Qui sera impliqué dans la mise en œuvre de la norme ISO 27001 ?

Qu'est-ce que l'ISO 27001?

ISO/IEC 27001:2013 – pour donner à la version internationale actuelle sa référence complète – communément appelée ISO 27001, est la spécification standard reconnue au niveau international pour un système de gestion de la sécurité de l’information (ISMS).

ISO 27001 fait partie d'une famille de normes de la gamme ISO 27k, couvrant un large éventail de sujets relatifs à l'information et à la cybersécurité ainsi que des orientations en matière de conformité.

La famille ISO 27k fait elle-même partie d'une famille plus large de normes de systèmes de management basées sur les directives ISO/IEC Partie 1 (11e édition 2020) Annexe SL, qui définit un cadre commun de système de gestion.

Il est conçu pour permettre un système de gestion d'entreprise axé sur les risques et soutenant la protection des actifs informationnels sous quelque forme que ce soit – par exemple dans les systèmes informatiques, sur support papier ou numérique, et même dans la tête des gens. Il n’est pas destiné à être utilisé comme norme de sécurité technique.
La norme contient :

• Les « exigences » obligatoires (souvent appelées « clauses du système de management ») qui suivent le cadre des directives ISO, partie 1, annexe SL ; et
• Annexe A – un exemple d'ensemble de contrôles sélectionnables en fonction des risques, généralement utilisés pour contribuer à réduire les risques à un niveau tolérable.

Apprenez-en davantage sur les exigences fondamentales de la norme ISO 27001 et sur les contrôles de l'Annexe A que vous pouvez choisir de mettre en œuvre. ici.

Pourquoi ISO 27001 est-il important?

Toutes les organisations créent, gèrent et distribuent des informations, et toutes les informations ont une valeur. La mise en œuvre d'un système de gestion de la sécurité de l'information reconnu à l'échelle internationale contribuera à protéger la valeur et apportera des avantages commerciaux et un retour sur investissement significatifs.

Ces avantages pourraient inclure :

• La capacité d'opérer sur des marchés réglementés qui exigent des preuves démontrables sécurité de l'information.
• L’opportunité d’utiliser la certification accréditée comme un différenciateur essentiel pour remporter de nouveaux contrats.
• La réduction des frais généraux opérationnels en se concentrant sur les contrôles de sécurité là où ils sont réellement nécessaires pour réduire les risques critiques et rationaliser les processus de gestion de la sécurité de l’information.
• La réduction des coûts associés à la réponse aux incidents d’information et de cybersécurité.
• Une conformité plus facilement démontrable à la législation et à la réglementation et la réduction des sanctions potentielles en cas de manquement de telle.

Quels rôles sont requis pour la mise en œuvre du système de gestion de la sécurité de l'information ISO 27001 ?

Bien que la norme ISO 27001 ne spécifie pas les rôles requis ; plusieurs responsabilités fondamentales devront être assignées pour garantir que le SMSI s'aligne sur la culture et la nature de votre organisation ainsi que sur ses opérations commerciales et gère avec succès les risques liés aux informations à un niveau tolérable.

Le terme « parties prenantes » signifie différentes choses pour différentes personnes, et vous entendrez souvent parler de parties prenantes primaires, secondaires et même tertiaires, de parties prenantes directes et indirectes. Les normes ISO sur les systèmes de management ne parlent pas de parties prenantes, mais plutôt de « parties intéressées », mais cela ne signifie pas que vous n'aurez pas de parties prenantes internes pour le SMSI.

Principaux intervenants

La norme ISO 27001 étant avant tout une norme de système de management d’entreprise, vos principales parties prenantes doivent siéger au niveau de direction le plus élevé – il s’agit après tout de protéger votre entreprise !

Vous, principales parties prenantes, êtes susceptible d’inclure :

• Représentation et sponsor au niveau du Conseil d'administration « C » ou.
• Partie prenante principale du risque – éventuellement un Senior Information Risk Officer (SIRO) ou un rôle similaire chargé de superviser tous les risques commerciaux, dont le risque informationnel fait partie.
• Une personne ou une équipe responsable du SMSI – éventuellement un chef Responsable de la sécurité de l'information (RSSI), Responsable de la sécurité de l'information (ISM) ou similaire, qui correspond à la culture et à la terminologie de votre organisation et à sa structure existante.
• Un « exécutant principal » ou une ressource désignée similaire responsable de la gestion de la mise en œuvre du SMSI.

