4 avantages de la mise en œuvre de la norme ISO 27001
Table des matières:
- 1) Pourquoi la norme ISO 27001 est-elle si importante pour les organisations ?
- 2) Organismes de certification
- 3) Quels sont les 4 principaux avantages de l’obtention de la norme ISO 27001 ?
- 4) Étapes suivantes – Planification de l'analyse de rentabilisation d'un système de gestion de la sécurité de l'information
- 5) « Satisfaire la boîte à outils de sécurité et de protection des données 2018
- 6) ISO 27001 – Annexe A.9 : Contrôle d'accès »
ISO 27001:2013 (la version actuelle de ISO 27001) est l’une des normes de sécurité de l’information les plus populaires au monde. De plus en plus d'entreprises obtiennent la certification ISO 27001 pour souligner la robustesse de leur gestion de la sécurité de l'information.
La conformité à la norme ISO 27001 signifiait auparavant avoir un avantage concurrentiel, mais à mesure que la certification ISO 27001 devient la norme en matière de bonnes pratiques en matière de sécurité de l'information, elle constitue de plus en plus une entrée minimale dans un appel d'offres ou un renouvellement de contrat. La conformité à la norme peut faire la différence entre gagner ou perdre ces appels d’offres importants.
Pourquoi la norme ISO 27001 est-elle si importante pour les organisations ?
ISO 27001 est la seule norme qui définit les spécifications d'un système de gestion de la sécurité de l'information (ISMS).
Les organisations doivent de plus en plus montrer qu'on peut leur faire confiance en matière de sécurité des informations et de gestion de la confidentialité et avoir La norme ISO 27001 démontre qu'une organisation a identifié les risques et mettre en place des mesures préventives pour protéger l’organisation contre les violations de la sécurité des informations.
Organismes de certification
L'ISO élabore des normes internationales, mais ne délivre pas de certificats. Pour les organisations au Royaume-Uni, la reconnaissance ISO 27001 est plus précieuse lorsqu'elle est certifiée par un UKAS organisme de certification accrédité qui auditera de manière indépendante votre organisation et vous fournira la certification ISO 27001.
En Amérique du Nord, l'ANSI National Accreditation Board (ANAB) est le plus grand organisme d'accréditation. Pour voir une liste de leurs organismes accrédités, visitez leur annuaire. CDG sont reconnus comme un organisme de certification populaire en Inde.
L'« International Accreditation Forum » (IAF) tient à jour une liste de tous les organismes d'accréditation internationaux qui sont membres de l'IAF. Cette liste peut être trouvée ici : Liste des membres de l'IAF.
Quels sont les 4 principaux avantages de l’obtention de la norme ISO 27001 ?
Avantage 1 : fidéliser les clients et gagner de nouvelles affaires
Même si le retour sur investissement d'un système de gestion de la sécurité de l'information peut être élevé, les déclencheurs de l’investissement initial proviennent généralement de forces externes telles que des clients puissants.
Il existe un nombre croissant de les parties prenantes sont beaucoup plus intéressées dans la manière dont leurs informations précieuses sont traitées et protégées. Les risques impliqués dans la cyber-sécurité et les violations de données de toute nature sont trop graves pour se contenter d'une simple poignée de main et d'une promesse qu'un nouveau fournisseur agira de manière responsable avec les informations.
La croyance historique selon laquelle les organisations protègent naturellement la confidentialité et la sécurité des données a été remplacée par le soupçon que les données sont mal gérées. Les organisations doivent protéger leur entreprise, et cela inclut la sécurité de leurs chaîne d'approvisionnement. Ceci est exploré plus en détail dans notre livre blanc « planifier l'analyse de rentabilisation d'un système de gestion de la sécurité de l'information ».
Aligner votre organisation sur les priorités et les exigences de vos clients vous donnera un avantage concurrentiel et fera de vous un prospect bien plus attractif.
Les inspections régulières contribuent également à la sécurité des passagers. En identifiant et en traitant les risques potentiels pour la sécurité, tels que des freins usés, un éclairage défectueux ou le remplacement du revêtement de sol, les inspections permettent de réduire le risque d'accidents et de blessures et d'améliorer la sécurité générale du service. Les inspections régulières sont un moyen concret de mettre en valeur l'engagement des prestataires de services de transport en faveur du bien-être des passagers et des conducteurs. Certification ISO 27001 fait preuve de pratiques de sécurité robustes, améliorant ainsi les relations avec les clients et la fidélisation des clients.
