Vous mettez en œuvre la norme ISO 27001 et vous ne savez pas par où commencer ?

L'une des questions les plus fréquemment posées par les organisations qui débutent dans la gestion de la sécurité de l'information est « par où commencer ? ISO 27001: 2013?' Pour obtenir une certification indépendante selon la norme internationalement reconnue, il y a environ 140 choses à réaliser. Certaines prennent 2 minutes, et d'autres peuvent prendre des jours ou des semaines, selon le point de départ et la complexité de l'organisation. Il n'est donc pas étonnant que des personnes très occupées se sentent dépassées et incertaines de ce qu'elles doivent faire – et de l'ordre dans lequel le faire – tout en optimisant les ressources, les coûts et les risques.
Voir notre plateforme en action
Réservez votre démo

Alors, quelles sont les voies possibles pour mettre en œuvre votre SMSI ISO 27001 ?

Une méthode populaire est « l'analyse des lacunes en matière de gestion de la sécurité de l'information », dans laquelle vous consacrerez beaucoup de temps et d'argent à trouver les lacunes. Mais vous n'obtenez toujours qu'une analyse des écarts (avec probablement des résultats dans une feuille de calcul difficile à naviguer et à gérer), pas d'avancée vers l'établissement de votre ISMS. Il y a un meilleur moyen.

Une autre voie courante consiste à éviter l’analyse des écarts et à se contenter de la livraison. Certaines organisations commencent par créer tous les 93 Contrôles de l'Annexe A, en mettant d’abord en place des politiques, des processus et des procédures. Cependant, cela n’est pas non plus optimal et peut prendre du temps, surtout si l’entreprise ne présente aucun risque là où ces contrôles seraient applicables. Il s'agit d'une approche « ascendante » et nous suggérons toujours qu'elle suive les exigences fondamentales « descendantes ».

La norme ISO commence à bien vous guider tout au long du processus descendant si vous commencez par les exigences fondamentales de la norme ISO 27001. Cependant, les exigences fondamentales (clauses de gestion) couvrent l'exploitation au-delà de la mise en œuvre, et détourneront donc l'attention vers la prise en compte des activités post-certification (telles que la surveillance, Audit interne, révision et amélioration) avant même de commencer à exploiter votre SMSI. C'est mieux, mais ce n'est pas la meilleure solution lorsque vous êtes pressé ou que vous souhaitez suivre le chemin le plus opportun. Il existe une meilleure façon de garantir les résultats, qui tire le meilleur parti de toutes les pratiques courantes et évite le gaspillage d'une analyse des écarts. Nous l’appelons la méthode des résultats assurés – ARM.

Capture d'écran d'un ordinateur portable d'ARM

Visez le pragmatisme et non la perfection avec votre premier SMSI

Souvent, mais pas toujours, il existe un facteur extérieur pour atteindre la norme ISO 27001, comme une exigence d'appel d'offres ou des pressions des clients en raison d'un changement dans l'appétit pour le risque dans la chaîne d'approvisionnement (par exemple en raison de la cybercriminalité ou de réglementations telles que GDPR). Ces facteurs extérieurs impliquent généralement des délais serrés, de sorte que la perfection est souvent l'ennemi du bien lorsqu'il s'agit d'atteindre Succès de la certification ISO 27001 dans un délai serré, surtout après une certification indépendante.

La norme ISO 27001, comme les autres normes de gestion ISO, est axée sur l'amélioration continue et est fondamentalement une norme basée sur la gestion des risques. Ainsi, être pragmatique quant au risque commercial (en supposant qu'il soit également acceptable pour les clients) et faire preuve d'amélioration dans le cadre du système de gestion est bien accueilli par les auditeurs. Il montre également un l’organisation est en contrôle et consciente de ses risques. En tant que tel, l’ARM met l’accent sur le pragmatique plutôt que sur le parfait et vous permet de construire facilement sur ce que vous avez aujourd’hui. Ensuite, vous planifiez des améliorations au fil du temps, classées par priorité du point de vue des risques.

Si vous n'en faites pas assez aujourd'hui, alors le système préconfiguré Plateforme ISMS.online, la documentation exploitable incluse et les services Virtual Coach en option vous aideront à obtenir des résultats beaucoup plus rapidement et à un coût total inférieur à toute autre alternative. Le coach virtuel comprend également les étapes ARM vers le succès, qui sont résumées ci-dessous.