Parties prenantes secondaires

Les parties prenantes secondaires seront celles qui seront responsables d’une partie du SMSI. Cela inclura des représentants du domaine de toute l’organisation et éventuellement de ses partenaires et même de ses fournisseurs.

La liste des parties prenantes secondaires sera déterminée par la taille et la nature de votre organisation, mais pourra inclure :

• Spécialistes de l'information et de la cybersécurité pertinents pour les opérations de votre organisation.
• Sécurité informatique et ressource technique.
• Représentation RH.
• Sécurité physique représentation – éventuellement « Installations » ou similaire
• Représentation juridique et conformité
• Audit interne
• Représentants des départements commerciaux responsables de vos processus commerciaux critiques – le SMSI doit travailler avec eux, et non devenir un bloqueur. L’implication des chefs d’entreprise dans toute l’organisation sera donc fondamentale pour y parvenir.
• Les représentants des fournisseurs ou partenaires ayant accès aux informations de l'organisation.

Rôle de responsable de la mise en œuvre défini

Le rôle de « responsable de la mise en œuvre » est la personne chargée de superviser la mise en œuvre du SMSI et, à ce titre, doit être une personne possédant les connaissances et les compétences requises pour cette tâche.

Ils devront comprendre la norme ISO 27001 et les normes d'orientation associées de la même famille. Ils devront également connaître les processus clés de mise en œuvre, d'exploitation, de suivi et de améliorer le SMSI pour garantir que le SMSI est efficient et efficace.

Traditionnellement, cela est soit « acquis » sous la forme d’un consultant spécialisé, soit « intégré » en envoyant un ou plusieurs membres du personnel existant suivre une formation de responsable de mise en œuvre ISO 27001. Ces deux options sont généralement coûteuses.

La plateforme ISMS.online fournit plusieurs outils qui aident à combler le manque de connaissances et de compétences et aident à réduire ou à éliminer le besoin de telles dépenses. Ceux-ci inclus:

• Notre contenu exploitable – des politiques et des contrôles documentés que vous pouvez facilement adopter, adapter ou ajouter, ce qui signifie que vous pouvez disposer de jusqu'à 77 % de la documentation dont vous avez besoin dès le premier jour.
• Notre « Méthode des résultats assurés » (ARM) – qui est une feuille de route élaborée par des experts en la matière qui vous guide tout au long de la mise en œuvre de votre SMSI de manière logique et efficace.
• Outils prédéfinis – tels que notre registre des risques qui comprend:
  • Une banque d'échantillons de plus de 100 risques liés à la sécurité de l'information,
  • Notre carte des intéressés,
  • Nos pistes de gestion des incidents, des actions correctives et des améliorations,
  • Et notre registre juridique et réglementaire, qui contient les lois et réglementations généralement pertinentes.
• Notre « Coach virtuel » – un supplément facultatif qui fournit des conseils et des orientations d’experts via des explications contextuelles vidéo, audio et textuelles liées au contenu.

Découvrez comment notre plateforme simplifiée, sécurisée et durable d'ISMS.online peut s'adapter à vos besoins. ici.

Top Management

« Tout commence au sommet » – ISO 27001 est avant tout un système de gestion d'entreprise conçu pour gérer la protection des actifs informationnels d'une organisation et réduire les risques liés aux informations à un niveau tolérable.

Sans le soutien de la haute direction, il est peu probable que la mise en œuvre et le fonctionnement du SMSI soient couronnés de succès, efficients ou efficaces.

L'ISO 27001 définit certains clauses fondamentales qui relèvent de la responsabilité de la haute direction, comprenant:

• 5.1 Leadership et engagement – Engagement de la haute direction envers l’intégration de la sécurité de l’information au sein de l’organisation et de ses processus
• Soutien 7 – mise à disposition de ressources suffisantes et compétentes pour le SMSI
• 9.3 Revue de direction – un engagement de la part de la haute direction d’examiner, au moins une fois par an, l’efficacité du SMSI

Personnel chargé de la sécurité de l'information et de la gouvernance

Le personnel chargé de la sécurité de l'information et de la gouvernance, chargé de la gestion globale du SMSI et de ses composants, sera essentiel à la mise en œuvre et au fonctionnement réussis du SMSI.

Il s’agit généralement de personnel dont le rôle principal est axé sur la sécurité et la gouvernance de l’information. Toutefois, si votre organisation est petite, il s’agira probablement d’une personne qui occupe également un autre emploi.