Pour beaucoup de nos clients, leur désir d'atteindre le Norme ISO 27001 est motivé par les exigences de leurs clients, qu'il s'agisse de clients existants ou lors d'appels d'offres pour gagner de nouveaux clients.
Dans chaque situation, que l'objectif soit de satisfaire les demandes d'un client existant ou d'un client potentiel, il y a généralement toujours un objectif urgent avec une pression pour obtenir rapidement la certification.
Expérience ISO 27001
Notre premier chauffeur pour atteindre la norme ISO 27001 en 2012, l'un de nos clients existants nous a demandé de prouver la fiabilité de notre système de gestion de la sécurité de l'information afin de continuer à faire affaire avec nous. Depuis lors, c'est une histoire que nous entendons à maintes reprises de la part de nos propres clients. En savoir plus sur notre histoire.
L'utilisateur d'ISMS.online, Amigo, a reconnu que les clients d'entreprise qu'ils attirent recherchaient de plus en plus assurance de la sécurité de l'information. Avec personne personne dédiée à temps plein à une activité d'information rôle de sécurité, ils ont décidé d’automatiser et de simplifier le processus autant que possible. Ils ont réussi une mise en œuvre fluide et un audit ISO 27001 réussi – avec seulement 2 à 3 semaines d’efforts consacrés à leur projet ISO 27001 – grâce à l’énorme longueur d’avance qu’ISMS.online leur a donnée.
Lisez le témoignage client d'Amigo.
Avantage 2 : éviter les amendes et la perte de réputation
Sous l'égide de l'UE Règlement Général de Protection des Données (RGPD), le Bureau du commissaire à l'information (ICO), au Royaume-Uni, peut désormais infliger des amendes allant jusqu'à 4 % du chiffre d'affaires annuel d'une entreprise, ou 20 millions d'euros (le montant le plus élevé étant retenu) pour les pires infractions en matière de données.
La États de l'OIC que « toute sanction que nous infligerons se veut efficace, proportionnée et dissuasive, et sera décidée au cas par cas ».
Amélioration de la sécurité des informations et protection des données figure bien en tête de la liste des priorités du grand public et des chefs d’entreprise.
Et les gros titres en première page faisant état d'amendes importantes encourues en raison de violations de données importantes augmenteront encore plus le besoin de gestion de la sécurité de l'information, les organisations s'intéressant non seulement à leur propre cybersécurité, mais également aux informations d'identification de sécurité de l'information dans l'ensemble de leur réseau. les chaînes d'approvisionnement. Cela affecte même les plus petites entreprises, car là où il y a manipulation et traitement des données, il y a un risque.
En juillet 2019, British Airways a été condamnée à une amende de 183 millions de livres sterling pour violation de la RGPD suite à une donnée violation qui a touché 500,000 1.5 clients l'année dernière, un coût qui s'élève à XNUMX% du chiffre d'affaires annuel des compagnies aériennes.
Suite à cela, un Pénalité de 100 millions de livres sterling a été imposée au groupe hôtelier international Marriott, après que des pirates informatiques ont volé les dossiers de 339 millions de clients.
Ce ne sont pas seulement les grandes entreprises qui tombent sous le coup de l’ICO. Les petites entreprises encourent également des amendes. Affaires de confidentialité rassemble des données sur les amendes imposées en vertu du Règlement général sur la protection des données et a découvert que l'amende la plus minime s'élève à 194 €, infligée à une entreprise de services publics en Tchéquie plus tôt cette année.
Même lorsqu'une organisation encourt une petite amende comme celle-ci, cela aura toujours un effet néfaste sur son activité, car elle sera moins attractive pour les clients potentiels.
Ce n'est donc pas surprenant que les organisations veulent renforcer la sécurité de leurs informations posture pour éviter une amende. Il convient d'examiner attentivement l'impact sur la réputation des entreprises qui ont reçu une publicité négative sous la forme d'amendes, ou même de simples avertissements. Cela aura probablement un effet négatif sur leurs marges bénéficiaires dans les années à venir.
Avantage 3 : Améliorer les processus et les stratégies
En plus d'améliorer la façon dont votre organisation est perçue par vos clients, fournisseurs et autres parties prenantes, Avantages de la certification ISO 27001 les systèmes internes, la structure et les processus et procédures quotidiens de votre organisation.
