Quest-ce que la conformité ISO 27001? Conseils et informations essentiels

LOrganisation internationale de normalisation (ISO) est un organisme mondial qui recueille et gère diverses normes pour différentes disciplines. Dans le monde daujourdhui, avec tant dindustries qui dépendent désormais dInternet et des réseaux numériques, laccent est de plus en plus mis sur les parties technologiques des normes ISO.

En particulier, la norme ISO 27001 est conçue pour fonctionner comme cadre pour le système de gestion de la sécurité de linformation (SMSI) dune organisation. Cela inclut toutes les politiques et processus relatifs à la façon dont les données sont contrôlées et utilisées. ISO 27001 nimpose pas doutils, de solutions ou de méthodes spécifiques, mais fonctionne plutôt comme une liste de contrôle de conformité. Dans cet article, nous allons vous expliquer comment fonctionne la certification ISO 27001 et pourquoi elle apporterait de la valeur à votre organisation.

Obtenez lessentiel gratuit Guide de conformité et réglementations américaines en matière de protection des données

  • Comment devenir certifié ISO 27001
  • Normes de conformité ISO 27001
  • Contrôles daudit de conformité ISO 27001
  • Comment maintenir la conformité ISO 27001
  • FAQ sur la conformité ISO 27001 + ressources

Introduction à ISO 27001

LISO a publié sa famille de normes pour la première fois en 2005 et depuis fait des mises à jour périodiques des différentes politiques. Pour ISO 27001, les derniers changements majeurs ont été introduits en 2013. La propriété dISO 27001 est en fait partagée entre lISO et la Commission électrotechnique internationale (CEI), qui est un organisme suisse qui se concentre principalement sur les systèmes électroniques.

Lobjectif dISO 27001 est de fournir un cadre de normes sur la manière dont une organisation moderne doit gérer ses informations et ses données. La gestion des risques est un élément clé de la norme ISO 27001, garantissant quune entreprise ou une organisation à but non lucratif comprend ses forces et ses faiblesses. La maturité ISO est le signe dune organisation sécurisée et fiable à laquelle on peut faire confiance avec des données.

Les entreprises de toutes tailles doivent reconnaître limportance de la cybersécurité, mais la simple mise en place dun groupe de sécurité informatique au sein de lorganisation nest pas suffisamment pour garantir lintégrité des données. Un SMSI est un outil essentiel, en particulier pour les groupes répartis sur plusieurs sites ou pays, car il couvre tous les processus de bout en bout liés à la sécurité.

Un SMSI (système de gestion de la sécurité de linformation) devrait exister comme un ensemble vivant de documentation au sein dune organisation aux fins de la gestion des risques. Il y a des décennies, les entreprises imprimaient le SMSI et le distribuaient aux employés pour leur sensibilisation. Aujourdhui, un SMSI doit être stocké en ligne dans un emplacement sécurisé, généralement un système de gestion des connaissances. Les employés doivent pouvoir se référer au SMSI à tout moment et être alertés lorsquun changement est mis en œuvre. Lorsque vous recherchez la certification ISO 27001, le SMSI est le principal élément de référence utilisé pour déterminer le niveau de conformité de votre organisation.

ISO 27001 peut servir de ligne directrice à tout groupe ou entité qui cherche à améliorer la sécurité de ses informations méthodes ou politiques. Pour les organisations qui cherchent à être les meilleures de leur catégorie dans ce domaine, la certification ISO 27001 est lobjectif ultime. La conformité totale signifie que votre SMSI a été considéré comme suivant toutes les meilleures pratiques dans le domaine de la cybersécurité pour protéger votre organisation contre les menaces telles que les ransomwares.

Dans certains secteurs qui traitent des classifications de données très sensibles, y compris médicales et domaines financiers, la certification ISO 27001 est une exigence pour les fournisseurs et autres tiers. Des outils tels que Varonis Data Classification Engine peuvent aider à identifier ces ensembles de données critiques. Mais quel que soit le secteur dactivité de votre entreprise, démontrer la conformité ISO 27001 peut être une énorme victoire. Plus précisément, la certification prouvera aux clients, aux gouvernements et aux organismes de réglementation que votre organisation est sûre et digne de confiance. Cela améliorera votre réputation sur le marché et vous aidera à éviter des dommages financiers ou des pénalités suite à des violations de données ou des incidents de sécurité.

Que se passe-t-il si vous ne vous conformez pas à la norme ISO 27001? Si votre organisation a déjà reçu une certification, vous risquez déchouer à un futur audit et de perdre votre titre de conformité. Cela pourrait également vous empêcher dexploiter votre entreprise dans certaines zones géographiques.

