Que signifie ISO 27001?
Premièrement, il est important de noter que le nom complet de lISO 27001 est « ISO / CEI 27001 – Technologies de linformation – Techniques de sécurité – Systèmes de gestion de la sécurité de linformation – Exigences. »
Il sagit de la principale norme internationale axée sur la sécurité de linformation, publiée par lOrganisation internationale de normalisation (ISO), en partenariat avec la Commission électrotechnique internationale (CEI). Les deux sont des organisations internationales de premier plan qui développer des normes internationales.
ISO-27001 fait partie dun ensemble de normes développées pour gérer la sécurité de linformation: la série ISO / CEI 27000.
À quoi sert lISO 27001?
La norme ISO 27001 a été développée pour aider les organisations, de toute taille ou de tout secteur, à protéger leurs informations de manière systématique et rentable, grâce à ladoption dun système de gestion de la sécurité de linformation (SMSI).
Pourquoi la norme ISO 27001 est-elle importante?
Non seulement la norme fournit dispose du savoir-faire nécessaire pour protéger ses informations les plus précieuses, mais une entreprise peut également être certifiée ISO 27001 et, de cette manière, prouver à ses clients et partenaires quelle protège leurs données.
Les individus peuvent également obtenir la certification ISO 27001 en suivant un cours et en réussissant lexamen et, de cette manière, prouver leurs compétences à des employeurs potentiels.
Parce quil sagit dune norme internationale, ISO 27001 est facilement reconnue partout dans le monde, augmentant les opportunités commerciales pour les organisations et les professionnels.
Quels sont les 3 objectifs de sécurité du SMSI?
Lobjectif fondamental dISO 27001 est den protéger trois aspects de linformation:
- Confidentialité: seules les personnes autorisées ont le droit daccéder aux informations.
- Intégrité: seules les personnes autorisées peuvent modifier les informations.
- Disponibilité: les informations doivent être accessibles aux personnes autorisées chaque fois que cela est nécessaire.
Quest-ce quun SMSI?
Un système de gestion de la sécurité de linformation (SMSI) est un ensemble de règles quune entreprise doit établir pour:
- identifier les parties prenantes et leurs attentes vis-à-vis de lentreprise en termes de sécurité de linformation
- identifier les risques existants pour les informations
- définir des contrôles (sauvegardes) et dautres méthodes datténuation pour répondre aux attentes identifiées et gérer les risques
- définir des objectifs clairs sur ce qui doit être réalisé avec la sécurité de linformation
- mettre en œuvre tous les contrôles et autres méthodes de traitement des risques
- mesurer en continu si les contrôles mis en œuvre fonctionnent comme prévu
- faire une amélioration continue pour rendre lensemble du SMSI fonctionne mieux
Cet ensemble de règles peut être rédigé sous la forme de politiques, de procédures et dautres types de documents, ou il peut être sous la forme de processus et de technologies établis qui ne le sont pas documenté. La norme ISO 27001 définit les documents requis, cest-à-dire ceux qui doivent exister au minimum.
Pourquoi avons-nous besoin du SMSI?
Il y a quatre avantages commerciaux essentiels qui une entreprise peut atteindre avec la mise en œuvre de cette norme de sécurité de linformation:
Conformez-vous aux exigences légales – il existe un nombre toujours croissant de lois, réglementations et exigences contractuelles liées à la sécurité de linformation, et la bonne nouvelle est que la plupart dentre eux peuvent être résolus en mettant en œuvre ISO 27001 – cette norme vous donne la méthodologie parfaite pour les respecter tous.
Obtenez un avantage concurrentiel – si votre entreprise obtient la certification et que vos concurrents ne le font pas, vous pouvez avoir un avantage sur eux aux yeux des clients soucieux de protéger leurs informations.
Coûts réduits – la philosophie principale dISO 27001 est dempêcher les incidents de sécurité de se produire – et chaque incident, grand ou petit, coûte de largent. Par conséquent, en les empêchant, votre entreprise économisera beaucoup dargent. Et le meilleur de tous: l’investissement dans ISO 27001 est bien inférieur aux économies que vous réaliserez.
