Accompagnement à la certification ISO 27001
Qu’est-ce que la certification ISO 27001 ?
La certification ISO 27001 décrit comment mettre en place un Système de Management de la Sécurité (SMSI). Ce standard de sécurité de l’information fait partie de la famille des normes de management ISO 27000 qui contiennent des recommandations des meilleures pratiques en management de la sécurité de l’information, par exemple pour l’évaluation des risques avec l‘ISO 27005.
Un SMSI consiste mettre en œuvre une gouvernance de la sécurité du Système d’Information sous la forme de processus en processus en amélioration continue. Le SMSI garantit la solidité, l’efficience et la résilience du Système d’Information face aux événements externes et internes qui peuvent impacter l’activité de l’entreprise.
La certification ISO 27001 permet à un organisme d’obtenir la validation de ses bonnes pratiques en la matière par un tiers reconnu, et d’en faire la communication auprès de l’ensemble de ses parties prenantes, notamment ses clients et prospects.
Le système d’information
L’organisation d’une entreprise est composée d’un ensemble d’activités métiers qui reposent sur des processus et équipements physiques et logiques (applications, infrastructure, locaux, mobilier…). Ils seront classés par ordre d’importance en termes de disponibilité, d’intégrité et de confidentialité afin de qualifier de façon quantitative et/ou qualitative là où les risques se situent et ainsi de pouvoir protéger ce que l’entreprise a de plus cher à ses yeux (patrimoine). Tous les événements impactant sont pris en compte, qu’ils soient considérés rares (inondations, séismes, actes terroristes) ou plus fréquents (attaque informatique, panne matérielle, absence de personnel…). Les aspects humains sont également traités (embauche, formation…), ainsi que les risques associés (erreur de manipulation, malveillance…).
L’implémentation du SMSI est appliquée sur la globalité ou sur un périmètre particulier du système d’information à protéger. Il fonctionne sur le modèle itératif du « PDCA » : « Plan », « Do », « Check », « Act » (en français « Planifier », « Développer », « Contrôler », « Agir »). La performance du système mis en place doit être surveillée, revue et améliorée, par exemple les audits internes produiront des plans d’action à appliquer pour les équipes.
Dasec vous accompagne sur quelques phases de projet
Dasec propose un état des lieux afin d’identifier les écarts entre votre SMSI et le référentiel ISO 27001, et vous disposez ainsi d’un plan d’action priorisé.
Les mesures de sécurité à mettre en place qui figurent dans le plan d’action sont organisées selon les 14 thèmes cyber de l’ISO 27002 (standard international de bonnes pratiques en matière de sécurité de l’information).
Seront évalués à travers ce questionnaire les éléments suivants : la Politique de Sécurité, l’Organisation de la Sécurité, la Gestion des Actifs, la Gestion de l’Exploitation, la Gestion des Incidents, le Développement et évolution, la Gestion des tiers, la Conformité, la Sécurité Système, la Sécurité Logique, la Sécurité physique, les Mesures de Reprise, de Continuité d’Activité et de Sauvegardes et la Sécurité Réseau.
Dasec vous accompagne durant chaque phase du projet et vous aide à maximiser les chances d’obtention de cette certification exigeante et reconnue par de nombreux donneurs d’ordre. Nos experts sont certifiés ISO 27001, ils ont derrière eux une expérience d’accompagnement pour vous fournir les meilleurs conseils et vous faciliter l’atteinte de vos objectifs.
L’accompagnement ISO 27001 peut se conclure par un audit à blanc pour évaluer le degré de conformité de mise en œuvre.
Besoin de plus d'informations sur l'accompagnement ISO 27001 ?
Services complémentaires
PSSI : Politique de Sécurité des Systèmes d’Information
Audit à blanc ISO 27001
Suivez l'expertise DASEC en vous abonnant à la newsletter
Les informations recueillies à partir de ce formulaire sont traitées par DASEC
pour vous inscrire à sa newsletter.
Pour connaître vos droits et la politique de DASEC sur la protection des données,