Comment devenir certifié ISO 27001

Lobtention dune certification ISO 27001 est généralement un processus pluriannuel qui nécessite une implication significative des parties prenantes internes et externes. Ce nest pas aussi simple que de remplir une liste de contrôle et de la soumettre pour approbation. Avant même denvisager une demande de certification, vous devez vous assurer que votre SMSI est pleinement mature et couvre tous les domaines potentiels de risque technologique.

Le processus de certification ISO 27001 est généralement divisé en trois phases:

  1. Lorganisation engage un organisme de certification qui procède ensuite à un examen de base du SMSI pour rechercher les principaux formes de documentation.
  2. Lorganisme de certification effectue un audit plus approfondi où les composants individuels dISO 27001 sont comparés au SMSI de lorganisation. Il faut prouver que les politiques et procédures sont suivies de manière appropriée. Lauditeur principal est chargé de déterminer si la certification est obtenue ou non.
  3. Des audits de suivi sont programmés entre lorganisme de certification et lorganisation pour sassurer que la conformité est maintenue sous contrôle.

Que sont les normes ISO 27001?

Avant de se lancer dans une tentative de certification ISO 27001, toutes les parties prenantes clés au sein dune organisation doivent se familiariser avec la manière dont la norme est organisée et utilisée. ISO 27001 est divisée en 12 sections distinctes:

  1. Introduction – décrit ce quest la sécurité de linformation et pourquoi une organisation doit gérer les risques.
  2. Portée – couvre les exigences de haut niveau pour un Le SMSI doit sappliquer à tous les types ou organisations.
  3. Références normatives – explique la relation entre les normes ISO 27000 et 27001.
  4. Termes et définitions – couvre la terminologie complexe utilisée dans la norme .
  5. Contexte de lorganisation – explique quelles parties prenantes devraient être impliquées dans la création et la maintenance du SMSI.
  6. Leadership – décrit comment les dirigeants de lorganisation doivent sengager à respecter les politiques et procédures du SMSI .
  7. Planification – décrit comment la gestion des risques doit être planifiée dans l’ensemble de l’organisation.
  8. Assistance – décrit comment sensibiliser à la sécurité des informations et attribuer les responsabilités.
  9. Operation – couvre comment les risques doivent être gérés et comment la documentation sh devrait être effectuée pour répondre aux normes daudit.
  10. Évaluation de la performance – fournit des directives sur la façon de surveiller et de mesurer la performance du SMSI.
  11. Amélioration – explique comment le SMSI doit être continuellement mis à jour et amélioré, en particulier après les audits.
  12. Objectifs et contrôles de contrôle de référence – fournit une annexe détaillant les différents éléments dun audit.

Que sont les contrôles daudit ISO 27001?

La documentation pour ISO 27001 décompose les meilleures pratiques en 14 contrôles distincts. Les audits de certification couvriront les contrôles de chacun lors des contrôles de conformité. Voici un bref résumé de chaque partie de la norme et de la manière dont elle se traduira par un audit réel:

  1. Politiques de sécurité de linformation – couvre la manière dont les politiques doivent être rédigées dans le SMSI et examinées pour leur conformité . Les auditeurs chercheront à voir comment vos procédures sont documentées et revues régulièrement.
  2. Organisation de la sécurité de linformation – décrit les parties dune organisation qui devraient être responsables de quelles tâches et actions. Les auditeurs sattendront à voir un organigramme clair avec des responsabilités de haut niveau basées sur le rôle.
  3. Sécurité des ressources humaines – explique comment les employés doivent être informés sur la cybersécurité lorsquils commencent, quittent ou changent de poste. Les auditeurs voudront voir des procédures clairement définies pour lintégration et la sortie en matière de sécurité des informations.
  4. Gestion des actifs – décrit les processus impliqués dans la gestion des actifs de données et comment ils doivent être protégés et sécurisés. Les auditeurs vérifieront comment votre organisation assure le suivi du matériel, des logiciels et des bases de données. Les preuves doivent inclure tous les outils ou méthodes courants que vous utilisez pour garantir lintégrité des données.
  5. Contrôle daccès – fournit des conseils sur la manière dont laccès des employés doit être limité à différents types de données. Les auditeurs devront recevoir une explication détaillée de la manière dont les privilèges daccès sont définis et qui est responsable de leur maintenance.
  6. Cryptographie – couvre les meilleures pratiques en matière de chiffrement. Les auditeurs rechercheront les parties de votre système qui gèrent les données sensibles et le type de cryptage utilisé, comme DES, RSA ou AES.
  7. Sécurité physique et environnementale – décrit les processus de sécurisation des bâtiments et des équipements internes. Les auditeurs vérifieront toute vulnérabilité sur le site physique, y compris la manière dont laccès est autorisé aux bureaux et aux centres de données.
  8. Sécurité des opérations – fournit des conseils sur la façon de collecter et de stocker des données en toute sécurité, un processus qui a pris de nouvelles urgence grâce à ladoption du règlement général sur la protection des données (RGPD) en 2018. Les auditeurs demanderont à voir des preuves des flux de données et des explications sur lendroit où les informations sont stockées.
  9. Sécurité des communications – couvre la sécurité de toutes les transmissions dans réseau dune organisation. Les auditeurs sattendront à voir un aperçu des systèmes de communication utilisés, tels que le courrier électronique ou la vidéoconférence, et la manière dont leurs données sont protégées.
  10. Acquisition, développement et maintenance de systèmes – détaille les processus de gestion des systèmes dans un environnement sécurisé. Les auditeurs voudront des preuves que tout nouveau système introduit dans lorganisation respecte des normes de sécurité élevées.
  11. Relations avec les fournisseurs – couvre la manière dont une organisation doit interagir avec des tiers tout en garantissant la sécurité. Les auditeurs examineront tous les contrats avec des entités extérieures susceptibles davoir accès à des données sensibles.
  12. Gestion des incidents de sécurité de linformation – décrit les meilleures pratiques pour répondre aux problèmes de sécurité. Les auditeurs peuvent demander à exécuter un exercice dincendie pour voir comment la gestion des incidents est gérée au sein de lorganisation. Cest là que le fait de disposer dun logiciel tel que SIEM pour détecter et classer les comportements anormaux du système savère utile.
  13. Aspects de la sécurité de linformation de la gestion de la continuité des activités – couvre la manière dont les interruptions dactivité et les changements majeurs doivent être gérés. Les auditeurs peuvent poser une série de perturbations théoriques et sattendront à ce que le SMSI couvre les étapes nécessaires pour sen remettre.
  14. Conformité – identifie les réglementations gouvernementales ou industrielles pertinentes pour lorganisation, telles que lITAR. Les auditeurs voudront voir des preuves de la conformité totale dans tous les domaines dans lesquels lentreprise opère.

Une erreur commise par de nombreuses organisations est de confier toutes les responsabilités de la certification ISO à léquipe informatique locale. Bien que la technologie de linformation soit au cœur de la norme ISO 27001, les processus et procédures doivent être partagés par toutes les parties de lorganisation. Ce concept est au cœur de lidée de faire la transition de devops vers devsecops.

Lors de la préparation dun audit de certification ISO 27001, il est recommandé de demander laide dun groupe extérieur ayant une expérience de conformité. Par exemple, le groupe Varonis a obtenu la certification ISO 27001 complète et peut aider les candidats à préparer les preuves requises à utiliser lors des audits. Varonis propose également des solutions logicielles telles que Datalert pour aider à mettre en pratique le SMSI dune organisation.

Conseils pour maintenir la conformité ISO 27001

Obtenir une première certification ISO 27001 nest que la première étape pour être pleinement conforme. Le maintien des normes élevées et des meilleures pratiques est souvent un défi pour les organisations, car les employés ont tendance à perdre leur diligence après la fin dun audit. Il est de la responsabilité de la direction de s’assurer que cela ne se produit pas.

Étant donné la fréquence à laquelle les nouveaux employés rejoignent une entreprise, l’organisation devrait organiser des sessions de formation trimestrielles afin que tous les membres comprennent le SMSI et son utilisation. Les employés existants devraient également être tenus de passer un test annuel qui renforce les objectifs fondamentaux dISO 27001.

Afin de rester conformes, les organisations doivent mener leurs propres audits internes ISO 27001 une fois tous les trois ans. Les experts en cybersécurité recommandent de le faire chaque année afin de renforcer les pratiques de gestion des risques et de rechercher les lacunes ou les lacunes. Des produits comme Datadvantage de Varonis peuvent aider à rationaliser le processus daudit du point de vue des données.

