5 meilleurs conseils pour obtenir la certification ISO 27001

Commencez toujours par un plan

Le processus de certification ISO 27001 peut être assez complexe et exigeant. Vous devez faire tourner de nombreuses assiettes. Donc, avant de commencer, vous avez besoin d’un plan de mise en œuvre pour vous guider à travers tout cela. Posez-vous des questions telles que : Comment mettons-nous en œuvre la norme ISO 27001? À quoi devons-nous penser à chaque étape du processus de vérification? Quelle sera notre charge de travail et quand voulons-nous y parvenir ? Vous devriez avoir une bonne idée de ce que vous voulez et de ce dont vous avez besoin atteindre avant, pendant et même après la certification.

Considérez-le comme un exercice d’amélioration de l’entreprise

Il y a beaucoup de choses à prendre en compte ISO 27001. Le considérer comme un exercice d’amélioration de votre activité, plutôt que de simplement cocher de nombreuses cases, vous aidera à tout comprendre et à vous y engager. Cela peut vous aider à créer processus d'affaires et des approches de manière plus structurée et réfléchie. Grâce à cela, nous avons constaté des améliorations considérables dans notre propre entreprise. Vous n'en retirerez pas autant si votre approche est : « Je fais cela uniquement pour répondre à ces exigences des normes ».

Emmenez votre organisation avec vous

Tout le monde doit comprendre et suivre votre politiques de sécurité de l'information et les contrôles. Les collaborateurs de votre organisation constitueront sa plus grande force en matière de sécurité. Mais seulement si vous les équipez de tout ce dont ils ont besoin compétent et capable. Et vous avez besoin de l’adhésion des dirigeants, c’est un élément clé de la norme. En fait, il s'agit d'une partie auditée de la norme.

Vos politiques et contrôles ne peuvent donc pas être trop techniques. Ils doivent dire à des gens qui n'ont aucune idée des aspects techniques ce qu'ils doivent faire et pourquoi c'est si important. Et vos cadres supérieurs doivent s’impliquer dans tout cela et tout approuver. Plus vous le rendrez facile à suivre, plus vous aurez de chances de vous y conformer, tant en interne qu’au niveau du processus de certification.

Partagez la bonne information avec les bonnes personnes

Au début, nous avons demandé à tout le personnel de lire chaque politique et chaque contrôle. Cela fait beaucoup de lecture ! Et puis vous leur demandez de déterminer ce qui compte pour eux. Au fil du temps, nous avons affiné cela. Nous demandons uniquement aux personnes de lire les politiques et les contrôles pertinents pour leurs fonctions. Vous demandez donc simplement aux gens de prendre en compte ce qui les concerne, ce qu'ils ont réellement besoin de savoir et d'agir. Je pense que c'est assez important. Oh, et bien sûr, ils peuvent toujours lire le reste s’ils le souhaitent.

N'oubliez pas que tout est question de risque

ISO 27001 est une norme basée sur les risques. Il est facile de perdre de vue cela lorsque vous êtes en pleine certification. Ainsi, tout ce que vous faites doit atténuer un risque auquel votre organisation est confrontée. Parfois, c'est l'inverse qui se produit, on finit par penser : « Je dois mettre en œuvre ce contrôle parce que c'est ce que dit la norme ». Mais la norme ne le dit qu’en raison d’un risque réel. Vous ne cochez pas des cases imaginaires, vous protégez réellement votre organisation. Ainsi, parfois, commencer par les risques et y remédier vous aidera à réfléchir à tout cela de manière plus constructive.

Sam Peters – Responsable des produits et services

L'un des membres les plus anciens du ISMS.en ligne équipe, Sam a près de vingt ans d'expérience dans la mise sur le marché de solutions SaaS. Avant de se spécialiser dans sécurité de l'information, Sam a occupé des postes numériques dans les secteurs public et privé, travaillant dans la finance, l'éducation et l'application de la loi. Dans le peu de temps libre dont il dispose, Sam aime faire du vélo et passer du temps avec sa jeune famille.