La plateforme ISMS.online peut aider à fournir les connaissances, les compétences et la confiance là où les ressources de niveau expert ne sont pas disponibles et garantir que l'ISMS ne devienne pas une surcharge lourde.

Service informatique ou fournisseur(s)

Étant donné que de nombreuses informations sont stockées, traitées et transmises sur ou via des systèmes, réseaux et applications informatiques, il sera nécessaire de garantir qu'une interaction appropriée avec les services informatiques et/ou les fournisseurs soit intégrée dès le début au SMSI.

La plupart des contrôles qui seront mis en œuvre pour protéger vos actifs informationnels seront des contrôles techniques conçus, développés, mis en œuvre et exploités par votre service informatique ou vos fournisseurs.

La gestion des attentes et la répartition des responsabilités concernant les aspects techniques de l'information et de la cybersécurité seront essentielles au succès du SMSI.

Auditeurs internes)

ISO 27001, comme toutes les normes de système de gestion ISO, exige qu'une organisation dispose d'un programme d'audits internes pour vérifier le fonctionnement efficace du SMSI et sa capacité à réduire les risques liés aux informations à un niveau tolérable.

Au minimum, les clauses de gestion du SMSI (4 à 10) doivent être auditées chaque année et les contrôles de l'Annexe A audités pendant la période de certification (3 ans pour les certifications accréditées UKAS).

La sélection des auditeurs internes doit garantir l'objectivité – c'est-à-dire que vous ne pouvez pas auditer votre propre travail – et la compétence – l'auditeur doit avoir les connaissances et les compétences nécessaires pour mener l'audit.

Notre service Virtual Coach est livré avec tout ce que vous devez savoir sur les audits internes ou lisez notre guide simplifié des audits internes ISO 27001:2013 avec des conseils et des idées sur la façon dont vous pouvez atteindre votre objectif.

Délégué à la protection des données

La Délégué à la protection des données est généralement chargé d’assurer la gestion, l’utilisation et la protection appropriées des informations personnelles identifiables (PII) au sein de l’organisation. Ces informations concerneront le personnel d'une organisation, et souvent celui de ses clients.

Cette responsabilité inclut clairement de veiller à ce que des contrôles et des processus adéquats en matière d’information et de cybersécurité soient en place pour protéger ce type d’informations.

Le rôle du délégué à la protection des données n'est pas spécifié ni mandaté dans la norme ISO 27001. Cependant, d'autres lois et réglementations pertinentes telles que la loi britannique sur la protection des données (2018) et la Règlement général sur la protection des données (GDPR) nécessitent un rôle de cette nature. De plus, la conformité et d'autres contrôles au sein de la norme ISO 27001 impliquent fortement la nécessité d'un tel rôle.

Qui auditera notre SMSI pour la certification ISO 27001 ?

Si vous cherchez à obtenir une reconnaissance et un respect certification pour votre SMSI – nécessaire pour en tirer le meilleur parti – vous devrez faire appel à un organisme de certification accrédité ISO 27001 pour réaliser les audits requis pour la certification.

Que sont les organismes de certification ISO 27001 ?

Les organismes de certification fournissent aux auditeurs les aptitudes, les connaissances et les compétences nécessaires pour mener les audits de certification et garantir que les certifications sont accréditées à un niveau cohérent.

Ces organismes sont généralement répertoriés sur le site Internet de l'organisme territorial d'accréditation. Au Royaume-Uni, l'organisme d'accréditation est le United Kingdom Accreditation Service (UKAS) et supervise les organismes de certification accrédités au Royaume-Uni.

Combien de temps faudra-t-il pour construire le SMSI ?

Comme pour tout projet important, le temps nécessaire dépendra de ce qui doit être fait ainsi que de la capacité et de la compétence des ressources mises à disposition pour le réaliser.

Pour la norme ISO 27001, « ce qui doit être fait » est bien défini dans la norme et les ressources mises à disposition seront déterminées par votre organisation.

En règle générale, pour une organisation de petite ou moyenne taille disposant de politiques et de contrôles préexistants, la création d'un SMSI peut prendre entre 6 mois et un an (en fonction des niveaux de ressources). Parfois, ce délai est encore plus long si les ressources disponibles doivent partager leur temps entre d'autres tâches. Un projet de 150 jours (équivalent temps plein) est assez courant.

La Plateforme ISMS.online peut vous aider à réduire considérablement vos niveaux de ressources. Selon la quantité de contenu exploitable que vous pouvez adopter ou adapter facilement, la construction de votre SMSI peut être réduite jusqu'à 75 % ou 80 %. Certains clients peuvent passer d’un départ arrêté à être prêts à commencer le processus d’audit de certification dans un délai de 6 semaines.