Nous facilitons l’atteinte de la norme ISO 27001


Obtenez une longueur d'avance de 77 %

Obtenez une longueur d'avance de 77 %

Notre ISMS est préconfiguré avec des outils, des cadres et une documentation que vous pouvez adopter, adapter ou ajouter. Simple.


Votre chemin vers le succès

Votre chemin vers le succès

Notre méthode de résultats assurés est conçue pour vous obtenir une certification dès votre première tentative. Taux de réussite de 100%.


Regarder et apprendre

Regarder et apprendre

Oubliez les formations longues et coûteuses. Notre série de vidéos Virtual Coach est disponible 24h/7 et XNUMXj/XNUMX pour vous guider.

Comment suivre ARM pour une réussite ISO 27001 rapide et efficace

Étape 1 : Décrire l'environnement actuel de sécurité des informations de l'organisation

R : Poser les bases d'une gestion réussie de la sécurité de l'information

Cela signifie que vous comprenez votre organisation et la pertinence de sécurité de l'information à cela. Il inclut des considérations pour les parties qui seront intéressées par votre gestion de la sécurité de l'information, les actifs informationnels que vous devez protéger, les risques auxquels vous êtes confronté et votre niveau supérieur. Politique de sécurité des informations.

En pratique, cela implique de s'attaquer Article 4, article 5, et l'article 6 de la norme ISO 27001 ainsi que l'annexe A 8, qui se concentre sur la classification des informations et l'inventaire des actifs informationnels. Si vous ne pouvez pas déjà le faire, la plateforme ISMS.online contient de nombreux contenus et outils qui vous aideront à décrire rapidement ces domaines. Il propose également une banque des plus courants risques liés à la sécurité de l'information, renvoie aux contrôles pertinents de l'annexe A et garantit de manière cruciale que vous adoptez une approche de mise en œuvre adaptée à votre culture d'entreprise, à votre appétit pour le risque et aux méthodes de travail souhaitées.

B : Décrire les politiques et contrôles actuels en matière de sécurité des informations

Vous aurez déjà mis en place certaines politiques et contrôles, même s’ils sont implicites plutôt que bien documentés. Celles-ci sont très probablement basées sur la prise en compte des risques ou des « meilleures pratiques » perçues et sur les connaissances d’employés professionnels, ou simplement sur des approches de bon sens concernant la protection de vos informations précieuses contre les parties malveillantes. Cela n'a peut-être pas été fait par le biais d'une procédure formelle évaluation des risques ou approche documentée. Ainsi, pour cette étape, il vous suffit de décrire ce que vous faites aujourd'hui, dans le contexte de la norme. politiques et contrôles à l'annexe A, puis reliez-le aux actifs informationnels et aux principaux travaux sur les risques que vous effectuerez pour jeter les bases.

Si vous ne pouvez pas décrire facilement comment vous travailler aujourd'hui dans les domaines pertinents de la sécurité de l'information sur la base de votre analyse des risques, vous ne serez pas non plus en mesure de le démontrer lors de l'audit de phase 2, de sorte qu'un auditeur externe n'aura d'autre choix que d'émettre des avis de non-conformité et d'échec potentiel. C'est l'un des problèmes courants auxquels sont confrontées les organisations qui se contentent d'acheter des boîtes à outils de documents de politique de sécurité de l'information, puis de les déposer sur un lecteur partagé et de penser que c'est suffisant pour réussir ; ce n'est pas. La documentation exploitable, le contenu et les outils prédéfinis de la plateforme ISMS.online pour les contrôles de l'annexe A vous aideront à guider votre réflexion. Ils vous donnent également la possibilité de l'adopter, de l'adapter ou d'y ajouter des éléments, ce qui vous fera gagner énormément de temps et, surtout, vous assurera qu'il est bon pour votre entreprise de pouvoir également le démontrer dans la pratique.

