Qu’est-ce que la norme ISO27001 ?

Par Fabien Dachicourt
Publié le 9 juin 2022
Lecture : 5 min.
Suite à un audit de suivi réalisé en mai 2022, nos certifications ISO 27001 et Hébergeur de Données de Santé (HDS) ont été renouvelées jusqu’en juin 2025. Ce renouvellement est la preuve de la bonne gestion de la sécurité de nos systèmes d’informations et de notre capacité à héberger des données de santé selon la réglementation et en toute sécurité ! A cette occasion, faisons le point sur la norme ISO27001.
5 #Groupe

C’est quoi la norme ISO 27001 ? et 27002 ?

La norme ISO/IEC 27001 contient les exigences pour mettre en œuvre un système de management de la sécurité de l’information (SMSI) basé sur les risques. Elle se base sur une démarche d’amélioration continue (PDCA).

L’ISO/IEC 27001 est la norme par rapport à laquelle vous pouvez vous certifier tandis qu’ISO 27002 n’est « qu’un » code des bonnes pratiques, sous la forme d’un ensemble de contrôles de sécurité que vous pouvez mettre en œuvre pour améliorer votre sécurité.

Qui peut être certifié ISO 27001 ?

Les exigences fixées dans la Norme L’ISO/IEC 27001 sont génériques et prévues pour s’appliquer à toutes les organisations, quels que soient leur type, leur taille et leur nature.

 

Quels sont les 4 critères de sécurité selon la norme ISO 27001 ?

Les critères de sécurité de la norme ISO/IEC 27001 sont : la Disponibilité, la Confidentialité et l’Intégrité.

Mais dans certaines organisations un quatrième critère est utilisé sous l’une des dénominations suivantes : la Non-répudiation, Traçabilité ou Preuve.

Comment obtenir la certification ISO 27001 ?

Pour obtenir la certification ISO 27001, Il faut tout d’abord se préparer à travers :

  • la mise en place effective d’un système de management de la sécurité de l’information (SMSI) sur un domaine d’application déterminé qui reprend les exigences de la norme ISO27001
  • l’établissement d’une politique et des objectifs de sécurité de l’information
  • la définition des rôles et responsabilités de la sécurité de l’information
  • une appréciation et un traitement des risques de sécurité de l’information et produire une déclaration d’applicabilité.
  • la mise en place des supports à ce SMSI (ressources, compétences, sensibilisations, communication et documentation)
  • l’évaluation de la performances du SMSI et de son amélioration

 

Une fois que vous êtes prêt mais avec un peu d’anticipation, Il faut choisir un organisme de certification qui va suivre la norme d’accréditation ISO/CEI 17021-1 : « Évaluation de la conformité -‐ Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management ».

La première étape de cet audit de certification a pour objectif de vérifier le niveau de préparation de l’organisme et consiste principalement à analyser la documentation. La seconde étape consiste à vérifier les objectifs de sécurité et mesures associées définis dans ISO 27001, tels que déclarés dans votre déclaration d’applicabilité.

 

Pour une première certification ISO27001, il est courant de se faire accompagner afin d’améliorer les chances de certification. Nos équipe Risk & Compliance accompagne de nombreuses entreprises et organisations dans l’obtention de cette certification.

Si vous êtes intéressé par un accompagnement:

Contactez-nous !

A noter que la norme ISO27002 vient d’être mise à jour en début d’année et qu’une mise à jour de l’ISO27001 ne devrait pas tarder.

 


Vous aimerez aussi

5 #Groupe
Protection face aux cyberattaques : êtes-vous plutôt du genre sceptique, hypocrite… ou volontariste ?

Au sujet de la cybersécurité, tout le monde semble désormais d’accord. Au moins sur le constat : le niveau de la cybermenace n’a jamais été aussi élevé.

Lire la suite
5 #Groupe
Pictime Groupe fête ses 20 ans !

Depuis 20 ans, les technologies évoluent rapidement et tous les métiers de Pictime Groupe s’inscrivent au cœur de cette dynamique.

Lire la suite
FR   |   EN