top of page

Attestation ISO 27001

ISO/IEC 27001 est une norme de sécurité de l'information, qui fait partie de la famille de normes ISO/IEC 27000, dont la dernière version a été publiée en 2013, avec quelques mises à jour mineures depuis lors. Il est publié par l'Organisation internationale pour la normalisation (ISO).

 

L'objectif principal de la norme ISO 27001 définit les exigences pour la mise en place d'un système de management de la sécurité de l'information (SMSI). Au début de la décennie 2000, l'ISO introduit le cycle PDCA (Plan, Do, Check, and Act).

 

ISO 27001 (2013) est composé de 114 contrôles, 14 familles et 35 catégories de contrôles

A.5: Politiques de sécurité de l'information (2 contrôles)

A.6: Organisation de la sécurité de l'information (7 contrôles)

A.7: La sécurité des ressources humaines (6 contrôles qui sont appliqués avant et durant l'embauche et lors du départ d'un employé)

A.8: Gestion des actifs (10 contrôles)

A.9: Contrôle d'accès (14 contrôles)

A.10: Cryptographie (2 contrôles)

A.11: Sécurité physique et environnementale (15 contrôles)

A.12: Sécurité liée à l'exploitation (14 contrôles)

A.13: Sécurité des communications (7 contrôles)

A.14: Acquisition, développement et maintenance des systèmes d'information (13 contrôles)

A.15: Relations avec les fournisseurs (5 contrôles)

A.16: Gestion des incidents liés à la sécurité de l'information (7 contrôles)

A.17: Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité (4 contrôles)

A.18: Conformité (8 contrôles)

 

Qui peut vérifier un programme de conformité ISO 27001?

Un SMSI peut être certifié conforme à l'ISO 27001 par certains registraires accrédités, et ce, dans le monde entier.

 

En quoi consiste une certification ISO 27001?

Si une organisation répond aux exigences de l'ISO 27001 et termine le processus de certification, la certification est accordée pour une période de trois ans. Pendant ce temps, l'organisation doit faire l'objet d'audit annuel de surveillance. Les audits de surveillance sont beaucoup plus petits que l'examen initial et visent à vérifier si l'organisation maintient et améliore son système de gestion.

 

En quoi consiste la portée ou l'étendue d'un SMSI?

La portée du SMSI est une étape cruciale au début du programme de conformité. Qu'est-ce qui sera inclus et exclus dans le champ d'application du SMSI ? Avez-vous plusieurs filiales? Quelle partie de votre infrastructure sera hors de la portée, et pourquoi? La portée initiale devrait être documentée dans le processus de conformité. Toutefois, cette portée peut être modifiée tout au long du programme de conformité.

 

Yucca Conseils TI peut vous assister

Nous pouvons vous assister dans l'ensemble de votre démarche de préparation au programme de conformité ISO 27001. De l'analyse des écarts à l'obtention d'un certificat ISO 27001. Avec l'aide de votre pilote interne, un échéancier réaliste sera élaboré et accepté par votre équipe de gestion.

ISO 27001-Cadre ISO 27001
ISO 27001 compliance
bottom of page