Meilleure organisation – en général, les entreprises à croissance rapide nont pas le temps de sarrêter et de définir leurs processus et procédures – par conséquent, très souvent, les employés ne savent pas ce quil faut faire, quand, et par qui. La mise en œuvre dISO 27001 permet de résoudre de telles situations, car elle encourage les entreprises à noter leurs principaux processus (même ceux qui ne sont pas liés à la sécurité), leur permettant de réduire le temps perdu de leurs employés.
Comment fonctionne ISO 27001?
Lobjectif dISO 27001 est de protéger la confidentialité, lintégrité et la disponibilité des informations dans une entreprise. Cela se fait en découvrant quels problèmes potentiels pourraient survenir avec les informations (c.-à-d., évaluation des risques), puis définir ce qui doit être fait pour éviter que de tels problèmes ne se produisent (c.-à-d. atténuation des risques ou traitement des risques).
Par conséquent, la philosophie principale dISO 27001 repose sur un processus de gestion des risques: découvrir où se trouvent les risques, puis les traiter systématiquement, grâce à la mise en œuvre de contrôles de sécurité (ou garde-fous).
ISO 27001 oblige une entreprise à répertorier tous les contrôles à implémenter dans un document appelé Déclaration dapplicabilité.
Quelles sont les exigences pour ISO 27001?
Les exigences obligatoires pour ISO 27001 sont définies dans ses clauses 4 à 10 – cela signifie que toutes ces exigences doivent être mises en œuvre dans une organisation si elle veut être conforme à la norme. Les contrôles de lannexe A doivent être mis en œuvre uniquement sils sont déclarés comme applicables dans la déclaration dapplicabilité.
Les exigences des sections 4 à 10 peuvent être résumées comme suit:
Clause 4: Contexte de lorganisation – définit les exigences pour comprendre les problèmes externes et internes, les parties intéressées et leurs exigences, et définir la portée du SMSI.
Clause 5: Leadership – définit les responsabilités de la direction, définissant les rôles et responsabilités, et le contenu de la politique de sécurité de linformation de niveau supérieur.
Clause 6: Planification – définit les exigences pour lévaluation des risques, le traitement des risques, la déclaration dapplicabilité, le plan de traitement des risques et la définition des objectifs de sécurité de linformation.
Clause 7: Assistance – définit les exigences pour la disponibilité des ressources, les compétences, la sensibilisation, la communication et le contrôle des documents et des archives.
Clause 8: Fonctionnement – définit la mise en œuvre de lévaluation et du traitement des risques, ainsi que les contrôles et autres processus nécessaires pour atteindre les objectifs de sécurité de linformation.
Clause 9: Évaluation des performances – définit les exigences en matière de suivi, de mesure, danalyse, dévaluation, daudit interne et de revue de direction.
Clause 10: Amélioration – définit les exigences pour les non-conformités, les corrections, les actions correctives et lamélioration continue.
Quels sont les 14 domaines dISO 27001?
Là sont 14 « domaines » répertoriés dans lannexe A de lISO 27001, organisés dans les sections A.5 à A.18. Les sections couvrent les éléments suivants:
A.5. Politiques de sécurité de linformation: Les contrôles de cette section décrire comment gérer les politiques de sécurité de linformation.
A.6. Organisation de la sécurité de linformation: Les contrôles de cette section fournissent le cadre de base pour la mise en œuvre et le fonctionnement de la sécurité de linformation en définissant son organisation interne (par exemple, les rôles , responsabilités, etc.) et à travers les aspects organisationnels de la sécurité de linformation, comme la gestion de projet, lutilisation dappareils mobiles et le télétravail.
A.7. Sécurité des ressources humaines: Les contrôles de cette section garantissent que les personnes qui sont sous le contrôle de lorganisation sont embauchées, formées et gérées de manière sécurisée; aussi, le pr les principes de mesures disciplinaires et de résiliation des accords sont abordés.
A.8. Gestion des actifs: Les contrôles de cette section garantissent que les actifs de sécurité de linformation (par exemple, les informations, les périphériques de traitement, les périphériques de stockage, etc.) sont identifiés, que les responsabilités pour leur sécurité sont désignées et que les gens savent comment les gérer selon une classification prédéfinie niveaux.
A.9. Contrôle daccès: les contrôles de cette section limitent laccès aux informations et aux actifs dinformation en fonction des besoins réels de lentreprise. Les contrôles sont à la fois pour laccès physique et logique.
