9 étapes de mise en place de la norme ISO 27001

Il existe de nombreuses raisons d’adopter la norme ISO 27001, norme internationale décrivant les bonnes pratiques à suivre pour les systèmes de gestion de la sécurité de l’information (ISMS). Elle aide les organisations à améliorer leur sécurité, à se conformer aux règlementations de cyber sécurité et à protéger et améliorer leur réputation.

Mais la mise en place de la norme prend beaucoup de temps et d’efforts. Cela doit être évident, au moins si vous croyez en la phrase « Rien de ce qui vaut la peine n’arrive sans effort ». Nous avons rendu le processus plus simple en le divisant en neuf étapes.

  1. Contenu de la mission

Le projet de mise en place doit commencer par la désignation d’un leader de projet, qui travaillera avec d’autres membres du personnel. Il s’agit essentiellement d’un ensemble de réponses aux questions suivantes :

  • Qu’espérons-nous réaliser ?
  • Combien de temps cela prendra-t-il ?
  • Qu’est-ce que cela coutera ?
  • Avons-nous le soutient des équipes de direction ?
  1. Initiation du projet

Les organisations doivent utiliser leur contenu de mission afin de construire une structure plus définie et plus détaillée concernant les objectifs liés à la sécurité de l’information et l’équipe gérant le projet, la planification et les risques.

  1. Initiation du ISMS

La prochaine étape est d’adopter une méthodologie de mise en place d’un ISMS. La norme ISO 27001 reconnait que la démarche d’amélioration continue suivant une approche par processus est le modèle le plus efficace pour la gestion de la sécurité de l’information.

Cependant, elle ne précise aucune méthodologie en particulier et permet aux organisations d’utiliser la méthode de leur choix ou de continuer avec le modèle déjà en place.

  1. Cadre de gestion

A ce stade, l’ISMS aura besoin d’une signification plus large du cadre. Cela comprend l’identification de la portée du système, qui dépendra du contexte. La portée doit également prendre en compte les appareils mobiles et les télétravailleurs.

  1. Critères de sécurité

Les organisations doivent identifier leurs principaux besoins de sécurité. Il s’agit des exigences et mesures correspondantes ou des contrôles nécessaires pour gérer l’entreprise.

  1. Gestion des risques

La norme ISO 27001 permet aux organisations de définir de manière plus large leurs propres processus de gestion des risques. Les méthodes les plus communes sont axées sur les risques liés à des actifs précis ou les risques présentés dans des scénarios précis. Les points positifs et négatifs de chacun et certaines organisations seront plus en mesure d’utiliser l’une ou l’autre des méthodes.

L’analyse des risques ISO 27001 comprend cinq points importants :

  • Etablir un cadre d’analyse des risques
  • Identifier les risques
  • Analyser les risques
  • Evaluer les risques
  • Sélectionner les options de gestion des risques
  1. Plan de traitement des risques

Il s’agit du processus de construction des contrôles de sécurité ayant pour but de protéger les informations de votre organisation. Afin de garantir l’efficacité de ces contrôles, vous devrez vérifier que les employés sont capables d’opérer et d’interagir avec les contrôles, et qu’ils connaissent leurs obligations en matière de sécurité de l’information.

Vous devrez également développer un processus vous permettant de déterminer, réviser et maintenir les compétences nécessaires afin d’atteindre vos objectifs en matière d’ISMS. Cela comprend la mise en place d’analyses et la définition d’un bon niveau de compétence.

  1. Mesurer, contrôler et réviser

Pour qu’un ISMS soit utile, il doit répondre aux objectifs de sécurité de l’information. Les organisations doivent mesurer, contrôler et réviser la performance du système. Cela implique l’identification de métriques ou d’autres méthodes permettant de juger l’efficacité et la mise en place des contrôles.

  1. Certification

Une fois l’ISMS en place, les organisations devraient essayer d’obtenir un certificat auprès d’un organisme de certification accrédité. Cela prouve aux parties prenantes que l’ISMS est efficace et que les organisations comprennent l’importance de la sécurité de l’information.

Le processus de certification implique la révision des documentations des systèmes de gestion de l’organisation afin de vérifier que les contrôles appropriés ont été mis en place. L’organisme de certification mènera également un audit sur-site afin de tester les procédures.

En savoir plus

Obtenez plus de détails sur chacune de ces étapes dans notre livre vert : Implementing an ISMS – The nine-step approach. Ce guide gratuit montre exactement ce que vous devez faire pour répondre aux exigences de la norme ISO 27001, ainsi que la mise en avant des enjeux auxquels vous devrez faire face et comment en venir à bout.

Obtenez des conseils pratiques concernant la mise en place de la norme en vous inscrivant à notre formation certifiée d’introduction à la norme ISO 27001 – ISMS (Formation en Anglais).

Cette formation d’une journée vous explique comment bénéficier au mieux de la norme ISO 27001 et vous fournit une introduction complète aux éléments clés requis pour se conformer à la norme.

Réservez cette formation avant le 31 juillet et recevez gratuitement nos outils d’analyse des écarts ISO 27001 2013 ISMS et ISO 27002 2013 ISMS.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.