C : Adopter ou adapter les exigences fondamentales restantes de la norme ISO 27001

Vous pouvez maintenant revenir en arrière et décrire comment vous allez aborder les autres exigences fondamentales de la norme, qui sont davantage axées sur l'administration opérationnelle et l'amélioration continue du système de gestion de la sécurité de l'information. Il explique comment vous aborderez certains aspects administratifs difficiles mais importants du SMSI, ainsi que la clarification de la direction et des rôles soutenant le système de gestion de la sécurité de l'information. L'administration potentiellement pénible comprend la documentation de la déclaration d'applicabilité de la clause 27001 de la norme ISO 6.1.3 ainsi que les processus de répondre aux objectifs de sécurité de l'information énoncés à l'article 6 des exigences fondamentales. Cette partie aborde également la manière dont l'opération est gérée, audits internes, des revues de direction, des actions correctives, des non-conformités et des améliorations sont entreprises.

Comme les autres parties de la norme ISO 27001, ISMS.online a déjà répondu à une grande partie des exigences ici, ce qui signifie une approche relativement simple, avec des rapports automatisés et des espaces de travail pratiques préconfigurés pour démontrer facilement ce fonctionnement efficace. Cela contribue grandement à vous aider à atteindre cet ensemble final d’exigences dans un délai aussi court que possible.

Étape 2 : Mettez en ligne le SMSI

Plus tôt vous pourrez mettre votre système de gestion de la sécurité de l'information en mode opérationnel, plus vite il pourra redevenir « comme d'habitude » et montrer que vous prenez la sécurité de l'information au sérieux. Il est probable que votre ISMS commencera à fonctionner de manière organique avec des processus, les contrôles et les politiques étant introduits tout au long de la période de mise en œuvre, il est cependant avantageux d'indiquer une date à laquelle le SMSI est considéré comme « en direct et opérationnel ».

Les avantages sont:

  • Un « point de départ » clairement défini avant lequel les auditeurs ne devraient pas considérer portée de l’audit du SMSI et ne doit pas documenter constats de non-conformité antérieurs à cette date
  • Il se concentre sur les parties responsables au sein de l'organisation à partir du moment où elles sont censées commencer à fournir des preuves des contrôles dans leur domaine de responsabilité.
  • Tout ce qui est antérieur à cette date peut être référencé lors d'un audit par vous comme une « adoption anticipée »

Il n'est pas nécessaire d'être « parfait » à la date de mise en service, mais cela vaut la peine de sélectionner une date à laquelle la majorité des processus, politiques et contrôles sont prêts à fonctionner. Bien entendu, des améliorations peuvent encore être apportées entre cette date et l’audit de stade 1 ou de stade 2.

Idéalement, la date devrait être au moins 1 mois avant l'audit de l'étape 1 (qui est généralement 1 mois avant l'audit de l'étape 2). Il s'agit de garantir que d'ici le heure de l’audit de l’étape 2, au moins 2 mois de preuves ont été accumulées.

Convenez et documentez la date officielle de « lancement » du SMSI. Si vous utilisez ISMS.online, nous vous suggérons de capturer et d'enregistrer cela dans votre espace ISMS Board et de l'annoncer également à votre personnel, par exemple via vos communications de groupe ISMS.online et de le référencer pour que l'auditeur puisse le voir si cela est demandé.

Voir notre plateforme en action
Réservez votre démo

Étape 3 : Planifier les améliorations en matière de sécurité des informations

Au cours du travail visant à décrire votre mise en œuvre actuelle de la sécurité de l'information, il est très probable que vous aurez identifié les améliorations dont vous avez besoin ou souhaitez apporter. Il peut s'agir de réduire davantage vos risques à un niveau acceptable, d'améliorer l'efficacité opérationnelle ou même de profiter de nouvelles opportunités. Plutôt que de ralentir pour vous améliorer à ce moment-là, vous auriez pris des notes sur ces domaines à améliorer et il est maintenant temps de planifier ces améliorations en matière de sécurité des informations. Cela montrera que vous contrôlez le SMSI et démontrera à votre haute direction ainsi qu'à un auditeur externe que vous vous améliorez continuellement.

Dans ISMS.online, il encourage l'enregistrement de ces améliorations dans le « Piste des actions correctives et des améliorations » (ou, si c'est très simple, de les ajouter en tant que tâches dans le plan de traitement des risques pertinent.) Pour démontrer l'efficacité du contrôle et de la planification, vous devez maintenant examiner toutes les tâches. les éléments et attribuer des propriétaires, les hiérarchiser pour l'action, en fixant des dates cibles pour l'achèvement.

