Vers un renforcement du Système de Management de la Sécurité de l’Information ISO/CEI 27001
Par Benjamin Ramires
ramires.benjamin@protonmail.com
Posté le: 23/08/2022 14:31
Son processus permet de sécuriser les échanges et également leur système de management via des processus de validation et d’amélioration continue. De plus avec l’essor de certaines technologies algorithmiques et de chiffrage (SHA 256), il sera possible de rendre les opérations moins énergivores. Le secteur de la GREEN TECH touche donc également le processus de la norme ISO/CEI 27001.
L’implémentation d’un système de management de la sécurité de l’information ISO/CEI 27001 présente un fort avantage concurrentiel pour les entreprises qui peuvent ainsi démontrer à leurs clients et à leurs partenaires que la sécurité de leurs informations est maitrisée et mise à jour via les exigences de sécurité nécessaire. De plus en plus d’entreprise en France notamment renforce leur dispositif d’implémentation avec pour nécessité une sécurité renforcé des échanges et une meilleure sécurité des produits et donc de l’activité.
L’amélioration du traitement du risque, de la sécurité et de la qualité des informations sont essentielles à la pérennité de l’entreprise. Ce cercle vertueux permet donc une confiance renforcée et une activité accrue dans un ensemble de secteurs de plus en plus vaste. A l’instar des hôpitaux qui doivent rattraper, en France un retard considérable en matière de sécurité des échanges via ce prisme de norme.
Les différentes étapes du processus
• L’analyse d’écarts
• La mise en conformité
• L’audit à blanc
• La certification par un tiers accrédité
L’analyse permet de formaliser et synthétiser le niveau de conformité de l’organisme ; de définir et prioriser les actions à mettre en œuvre pour atteindre la conformité à l’ISO/CEI 27001.
Enfin, l’action permet d’estimer la charge nécessaire en interne et en externe pour la réalisation de ses actions.
Le livrable est un document présentant
• les résultats détaillés de l’audit sur chaque point des chapitres 4 à 10 de la norme ISO/CEI 27001 en intégrant le niveau d’implémentation et les justifications associées
• la sélection des mesures de sécurité applicables à l’organisme (Annexe A de la norme ISO/CEI 27001) ;
• les résultats détaillés de l’audit sur chacune des 114 mesures de sécurité de l’annexe A de la norme ISO/CEI 27001 en intégrant le niveau d’implémentation et les justifications associées ;
• les résultats synthétiques de l’audit ;
• les conclusions des auditeurs relatives à l’implémentation du Système de Management de la Sécurité de l’Information (ISO/CEI 27001) ;
• les conclusions des auditeurs relatives à l’implémentation des mesures de sécurité (Annexe A de l’ISO/CEI 27001) ;
• le plan d’actions pour atteindre la conformité à la norme ISO/CEI 27001 ;
• la conclusion générale des auditeurs.
La mise en conformité avec la norme ISO/CEI 27001
L’identification des actions d’implémentation propre à la norme ISO/CEI 27001 sera le corollaire de « l’analyse d’écarts », réalisée lors de la première étape.
Le projet de mise en œuvre d’un Système de Management de la Sécurité de l’Information s’appuie entre autres sur la mise en place des mesures de l’annexe A de la norme ISO/CEI 27001, notamment :
• Assurer la disponibilité des informations et des services.
• Sécuriser l’intégrité des données critiques.
• Garantir la confidentialité des données sensibles ou des données clients.
• Assurer la disponibilité et la conformité des preuves légales et autres.