Combien de temps faut-il pour obtenir la certification ISO 27001 ?

Une fois votre SMSI construit, le processus d’audit de certification se déroule en deux étapes, un délai de 2 mois étant courant. Généralement, le processus en deux étapes est le suivant :

• Audit de phase 1 – Examen de la documentation du SMSI
• Période d'action corrective – généralement 4 à 6 semaines entre les deux étapes pour permettre à une organisation de prendre des mesures correctives découlant de l'audit de l'étape 1.
• Vérification de l'étape 2 – Audit probant de « certification »
• Examen par l’organisme de certification et d’accréditation – généralement 2 à 4 semaines. L'organisme de certification examinera l'audit en interne et le soumettra à l'UKAS qui pourra éventuellement échantillonner l'audit pour examen.

Comment choisir un organisme de certification ?

De nombreux facteurs influenceront votre choix d’organisme de certification.

Le plus important d’entre eux sera de garantir que l’organisme de certification soit accrédité. Il est possible d'obtenir une certification non accréditée. Cependant, cela aura une intégrité et une valeur limitées. Nous vous déconseillons fortement de suivre cette voie.

Si vous détenez déjà d'autres certifications, telles que :

• ISO 9001 (gestion de la qualité)
• ISO 14001 (management environnemental)
• ISO 45001 (management de la santé et de la sécurité au travail)*

Vous approcherez probablement d’abord votre organisme de certification existant pour voir s’il est également accrédité ISO 27001.

*Remarque : si vous possédez déjà des certifications selon d'autres normes de système de gestion, vous pourriez bénéficier de leur intégration dans une seule. "Système de gestion intégré" – et la plateforme ISMS.online peut vous aider à y parvenir.

De quelles ressources ai-je besoin pour la mise en œuvre de la norme ISO 27001 ?

Nous avons identifié ci-dessus plusieurs rôles qui seront impliqués dans la mise en œuvre de votre SMSI, mais vous aurez essentiellement besoin de :

• Ressource compétente (telle qu'un responsable de la mise en œuvre) – avec la connaissance de la norme – la plateforme ISMS.online peut fournir une grande partie des compétences requises grâce à son contenu et ses outils prédéfinis.
• Capacité d’autres ressources – telles que les représentants des départements informatiques, juridiques, des installations, de la haute direction et des services commerciaux.

Il est essentiel dans la planification de la mise en œuvre de votre SMSI que vous preniez en compte les exigences en matière de compétence, de capacité, de confiance et de discipline de vos ressources si vous souhaitez parvenir à une mise en œuvre réussie, efficiente et efficace dans un délai raisonnable.

En supposant que nous obtenions la certification, de quelles ressources aurons-nous besoin pour la maintenance ?

Un SMSI certifié est un voyage continu, pas une destination. En tant que tel, il faudra un certain niveau de ressources pour le maintenir. Plus un SMSI est intégré dans les processus quotidiens de l'organisation, et plus la responsabilité est fédérée, moins elle entraînera de frais généraux.

Au-delà des aspects de contrôle intégré du SMSI, vous devrez vous assurer que les processus critiques du SMSI sont exploités :

• La gestion des risques – un examen régulier des risques pour garantir que les traitements restent adéquats et proportionnés.
• Audit interne – le fonctionnement continu d'un programme d'audit interne couvrant l'ensemble de la norme, au minimum, pendant la période de certification (3 ans pour une certification accréditée UKAS), et audite plus fréquemment les domaines de fonctionnement ou de risque essentiels.

• Examen de la gestion – un examen de la direction de haut niveau du SMSI au moins une fois par an pour garantir l'efficience et l'efficacité du SMSI dans la réalisation des objectifs commerciaux fixés en matière de sécurité de l'information.
• Mesures correctives ainsi que amélioration continue – des processus garantissant que le SMSI s'améliore continuellement au fil du temps et que les non-conformités sont corrigées dans un délai raisonnable.

Que devrons-nous faire lorsque la norme sera mise à jour ?

Cela dépendra de la nature de la mise à jour. Toutes les normes ISO relatives aux systèmes de gestion sont consultées et mises à jour périodiquement.

Si la norme s’avère largement appropriée, il se peut que seules des mises à jour mineures soient apportées à la formulation.