Lors de l’exercice de priorisation, les éléments suivants doivent être pris en compte :

  • Dans quelle mesure la mise en œuvre de l'amélioration sera-t-elle facile
  • Dans quelle mesure la réduction des risques ou d’autres avantages seront obtenus
  • Si la mise en œuvre de l'amélioration peut être achevée après la certification (le propriétaire du risque étant heureux d'accepter le niveau de risque supérieur à l'objectif jusqu'à ce que la mise en œuvre soit terminée)
  • Si la mise en œuvre doit être terminée avant l'audit ISO 27001 étape 1 (améliorations de la description des contrôles)
  • Si la mise en œuvre doit être terminée avant l'audit ISO 27001 Étape 2 (améliorations de la mise en œuvre et du fonctionnement des contrôles)

Lorsque des améliorations identifiées sont nécessaires avant l’audit de phase 1 ou 2, vous devez être sûr que cela peut être réalisé avant de réserver l’audit concerné. (Les audits de l’étape 1 et de l’étape 2 sont normalement espacés d’environ 1 mois).

Après avoir terminé l'étape 3, vous serez en très bonne position pour réussir l'audit de l'étape 1.

Étape 4 : Audits ISO 27001 Étape 1 et Étape 2

Qu'est-ce que l'audit de phase 1 pour la norme ISO 27001 ?

Après avoir terminé les étapes 1 à 3, vous serez dans un endroit idéal pour l'audit de première étape. L'auditeur de l'organisme de certification voudra consulter la documentation du système de gestion de la sécurité de l'information et comprendre que vous avez satisfait aux exigences, du moins en théorie ! Cette étape consiste davantage en une revue documentaire du SMSI avec l'auditeur, couvrant les domaines obligatoires et garantissant que l'esprit de la norme est appliqué. Les organismes de certification avant-gardistes commencent à le faire à distance avec des plateformes, comme ISMS.online, ce qui réduit les coûts et peut également accélérer le processus. Le résultat de cet exercice est une recommandation concernant la préparation à l’audit de phase 1 (éventuellement avec des observations à réévaluer lors de l’audit de phase 2) ou la nécessité de traiter toute non-conformité identifiée avant que de nouveaux progrès puissent se produire.

Qu'est-ce que l'audit de phase 2 pour la norme ISO 27001 ?

Après avoir terminé l'audit de phase 1, l'auditeur a une compréhension de base de votre organisation, de ses posture de sécurité de l'information et son approche de la gestion de la sécurité de l'information. Ils voudront maintenant voir que vous FAITES réellement ce que vous dites faire. De plus, ils s’attendront à ce que vous évaluiez l’efficacité de votre SMSI et la manière dont vous gérez l’amélioration continue. L'objectif de l'audit de phase 2 est de prouver que votre SMSI fonctionne comme décrit, conformément aux exigences de la norme et qu'il offre le niveau de sécurité des informations jugé adéquat et proportionné aux risques auxquels votre organisation est confrontée. L'étape 1 est assez simple, mais l'étape 2 consiste à donner à l'auditeur l'assurance que vous démontrez que le SMSI se présente sous une forme vivante dans l'ensemble de votre champ d'application déclaré.

En guise de dernière vérification croisée avant l’audit de phase 2, posez-vous ces questions simples :

  1. Avons-nous clôturé des conclusions critiques de l’audit de phase 1 ?
  2. Pouvons-nous prouver le fonctionnement de tous les processus SMSI requis ?
  3. Les objectifs sont-ils mesurés et atteints ?
  4. Le registre des risques est-il tenu à jour ?
  5. Is sensibilisation et formation à la sécurité déployé auprès des personnes concernées ?
  6. Emplacements lacunes en matière de compétences être fermé ?
  7. Des audits internes sont-ils menés ?
  8. Sont formels Avis sur la gestion du SMSI en cours ?
  9. Les actions correctives et les améliorations sont-elles enregistrées et suivies ?
  10. Pouvons-nous prouver le fonctionnement de tous les contrôles et processus pertinents de sécurité de l’information ?
  11. Pouvons-nous montrer que lorsque des incidents sont identifiés, ils sont enregistrés, suivis, gérés et mis en œuvre au fil du temps ?
  12. Pouvons-nous montrer que nous sommes satisfaits de notre profil de risque actuel ? C'est-à-dire:
    • Un risque est tolérable et aucune autre action n’est nécessaire pour le moment.
    • Un risque est-il actuellement tolérable si l'on considère les améliorations identifiées qui ont été enregistrées et sont mises en œuvre sur un délai défini ?