Un groupe de travail ISO 27001 devrait être formé avec des parties prenantes de toute lorganisation. Ce groupe devrait se réunir une fois par mois pour examiner les problèmes en suspens et envisager des mises à jour de la documentation du SMSI. Lun des résultats de ce groupe de travail devrait être une liste de contrôle de conformité comme celle présentée ici:

  1. Obtenir le soutien de la direction pour toutes les activités ISO 27001.
  2. Traiter la conformité ISO 27001 comme une
  3. Définissez le champ dapplication de lISO 27001 aux différentes parties de votre organisation.
  4. Rédigez et mettez à jour la politique SMSI, qui décrit votre stratégie de cybersécurité à un niveau élevé.
  5. Définir la méthodologie dévaluation des risques pour capturer la manière dont les problèmes seront identifiés et traités.
  6. Effectuer une évaluation et un traitement des risques sur une base régulière une fois que les problèmes ont été découverts.
  7. Rédigez une déclaration dapplicabilité pour déterminer quels contrôles ISO 27001 sont applicables.
  8. Rédigez un plan de traitement des risques afin que toutes les parties prenantes sachent comment les menaces sont atténuées. Lutilisation de la modélisation des menaces peut aider à réaliser cette tâche.
  9. Définir la mesure des contrôles pour comprendre comment les meilleures pratiques ISO 27001 fonctionnent.
  10. Mettre en œuvre tous les contrôles et procédures obligatoires comme indiqué dans lISO Norme 27001.
  11. Mettez en œuvre des programmes de formation et de sensibilisation pour toutes les personnes de votre organisation qui ont accès à des actifs physiques ou numériques.
  12. Faites fonctionner le SMSI dans le cadre de la routine quotidienne de votre organisation.
  13. Surveillez le SMSI pour savoir sil est utilisé efficacement.
  14. Exécutez des audits internes pour évaluer votre conformité continue.
  15. Passez en revue les résultats des audits avec la direction.
  16. Définissez des actions correctives ou préventives si nécessaire.

Guide rapide ISO 27001: FAQ

Le processus et la portée de la certification ISO 27001 peuvent être assez décourageants, alors couvrons quelques questions fréquemment posées.

Q: Quelles sont les exigences ISO 27001?

R: Pour obtenir une certification ISO 27001, une organisation doit maintenir un SMSI qui couvre tous les aspects de la norme. Après cela, ils peuvent demander un audit complet à un organisme de certification.

Q: Que signifie être certifié ISO 27001?

R: Être certifié ISO 27001 signifie que votre lorganisation a réussi laudit externe et satisfait à tous les critères de conformité. Cela signifie que vous pouvez désormais annoncer votre conformité pour améliorer votre réputation en matière de cybersécurité.

Q: Quelle est la dernière norme ISO 27001?

R: La dernière norme est officiellement connue sous le nom dISO / CEI 27001: 2013. Elle a été publiée en 2013 en tant que deuxième édition officielle dISO 27001. La norme a été révisée et confirmée pour la dernière fois en 2019, ce qui signifie quaucune modification na été nécessaire.

Q: La norme ISO 27001 est-elle conforme au RGPD?

R: Parce quISO 27001 est principalement un cadre de développement dun SMSI, elle ne couvrira pas toutes les règles spécifiques du Règlement Général sur la Protection des Données (RGPD) institué par lUnion Européenne. Cependant, lorsquelle est associée à ISO 27701, qui couvre la mise en place dun système de confidentialité des données, les organisations seront en mesure de répondre pleinement aux exigences spécifiées dans le RGPD.

Q: Quelles sont les principales similitudes ou différences entre SOX et ISO 27001?

R: Alors que lISO 27001 couvre la gestion générale des informations et des données, la loi Sarbanes – Oxley (SOX) est spécifique à la manière dont les informations financières sont divulguées aux États-Unis. Heureusement pour les entreprises qui ont un large champ de gestion des données, lobtention de la certification ISO 27001 aidera également à prouver la conformité aux normes SOX.

Q: À quoi servent les autres ISO?

R: LISO maintient un ensemble complet de normes qui se situent sous ISO 27001. Elles prennent toutes des concepts du cadre et plongent dans des directives plus spécifiques sur la façon dinstaurer les meilleures pratiques au sein dune organisation.

Ressources

  • Livre vert sur la manière dont la norme ISO 27001 peut réduire les cyberrisques
  • Webinaire sur la façon de garantir un audit ISO 27001 réussi
  • Études de cas sur la conformité ISO 27001

Quelle que soit la taille de votre entreprise ou le secteur dans lequel vous travaillez, obtenir la certification ISO 27001 peut être une énorme victoire. Cependant, il s’agit d’une tâche difficile, il est donc important de tirer parti d’autres parties prenantes et ressources au cours d’un projet de conformité. Avec des outils tels que Varonis Edge, vous pouvez arrêter les cyberattaques avant quelles natteignent votre réseau tout en montrant également la preuve de votre conformité ISO 27001.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *