Exigence 27001 de la norme ISO 9.1 – Évaluation des performances

Qu’implique l’article 9.1 ?

Si l'organisation cherche à obtenir la certification ISO 27001, l'auditeur indépendant travaillant dans un organisme de certification associé à l'UKAS (ou un organisme accrédité similaire au niveau international pour la certification ISO) examinera de près les domaines suivants :

• ce qu'il a décidé de surveiller et de mesurer, non seulement les objectifs mais également les processus et les contrôles
• comment il garantira des résultats valides dans la mesure, le suivi, l’analyse et l’évaluation
• quand ces mesures, suivis, évaluations et analyses ont lieu et qui les effectue
• comment les résultats sont utilisés

Comme tout le reste avec les normes internationales ISO IEC, y compris ISO 27001, les informations documentées sont essentielles – donc les décrire puis démontrer qu'elles se produisent est la clé du succès !

Comment répondre aux exigences de la clause 9.1

Comme pour une grande partie de la clause 8 relative au fonctionnement du système de gestion de la sécurité de l'information, la clause 9.1 est traitée en examinant l'ensemble du SMSI et les autres parties qui contribuent à cette exigence.

Par exemple :

• Le travail réalisé en 4.1, 4.2 et 4.3 identifie les enjeux (y compris les actifs informationnels), les parties intéressées et la portée
• 6.1 met ensuite en évidence l'identification, l'évaluation et le traitement des risques de manière structurée pour aider à répondre à cette exigence.
• 6.2 documente réellement les objectifs du SMSI et, s'il est bien fait, inclura la mesure, la surveillance, la fréquence, la gestion des sources et les preuves.
• 9.2 facilite les audits internes de l'ensemble du système, montrant ce qui fonctionne et ce qui peut être amélioré
• 9.3 rassemble une grande partie de ces exigences en matière de travail pour les revues et analyses de direction avec la prise de décision stratégique de l'agenda qu'elle couvre
• La clause 10.1 examine ensuite la non-conformité et la clause 10.2 les opportunités plus larges d'amélioration continue du système de gestion de la sécurité de l'information.
• De nombreux contrôles de l'Annexe A pilotent également l'évaluation et l'examen des performances, notamment l'Annexe A.5.1 et l'Annexe A.18, à la fois pour la conformité à la législation et les examens indépendants de la sécurité de l'information.

Donc, en supposant que ces parties du SMSI ont été mises en œuvre en gardant à l'esprit la robustesse de la documentation de la clause 7.5, vous pouvez respirer tranquillement. Il n'y a rien d'autre à faire que de documenter que 9.1 est satisfait aux points ci-dessus et de relier le système de gestion afin qu'un auditeur puisse voir que tout fonctionne dans la pratique. C'est facile à faire avec ISMS.online.

Obtenez une certification jusqu'à 5 fois plus rapidement avec ISMS.online

La conformité n'a pas besoin d'être compliquée : ISMS.online est conçu pour vous aider à obtenir la certification ISO 27001 rapidement et à moindre coût, sans aucune formation requise.
Nous avons rationalisé le processus ISO 27001 avec notre méthode de résultats garantis, une longueur d'avance de 80 %, votre propre coach virtuel 24h/7 et XNUMXj/XNUMX, une intégration facile et une assistance experte.

Réservez une démo de plateforme pour voir comment ISMS.online peut aider votre entreprise