En octobre 2024, nous avons obtenu la recertification pour ISO 27001, la norme de sécurité de l’information, et ISO 27701, la norme de confidentialité des données. Avec notre recertification réussie, ISMS.online entre dans son cinquième cycle de certification de trois ans. Nous détenons la certification ISO 27001 depuis plus d'une décennie ! Nous sommes heureux de vous annoncer que nous avons obtenu les deux certifications sans aucune non-conformité et avec beaucoup d'apprentissage.

Comment avons-nous pu nous assurer de gérer efficacement et de continuer à améliorer la confidentialité de nos données et la sécurité de nos informations ? Nous avons utilisé notre solution de conformité intégrée – Point unique de vérité, ou SPoT, pour construire notre système de gestion intégré (SGI). Notre SGI combine notre système de gestion de la sécurité de l'information (SGSI) et notre système de gestion des informations de confidentialité (SGIP) en une seule solution transparente.

Dans ce blog, notre équipe partage ses réflexions sur le processus et son expérience et explique comment nous avons abordé nos audits de recertification ISO 27001 et ISO 27701.

Qu'est-ce que l'ISO 27701?

La norme ISO 27701 est une extension de la confidentialité de la norme ISO 27001. La norme fournit des lignes directrices et des exigences pour la mise en œuvre et la maintenance d'un PIMS dans un cadre ISMS existant.

Pourquoi les organisations devraient-elles chercher à mettre en œuvre la norme ISO 27701 ?

Les organisations doivent stocker et gérer des informations plus sensibles que jamais. Un volume de données aussi important et en constante augmentation constitue une cible lucrative pour les acteurs malveillants et constitue une préoccupation majeure pour les consommateurs et les entreprises, qui doivent s'assurer de leur sécurité.

Avec la croissance des réglementations mondiales, telles que le RGPD, le CCPA et HIPAA, les organisations ont une responsabilité juridique croissante en matière de protection des données de leurs clients. À l'échelle mondiale, nous évoluons progressivement vers un environnement de conformité où la sécurité des informations ne peut plus exister sans la confidentialité des données.

Les avantages de l’adoption de la norme ISO 27701 vont au-delà de l’aide apportée aux organisations pour répondre aux exigences réglementaires et de conformité. Il s’agit notamment de démontrer la responsabilité et la transparence envers les parties prenantes, d’améliorer la confiance et la fidélité des clients, de réduire le risque de violation de la vie privée et les coûts associés, et de dégager un avantage concurrentiel.

Notre préparation à l'audit de recertification ISO 27001 et ISO 27701

Comme cet audit ISO 27701 était une recertification, nous savions qu'il serait probablement plus approfondi et aurait une portée plus large qu'un audit de surveillance annuel. Il était prévu qu'il dure 9 jours au total. De plus, depuis notre audit précédent, ISMS.online a déménagé son siège social, a gagné un autre bureau et a connu plusieurs changements de personnel. Nous étions prêts à remédier à toute non-conformité causée par ces changements, si l'auditeur en découvrait.

Revue IMS

Avant notre audit, nous avons examiné nos politiques et contrôles pour nous assurer qu’ils reflétaient toujours notre approche en matière de sécurité et de confidentialité des informations. Compte tenu des changements importants survenus dans notre entreprise au cours des 12 derniers mois, il était nécessaire de nous assurer que nous pouvions démontrer un suivi et une amélioration continus de notre approche.

Cela impliquait de s'assurer que notre programme d'audit interne était à jour et complet, que nous pouvions prouver l'enregistrement des résultats de nos réunions de gestion du SMSI et que nos indicateurs clés de performance étaient à jour pour montrer que nous mesurions nos performances en matière de sécurité informatique et de confidentialité.

Gestion des risques et analyse des écarts

La gestion des risques et l'analyse des écarts doivent faire partie du processus d'amélioration continue pour maintenir la conformité aux normes ISO 27001 et ISO 27701. Cependant, les pressions quotidiennes des entreprises peuvent rendre cette tâche difficile. Nous avons utilisé nos propres outils de gestion de projet ISMS.online pour planifier des examens réguliers des éléments critiques du SMSI, tels que l'analyse des risques, le programme d'audit interne, les indicateurs clés de performance, les évaluations des fournisseurs et les mesures correctives.

Utilisation de notre plateforme ISMS.online

Toutes les informations relatives à nos politiques et contrôles sont conservées sur notre plateforme ISMS.online, accessible à toute l'équipe. Cette plateforme permet de réviser et d'approuver les mises à jour collaboratives et fournit également un contrôle automatique des versions et un historique des modifications.

La plateforme planifie également automatiquement les tâches de contrôle importantes, telles que les évaluations et les contrôles des risques, et permet aux utilisateurs de créer des actions pour garantir que les tâches sont terminées dans les délais impartis. Des cadres personnalisables offrent une approche cohérente des processus tels que l'évaluation et le recrutement des fournisseurs, en détaillant les tâches importantes en matière de sécurité informatique et de confidentialité qui doivent être effectuées pour ces activités.