Cependant, il arrive parfois que la norme soit remaniée pour une raison quelconque. Cela entraîne une mise à jour majeure pouvant nécessiter un audit de « transition » d’une version de la norme vers la nouvelle.

La dernière restructuration majeure de la norme ISO 27001 remonte à 2013 (passage de la version 2005 à la version 2013). S’agissant d’une refonte majeure, une période de transition de 2 ans a été accordée aux organisations.

Un tel changement pouvant générer une quantité de travail et des coûts considérables pour de nombreuses organisations, l’ISO s’efforce d’éviter autant que possible des changements aussi importants.

Quelles que soient les mises à jour, votre organisme de certification doit vous indiquer ce que vous devez faire.

Rassurez-vous, nous mettrons à jour la plateforme ISMS.online pour refléter la version actuelle de la norme chaque fois que cela se produira.

Que se passe-t-il si mon entreprise modifie les produits/services que nous proposons ?

En fonction de l'importance des changements, vous pouvez exiger un audit extraordinaire de la part de l'organisme de certification pour garantir que votre certification couvre les nouveaux produits et services. dans le cadre du SMSI.

Cependant, il est courant que l'organisme de certification combine cet audit avec un audit de surveillance périodique ou lors de votre prochain audit de recertification.

Il est important de noter que vos nouveaux produits ou services peuvent ne pas être couverts par votre certification existante jusqu'à ce que la confirmation de l'organisme de certification ait été donnée.

Et si nous ouvrions un nouveau bureau dans un pays étranger ?

Comme pour les modifications apportées aux produits/services ci-dessus, vous aurez probablement besoin d'un certain niveau d'audit supplémentaire de la part de votre organisme de certification pour vérifier que vos opérations dans le nouveau pays sont couvertes par la portée de la certification.

Un facteur crucial à prendre en compte pour étendre votre norme ISO 27001 afin d'inclure des opérations dans de nouveaux pays est qu'il y aura presque certainement différentes législations et réglementations sur la sécurité de l’information à prendre en compte.

Quel département devrait « être propriétaire » du SMSI ?

Il n’y a pas de bonne ou de mauvaise réponse à cette question, et cela dépendra entièrement de la structure de votre organisation et de sa culture. Cependant, il y a quelques points clés à considérer :

• ISO 27001 est une norme relative aux systèmes de gestion d'entreprise. Il peut donc être préférable d'en confier la responsabilité à un service intersectoriel tel que celui des risques ou de la conformité.
• La propriété pourrait être placée au sein de l’informatique. Cependant, cela peut souvent conduire à la sécurité des informations, devenir un problème uniquement informatique et passer à côté des aspects métiers de la norme.
• Le SMSI pourrait être placé au sein d'un département spécifique « Sécurité de l'information », mais cela peut avoir tendance à conduire à un « silotage », à une mauvaise interaction avec l'entreprise dans son ensemble ou à être perçu comme une structure de « police » qui devient rapidement perçue comme un un bloqueur plutôt qu’un facilitateur.

Un bon moyen qui peut fonctionner pour de nombreuses organisations est que l'appropriation se situe au plus haut niveau de l'organisation. Le fonctionnement du SMSI peut être fédéré dans toute l'organisation mais coordonné par une ressource principale, telle qu'un RSSI ou un responsable de la sécurité de l'information.

Comment ISMS.online peut-il m'aider à mettre en œuvre la norme ISO 27001 plus rapidement ?

En démystifiant la norme ISO 27001 et l'approche de mise en œuvre d'un SMSI, la plateforme ISMS.online peut accélérer votre mise en œuvre en concentrant vos efforts au bon endroit et au bon moment.

De plus, en fournissant une solution ISMS tout-en-un, vous pouvez gagner un temps considérable en évitant de rechercher plusieurs outils, de configurer des référentiels de documentation complexes et de mettre en œuvre de nouveaux processus. jour 1.

La plateforme ISMS.online peut contribuer à réduire considérablement le temps nécessaire à la mise en œuvre d'un SMSI en vous fournissant tout ce dont vous avez besoin pour obtenir la certification ISO 27001 pour la première fois.

Comment ISMS.online facilite-t-il la mise en œuvre de la norme ISO 27001 ?

La plateforme ISMS.online démystifie la norme ISO 27001 et met en œuvre et exploite un SMSI conforme et certifié ISO 27001. Avec ces informations et des informations contextualisées au bon endroit, la plateforme ISMS.online vous aidera à adopter, adapter ou ajouter facilement nos exemples de contenu, et facilitera grandement votre parcours vers la certification.