Imprimer

efficience-200px Accompagnement vers la certification ISO 27001

 Conseil pour intégrer un système de management de la   sécurité de l'information

 

L’information est au cœur du fonctionnement des entreprises, qui les collectent, les traitent, les stockent, les transmettent. A ce titre, elle constitue un actif immatériel qui doit être sécurisé. Toutes les informations ne se valent pas, cependant certaines sont sensibles, essentielles (données financières, documents de propriété intellectuelle, données relatives au personnel, …, ou informations confiées par des tiers), tant pour l’entreprise elle-même que pour ses clients, ses fournisseurs, ses partenaires ; ou pour des raisons règlementaires. Elles sont soumises à des menaces (erreur, perte, inondation, incendie, vol, falsification, …) et peuvent être vulnérables.

Afin de guider les entreprises dans une démarche visant à préserver la confidentialité, l’intégrité et la disponibilité de l’information, L’ISO (Organisation internationale de normalisation) a élaboré la norme ISO 27001 dont le but est de fournir des exigences en vue de l’établissement, de la mise en œuvre, de la tenue à jour et de l’amélioration continue d’un système de management de la sécurité de l’information.

L’état d’esprit n’est pas de créer un système organisationnel parallèle à celui qui existerait déjà, Il est de définir des dispositions spécifiques traitant de la sécurité de l’information en prenant bien soin de les intégrer à l’organisation en place – un système de management certifié ISO 9001 par exemple.

Le domaine d’application doit être précisé, il peut être restreint à un secteur traitant des actifs informationnels particulièrement sensibles ou importants.

Il s’agit dans un premier temps d’inventorier les actifs informationnels catégorisés en actifs primaires (les informations) et actifs secondaires (les supports d’informations – matériels, logiciels, réseaux, personnes, l’organisation, infrastructure des sites, …). Sur cette base, identifier les menaces, mettre en évidence les vulnérabilités, estimer les impacts sur la sécurité de l’information, dans le cadre d’une analyse des risques menée par l’entreprise ; impacts  susceptibles de compromettre leur confidentialité, leur intégrité, leur disponibilité.

Le système de management est défini en relation avec les principes généraux du P.D.C.A. Plan (planifier – politique en la matière, objectifs, moyens alloués, plan de progrès, …), Do (Réaliser - mettre en œuvre, traiter et gérer les risques, …), Check (Vérifierindicateurs, audits, …), Act (décider - agir pour améliorer). Il doit être correctement dimensionné, en fonction des objectifs, des exigences de sécurité, des processus organisationnels mis en œuvre, ainsi que de la taille et de la structure de l’organisation.

Engager un projet ISO 27001, c’est lancer une démarche globale, structurée, concernant la sécurité des informations sensibles du domaine d’application retenu ; c’est mettre en œuvre des dispositions adaptées pour traiter les risques. L’accompagnement conseil facilite la prise de recul et permet de se concentrer sur l’essentiel (ne pas en faire trop, ni trop peu …). La certification est un avis indépendant portant sur le niveau de maîtrise du management de la sécurité de l’information.

ISO 27001 : contribution à la performance d'entreprise

  • Accroître la confiance de ses clients
  • Se conformer aux exigences d'affaires, juridiques, contractuelles et réglementaires
  • Se démarquer des concurrents, s’ouvrir de nouveaux marchés
  • Éviter les pertes et pénalités financières associées aux violations des données
  • Protéger et améliorer la réputation de l’entreprise
  • Améliorer son organisation du point de vue de sa maîtrise de la sécurité des informations
  • Réduire la fréquence des audits clients

A partir de la norme internationale ISO 27001, il s'agit d'élaborer un système de management de la sécurité de l’information sur mesure, adapté aux activités de l’entreprise, à sa problématique. 

SGS ISO 9001 FR TCL HR

 

 

Dextral, certifiée ISO 9001, contribue à améliorer la qualité et la compétitivité des entreprises

 

info@dextral.fr