A.10. Cryptographie: Les contrôles de cette section fournissent la base pour une utilisation appropriée des solutions de cryptage pour protéger la confidentialité, lauthenticité et / ou lintégrité des informations.
A.11. Sécurité physique et environnementale: les contrôles de cette section empêchent laccès non autorisé aux zones physiques et protègent les équipements et les installations contre les compromissions par une intervention humaine ou naturelle.
A.12. Sécurité des opérations: les contrôles de cette section garantissent que les systèmes informatiques, y compris les systèmes dexploitation et les logiciels, sont sécurisés et protégés contre la perte de données. De plus, les contrôles de cette section nécessitent des moyens pour enregistrer les événements et générer des preuves, une vérification périodique des vulnérabilités et prendre des précautions pour empêcher les activités daudit daffecter les opérations.
A.13. Sécurité des communications: les contrôles de cette section protègent linfrastructure et les services du réseau, ainsi que les informations qui les traversent.
A.14. Acquisition, développement et maintenance du système: Les contrôles de cette section garantissent que la sécurité de linformation est prise en compte lors de lachat de nouveaux systèmes dinformation ou de la mise à niveau des systèmes existants.
A.15.Relations avec les fournisseurs: les contrôles de cette section garantissent que les activités externalisées effectuées par les fournisseurs et partenaires utilisent également des contrôles de sécurité des informations appropriés et décrivent comment surveiller les performances de sécurité des tiers.
A.16. Gestion des incidents de sécurité de linformation: les contrôles de cette section fournissent un cadre pour assurer la communication et le traitement appropriés des événements et des incidents de sécurité, afin quils puissent être résolus en temps opportun; ils définissent également comment conserver les preuves, ainsi que comment tirer des leçons des incidents pour éviter quils ne se reproduisent.
A.17. Aspects de la sécurité de linformation de la gestion de la continuité des activités: Les contrôles de cette section assurent la continuité de la gestion de la sécurité de linformation pendant les interruptions et la disponibilité des systèmes dinformation.
A.18. Conformité: Les contrôles de cette section fournissent un cadre pour prévenir les violations légales, statutaires, réglementaires et contractuelles, et vérifient si la sécurité de linformation est mise en œuvre et est efficace conformément aux politiques, procédures et exigences définies de la norme ISO 27001.
Un examen plus approfondi de ces domaines nous montre que la gestion de la sécurité de linformation ne concerne pas seulement la sécurité informatique (par exemple, pare-feu, antivirus, etc.), mais aussi la gestion des processus, la protection juridique, la gestion des ressources humaines, protection, etc.
Que sont les contrôles ISO 27001?
Les contrôles ISO 27001 (également appelés garanties) sont les pratiques à mettre en œuvre pour réduire les risques à des niveaux acceptables. Les contrôles peuvent être techniques, organisationnels, juridiques, physiques, humains, etc.
Combien de contrôles y a-t-il dans lISO 27001?
Lannexe A de lISO 27001 répertorie 114 contrôles organisés en 14 sections numérotés de A.5 à A.18 énumérés ci-dessus.
Comment implémentez-vous les contrôles ISO 27001?
Les contrôles techniques sont principalement implémentés dans les systèmes dinformation, à laide de composants logiciels, matériels et micrologiciels ajouté au système. Par exemple. sauvegarde, logiciel antivirus, etc.
Les contrôles organisationnels sont mis en œuvre en définissant les règles à suivre et le comportement attendu des utilisateurs, des équipements, des logiciels et des systèmes. Par exemple. Politique de contrôle daccès, politique BYOD, etc.
Les contrôles juridiques sont mis en œuvre en veillant à ce que les règles et les comportements attendus suivent et appliquent les lois, réglementations, contrats et autres instruments juridiques similaires auxquels lorganisation doit se conformer. Par exemple. NDA (accord de non-divulgation), SLA (accord de niveau de service), etc.
Les contrôles physiques sont principalement mis en œuvre en utilisant des équipements ou des appareils qui ont une interaction physique avec des personnes et des objets. Par exemple. Caméras CCTV, systèmes dalarme, serrures, etc.
