quune personne dans lentreprise doit être un auditeur interne certifié ou obtenir les autorisations applicables.
  4. Si nous avons déjà terminé la création de toute la documentation, la formation des employés et que, dans la pratique, nous nous conformons aux normes indiquées, ce nest qualors que nous aurons le feu vert pour commencer les efforts officiels pour obtenir un certificat. Nous devons ensuite trouver un organisme de certification des systèmes de management externe et être prêts pour un audit externe indépendant . Ce n’est qu’après cette évaluation formelle que l’entreprise reçoit le certificat.

La valeur réelle de l’ISO 27001 en entreprise (point de vue client)

Expliquer l’importance de la 27001 dans le domaine des données dentreprise, nous pouvons comparer les entreprises fournissant des informations commerciales aux menthes. Chaque entreprise fournit au marché des informations économiques, cest-à-dire de lor. Ces entreprises plus conscientes tentent daugmenter la sécurité de leurs clients et des leurs en prenant des précautions particulières, telles que la protection du convoi ou des verrous de sécurité supplémentaires. ISO 27001 dans cette comparaison est une unité spéciale et une chaîne de 15 mm dépaisseur avec trois cadenas – un pour la combinaison, lautre pour lempreinte digitale et le troisième pour ce que vous venez de manger au petit-déjeuner.

Vous pourriez aussi aimer :

(

Le problème des systèmes hérités – lABC de la dette technologique

«Les systèmes hérités» – ce nom reflète parfaitement à la fois leur nature obsolète et problématique. Ces applications et…

medium.com

) (

Comment gérer les anciens systèmes? Stratégies pour sortir de la dette technologique

Construire un nouveau système à partir de zéro, refactoring et réécriture de code – voici trois stratégies pour sortir de…

medium.com

) (

Automatiser lintégration des clients B2B avec les données réglementaires

Comment raccourcir le processus denregistrement des clients professionnels et accélérer lintégration? Quels champs de linscription…

medium.com

)