C’est en effet l’un des avantages de disposer d’un système de gestion de la sécurité de l’information lui-même.
Une importante aspect de la gestion de la sécurité de l’information ce sont les procédures opérationnelles et les responsabilités. Sous le Cadre de l'Annexe A.12, il existe des exigences relatives aux processus requis et aux procédures opérationnelles documentées pour la gestion des changements et des capacités, le développement et les tests et les environnements opérationnels, les contrôles contre les logiciels malveillants et la sauvegarde des informations.
Cela fournit un cadre clair pour considérer risques liés à la sécurité de l'information, les processus de gestion et les éléments opérationnels clés tels que la manière dont les systèmes informatiques doivent être maintenus à jour, la protection antivirus, le stockage et les sauvegardes de données, la gestion des modifications informatiques et la journalisation des événements.
Les processus requis pour répondre à la norme ISO 27001 se traduit par une meilleure documentation et signifie que tout le personnel aura des directives claires à suivre, ce qui contribue à maintenir la sécurité de l'organisation et à l'abri des attaques. Cela peut inclure des politiques concernant l’utilisation de disques externes, une navigation Internet sécurisée et des mots de passe forts.
Des cyberattaques et des violations de données peuvent toujours se produire, mais la planification prospective qu'implique la norme ISO 27001 démontre que vous avez évalué les risques, ainsi que votre continuité de l'activité et un plan de signalement des violations en cas de problème, ce qui, espérons-le, réduira les coûts encourus.
Expérience ISO 27001
L'utilisateur d'ISMS.online, Oldfield Partners, décrit comment, avant d'utiliser ISMS.online, il avait réussi Implémentation de la norme ISO 27001 mais utilisaient des documents et des feuilles de calcul dans diverses applications qui affectaient la productivité et leur capacité à accomplir leur « travail quotidien ». Leur audit approchait à grands pas et ils souhaitaient améliorer leurs systèmes existants pour démontrer l'amélioration des meilleures pratiques en matière de sécurité de l'information, d'où leur décision d'utiliser une plate-forme ISMS basée sur le cloud.
Lisez l’histoire d’Oldfield Partners.
« Nous voulions apporter des améliorations rapidement. La solution ISMS.online nous a fourni une structure, des espaces de travail spécialement conçus et des outils qui nous ont permis de faire en sorte que notre ISMS fonctionne rapidement comme nous le souhaitions.
Andy Roberts, responsable de la technologie chez Oldfield Partners LLP.
Avantage 4 : Conformité commerciale, contractuelle et légale
Annexe A.18 de la norme ISO 27001 concerne le respect des exigences légales et contractuelles. L’objectif est d’éviter les manquements aux obligations légales, statutaires, réglementaires ou contractuelles liées à la sécurité des informations et de toute exigence de sécurité.
Un bon contrôle décrit comment toutes les exigences législatives, réglementaires et contractuelles pertinentes, ainsi que l'approche de l'organisation pour répondre à ces exigences, doivent être explicitement identifiées. documenté et tenu à jour pour chaque information système et l’organisation.
ISMS.en ligne rend une grande partie de l’aspect conformité de la sécurité de l’information considérablement plus facile. Les processus d'approbation intégrés et les rappels automatisés pour les examens rendent la vie beaucoup plus facile et offrent un « plan évolutif » pour montrer aux auditeurs que vous contrôlez le SMSI.
Une organisation qui a examiné et mis en place les exigences nécessaires pour répondre aux Annexe A.18 Ce cadre sera en mesure de démontrer à toutes les parties prenantes qu’il pérennise son activité.
La avantages de la mise en œuvre de la norme ISO 27001 dans votre organisation sont clairs. Cela conduit à un modèle économique plus solide, à une plus grande longévité et à un système de gestion de la sécurité de l'information être fier de.
Étapes suivantes – Planification de l'analyse de rentabilisation d'un système de gestion de la sécurité de l'information
Les avantages de la norme ISO 27001 sont significatifs et dépassent largement les sables moins coûteux d'avoir un système de gestion de l'information professionnel.
En fait, le retour sur investissement (RoI) peut être beaucoup plus attractif que la plupart des initiatives de croissance d'entreprise, en particulier si la survie d'une organisation dépend de la disponibilité d'un SMSI auquel les parties prenantes peuvent faire confiance ou s'il est requis pour respecter une réglementation.