Les contrôles des ressources humaines sont mis en œuvre en fournissant des connaissances, une éducation, des compétences ou de lexpérience aux personnes pour leur permettre dexercer leurs activités de manière sécurisée. Par exemple. formation de sensibilisation à la sécurité, formation dauditeur interne ISO 27001, etc.
Documents obligatoires ISO 27001
ISO 27001 spécifie un ensemble minimal de politiques, procédures, plans, enregistrements et autres informations documentées nécessaires pour se conformer.
ISO 27001 exige que les documents suivants soient rédigés:
Et ce sont les enregistrements obligatoires:
Bien sûr, une entreprise peut décider décrire des documents de sécurité supplémentaires sil le juge nécessaire.
Pour voir une explication plus détaillée de chacun de ces documents, téléchargez le livre blanc gratuit Liste de contrôle de la documentation obligatoire requise par ISO 27001 (révision 2013).
Combien coûte ISO 27001 ?
Les coûts de mise en œuvre et de certification du SMSI dépendront de la taille et de la complexité du périmètre du SMSI, qui varie dune organisation à lautre. Le coût dépendra également des prix locaux des différents services que vous utiliserez pour la mise en œuvre.
De manière générale, voici quelques-uns des coûts à prendre en compte:
- Formation et documentation
- Assistance externe
- Technologies à mettre à jour / à mettre en œuvre
- Les efforts et le temps des employés
- Le coût de lorganisme de certification
Pour voir une explication plus détaillée de la certification coûts, téléchargez le livre blanc gratuit Comment budgétiser un projet de mise en œuvre ISO 27001.
Quest-ce quune «certification ISO 27001»?
Une entreprise peut obtenir la certification ISO 27001 en invitant un accrédité organisme de certification pour effectuer laudit de certification et, si laudit est réussi, pour délivrer le certificat ISO 27001 à lentreprise. Ce certificat signifie que lentreprise est entièrement conforme à la norme ISO 27001.
Un individu peut obtenir la certification ISO 27001 en suivant une formation ISO 27001 et en réussissant lexamen. Ce certificat signifie que cette personne a acquis les compétences appropriées pendant le cours.
Combien de temps ISO 27001 est-il valable une fois certifié?
Une fois quun organisme de certification délivre un certificat ISO 27001 à une entreprise, il est valable pour une période de trois ans, au cours de laquelle lorganisme de certification effectuera des audits de surveillance pour évaluer si lorganisation maintient correctement le SMSI, et si les améliorations nécessaires sont mises en œuvre en temps voulu.
Quelles entreprises sont certifiées ISO 27001?
Le site Web ISO.org donne un aperçu général des organisations certifiées, classées par secteur, pays, nombre de sites, etc. Enquête ISO sur ce lien: https://www.iso.org/the-iso-survey.html.
Pour vérifier si une entreprise en particulier est certifiée ISO 27001, vous devez contacter lorganisme de certification, car il ny a pas base de données centralisée officielle des entreprises certifiées.
Une personne peut-elle être certifiée ISO?
Oui, une personne peut obtenir la certification ISO 27001 en participant à une ou plusieurs des formations suivantes et en réussissant lexamen:
- Cours ISO 27001 Lead Implementer – cette formation est destinée aux praticiens et consultants avancés.
- Cours ISO 27001 Lead Auditor – cette formation est destinée aux auditeurs en certification et pour les consultants.
- Cours dauditeur interne ISO 27001 – cette formation est destinée aux personnes qui effectueront des audits internes dans leur entreprise.
- Cours de base ISO 27001 – cette formation est destinée aux personnes qui souhaitent apprendre les bases de la norme et les principales étapes de sa mise en œuvre.
Que sont les normes ISO 27000?
Parce quelle définit les exigences dun SMSI, ISO 27001 est la principale norme de la famille de normes ISO 27000. Mais, comme il définit principalement ce qui est nécessaire, mais ne spécifie pas comment le faire, plusieurs autres normes de sécurité de linformation ont été développées pour fournir des conseils supplémentaires. Actuellement, il existe plus de 40 normes dans la série ISO27k, et les plus couramment utilisées sont les suivantes:
ISO / CEI 27000 fournit les termes et définitions utilisés dans la série de normes ISO 27k.