Si vous pouvez répondre « oui » à ces questions, alors vous êtes probablement prêt pour l’audit de phase 2.

L'auditeur enquêtera plus en profondeur, puis testera votre approche par échantillonnage et sélectionnera presque certainement le personnel pour démontrer qu'il est formé, conscient et conforme. Il est très important que votre personnel et les autres personnes concernées (par exemple les fournisseurs) soient en mesure de démontrer qu'ils comprennent où trouver et qu'ils suivent les politiques et procédures énoncées si l'auditeur le leur demande. Offres ISMS.online Packs de politiques pour la démonstration de conformité et les groupes de communication ISMS pour impliquer le personnel et les fournisseurs clés sur le thème de la sécurité de l'information. L’échantillonnage des preuves peut inclure :

  • Inspections physiques (par exemple, visite du site/du bureau)
  • Entretiens avec le personnel responsable du SMSI ou de la sécurité de l'information
  • Entretiens avec le personnel général (par exemple pour vérifier la sensibilisation)
  • Inspection des journaux et enregistrements (de tous types)
  • Revue de la mise en œuvre des contrôles techniques (ex : fichiers de configuration)

Si votre champ d'application englobe plusieurs sites, l'organisme de certification souhaitera en auditer un certain nombre, en particulier les sites dotés de fonctionnalités clés. Ils vous fourniront des détails exacts lorsque vous leur demanderez votre devis.

Il y a deux résultats de l’audit de phase 2 :

  1. Non recommandé pour la certification – Ceci est très inhabituel dans la mesure où tout problème majeur aurait dû être identifié lors de l’audit de première étape. Cela arrive si actions pour remédier aux non-conformités de l’audit de phase 1 n'ont pas été prises. Très occasionnellement, une non-conformité majeure non découverte sera constatée. Si cela se produit, l’organisme de certification arrêtera presque certainement l’audit immédiatement et détaillera les étapes nécessaires pour résoudre le problème. Dans le pire des cas, une nouvelle exécution de l’audit de phase 2 peut être nécessaire.
  2. Recommandé pour la certification – Cela signifie que sous réserve d'un examen par les pairs de l'audit au sein de l'organisme de certification et d'un éventuel examen par l'organisme d'accréditation (par exemple UKAS), vous recevrez votre certification.

Vous pouvez également recevoir des domaines à améliorer ou des non-conformités mineures qui doivent être traitées conformément aux recommandations de l'auditeur.
Ordinateur portable montrant un cluster ISMS

Que se passe-t-il après l'audit ISO 27001 étape 2 ?

Si vous avez été recommandé pour la certification… FÉLICITATIONS ! Profitez du moment présent, car il est très difficile de mettre en place une gestion de la sécurité des informations certifiée de manière indépendante et à laquelle les gens peuvent avoir confiance. Si c'était simple, tout le monde le ferait mais ce n'est pas le cas. Bien qu'ISMS.online rende l'ensemble du voyage beaucoup plus facile et plus rapide, il n'en reste pas moins une merveilleuse réussite qui mérite d'être célébrée.

L'organisme de certification examinera ensuite le rapport d'audit en interne et le transmettra à l'organisme d'accréditation (par exemple UKAS) qui examinera un échantillon de chaque organisme de certification pour garantir le respect des normes. Une fois que l’organisme d’accréditation aura donné son sceau d’approbation, un certificat sera délivré. Le processus d'examen et de certification prend normalement 3 à 4 semaines. Le certificat dure 3 ans et vous subirez des audits de surveillance à intervalles réguliers en cours de route, généralement une fois par an.

Pour l’instant, vous pouvez passer à autre chose en « célébrant et en bâtissant sur le succès », car un SMSI est à vie, et pas seulement la première certification. Ce qui peut être donné peut facilement être retiré si vous ne maintenez pas et n'améliorez pas votre approche au fil du temps, alors n'oubliez pas de continuer à en faire un peu, souvent, et vous constaterez que cela s'intègre rapidement dans une expérience positive et très gérable pour vous et l'organisation. .

Découvrez à quel point c'est simple avec ISMS.online
Réservez votre démo