À quoi s'attendre lors d'un audit ISO 27001 et ISO 27701

Au cours de l'audit, l'auditeur souhaitera examiner certains domaines clés de votre SMI, tels que :

  1. Les politiques, procédures et processus de votre organisation pour gérer les données personnelles ou la sécurité des informations
  2. Évaluez les risques liés à la sécurité de vos informations et à la confidentialité ainsi que les contrôles appropriés pour déterminer si vos contrôles atténuent efficacement les risques identifiés.
  3. Évaluez votrela gestion des incidentsVotre capacité à détecter, signaler, enquêter et réagir aux incidents est-elle suffisante ?
  4. Examinez votre gestion des tiers pour vous assurer que des contrôles adéquats sont en place pour gérer les risques liés aux tiers.
  5. Vérifiez que vos programmes de formation forment correctement votre personnel sur les questions de confidentialité et de sécurité des informations.
  6. Examinez les indicateurs de performance de votre organisation pour confirmer qu’ils répondent à vos objectifs de confidentialité et de sécurité des informations.

Le processus d’audit externe

Avant le début de votre audit, l'auditeur externe fournira un calendrier détaillant la portée qu'il souhaite couvrir et s'il souhaite parler à des services ou à du personnel spécifiques ou visiter des sites particuliers.

La première journée commence par une réunion d'ouverture. Les membres de l'équipe de direction, dans notre cas, le PDG et le directeur des produits, sont présents pour convaincre l'auditeur qu'ils gèrent, soutiennent activement et participent au programme de sécurité et de confidentialité des informations pour l'ensemble de l'organisation. Cette réunion se concentre sur l'examen des politiques et des contrôles des clauses de gestion des normes ISO 27001 et ISO 27701.

Lors de notre dernier audit, après la fin de la réunion d'ouverture, notre responsable IMS a pris contact directement avec l'auditeur pour examiner les politiques et les contrôles ISMS et PIMS conformément au calendrier. Le responsable IMS a également facilité l'engagement entre l'auditeur et les équipes et le personnel d'ISMS.online pour discuter de notre approche des différentes politiques et contrôles de sécurité et de confidentialité des informations et obtenir la preuve que nous les suivons dans les opérations quotidiennes.

Le dernier jour, une réunion de clôture a lieu au cours de laquelle l'auditeur présente officiellement ses conclusions et donne l'occasion de discuter et de clarifier les problèmes connexes. Nous avons été heureux de constater que, bien que notre auditeur ait formulé certaines observations, il n'a découvert aucune non-conformité.

Les personnes, les processus et la technologie : une approche à trois volets pour un IMS

Une partie de l' ISMS.en ligne L'éthique est que la sécurité efficace et durable des informations et la confidentialité des données sont obtenues grâce aux personnes, aux processus et à la technologie. Une approche basée uniquement sur la technologie ne sera jamais couronnée de succès.

Une approche purement technologique se concentre sur le respect des exigences minimales de la norme plutôt que sur la gestion efficace des risques liés à la confidentialité des données à long terme. Cependant, vos collaborateurs et vos processus, associés à une configuration technologique robuste, vous permettront de prendre une longueur d'avance et d'améliorer considérablement la sécurité de vos informations et l'efficacité de la confidentialité des données.

Dans le cadre de la préparation de notre audit, par exemple, nous avons veillé à ce que nos employés et nos processus soient alignés en utilisant la fonctionnalité de pack de politiques ISMS.online pour distribuer toutes les politiques et tous les contrôles pertinents pour chaque service. Cette fonctionnalité permet de suivre la lecture des politiques et des contrôles par chaque individu, de garantir que les individus sont informés des processus de sécurité et de confidentialité des informations pertinents pour leur rôle et de garantir la conformité des dossiers.

Une approche de case à cocher moins efficace consistera souvent à :

  • Implique une évaluation superficielle des risques, qui peut négliger des risques importants
  • Ignorez les préoccupations des principales parties prenantes en matière de confidentialité.
  • Offrir une formation générique non adaptée aux besoins spécifiques de l’organisation.
  • Exécutez une surveillance et une révision limitées de vos contrôles, ce qui peut entraîner des incidents non détectés.

Tous ces éléments exposent les organisations à des violations potentiellement dommageables, à des sanctions financières et à des atteintes à leur réputation.

Mike Jennings, responsable IMS chez ISMS.online, conseille : « Ne vous contentez pas d'utiliser les normes comme une liste de contrôle pour obtenir une certification ; vivez et respirez vos politiques et vos contrôles. Ils rendront votre organisation plus sûre et vous aideront à dormir un peu plus tranquille la nuit ! »

Feuille de route ISO 27701 – Télécharger maintenant

Nous avons créé une feuille de route pratique d'une page, divisée en cinq domaines clés, pour aborder et atteindre la norme ISO 27701 dans votre entreprise. Téléchargez le PDF dès aujourd'hui pour démarrer en toute simplicité votre parcours vers une confidentialité des données plus efficace.

Téléchargez

Libérez votre avantage en matière de conformité

L'obtention de la recertification ISO 27001 et ISO 27001 a été une réussite importante pour nous chez ISMS.online, et nous avons utilisé notre propre plateforme pour le faire rapidement, efficacement et sans aucune non-conformité.

ISMS.online vous offre une longueur d'avance de 81 %, la méthode Assured Results, un catalogue de documentation pouvant être adopté, adapté ou complété, ainsi que l'assistance permanente de notre coach virtuel. Assurez-vous facilement que votre organisation sécurise activement vos informations et la confidentialité de vos données, améliore continuellement son approche de la sécurité et se conforme aux normes telles que ISO 27001 et ISO 27701.

Découvrez les avantages de première main – demandez un appel avec l’un de nos experts dès aujourd’hui.