ISO / CEI 27002 fournit des lignes directrices pour la mise en œuvre des contrôles énumérés dans lannexe A de lISO 27001. Cela peut être très utile, car il fournit des détails sur la façon de mettre en œuvre ces contrôles.
ISO / CEI 27004 fournit des lignes directrices pour la mesure de la sécurité de linformation – elle correspond bien à la norme ISO 27001, car elle explique comment déterminer si le SMSI a atteint ses objectifs.
ISO / CEI 27005 fournit des lignes directrices pour la gestion des risques de sécurité de linformation. Cest un très bon complément à la norme ISO 27001, car il donne des détails sur la manière de réaliser lévaluation et le traitement des risques, probablement létape la plus difficile de la mise en œuvre.
ISO / CEI 27017 fournit des directives pour la sécurité des informations dans les environnements cloud.
ISO / CEI 27018 fournit des lignes directrices pour la protection de la vie privée dans les environnements cloud.
ISO / CEI 27031 fournit des lignes directrices sur les éléments à prendre en compte lors du développement de la continuité des activités pour les technologies de linformation et de la communication (TIC). Cette norme est un excellent lien entre la sécurité de linformation et les pratiques de continuité dactivité.
Quelle est la version actuelle dISO 27001?
À la date de publication de cet article, la version actuelle de ISO 27001 est ISO / IEC 27001: 2013.
La première version dISO 27001 a été publiée en 2005 (ISO / IEC 27001: 2005), la deuxième version en 2013 et la norme a été révisée pour la dernière fois en 2019 , lorsque la version 2013 a été confirmée (cest-à-dire quaucune modification nétait nécessaire).
Il est important de noter que différents pays membres de lISO peuvent traduire la norme dans leur propre langue, en faisant des ajouts mineurs (par exemple , avant-propos nationaux) qui naffectent pas le contenu de la version internationale de la norme. Ces « versions » ont des lettres supplémentaires pour les différencier de la norme internationale, par exemple, NBR ISO / CEI 27001 désigne la « version brésilienne », tandis que BS ISO / CEI 27001 désigne la « version britannique ». Ces versions locales de la norme contiennent également lannée de leur adoption par lorganisme de normalisation local.La dernière version britannique est donc BS EN ISO / IEC 27001: 2017, ce qui signifie que la norme ISO / IEC 27001: 2013 a été adoptée par la British Standards Institution. en 2017.
Quelle est la différence entre ISO 27001 et 27002?
ISO 27001 définit les exigences dun système de gestion de la sécurité de linformation (SMSI), tandis que lISO 27002 fournit des conseils sur la mise en œuvre des contrôles de lannexe A de lISO 27001
En dautres termes, pour chaque contrôle, lISO 27001 ne fournit quune brève description, tandis que lISO 27002 fournit des conseils détaillés.
Quelle est la différence entre NIST et ISO 27001?
Alors que ISO 27001 est une norme internationale, le NIST est une agence gouvernementale américaine qui promeut et maintient des normes de mesure aux États-Unis – parmi lesquelles la série SP 800, un ensemble de documents qui spécifie les meilleures pratiques en matière de sécurité des informations.
Bien quelles ne soient pas identiques, la série NIST SP 800 et ISO 27001 peuvent être utilisées ensemble pour la mise en œuvre de la sécurité de linformation.
La norme ISO 27001 est-elle obligatoire?
Dans la plupart des pays, la mise en œuvre dISO 27001 nest pas obligatoire. Cependant, certains pays ont publié des réglementations qui obligent certaines industries à mettre en œuvre ISO 27001.
Pour déterminer si ISO 27001 est obligatoire ou non pour votre entreprise, vous devez rechercher des conseils juridiques dexperts dans le pays où vous opérez.
Quels sont les contrôles ISO 27001?
Les organisations publiques et privées peuvent définir le respect de la norme ISO 27001 comme une exigence légale dans leurs contrats et accords de service avec leurs fournisseurs. En outre, comme mentionné ci-dessus, les pays peuvent définir des lois ou des réglementations transformant ladoption de la norme ISO 27001 en une exigence légale à respecter par les organisations opérant sur leur territoire.
Pour en savoir plus sur le RGPD de lUE et pourquoi il est applicable au monde entier, consultez cet article.