Publié le 6 décembre 2016 par Karen Walsh • 2 min de lecture
Le cadre ISO est l’un des les bases de la sécurité de l’information et ses contrôles. Alors que de nombreux gestionnaires se concentrent sur les ordinateurs et leurs contrôles, les principes de gestion des risques de la norme ISO 27001 changent la façon dont vous devez aborder la conformité. Cette focalisation sur le côté technologique peut souvent conduire à un écart de conformité. Vous êtes nouveau dans la gestion des logiciels de conformité ISO? Vous trouverez ci-dessous une compréhension de base de la norme ISO 27001 et quelques conseils pour atteindre la conformité.
Qu’est-ce que la norme ISO 27001?
Les ISO sont des normes internationalement reconnues pour la sécurité de l’information. ISO 27001 crée un ensemble de règles donnant aux managers des étapes discrètes à suivre. Ces étapes organisent leurs systèmes d’information et garantissent une conformité continue en matière de sécurité. Étant donné que les ISO ne sont pas réglementés par une seule entité gouvernementale, les entreprises choisissent spécifiquement de s’engager dans la conformité et la certification pour renforcer leurs normes de sécurité. Ces actions sont importantes car elles contribuent à accroître la confiance des clients.
L’Organisation internationale des normes (ou «ISO») a développé le / et le définit comme une «famille de normes qui aideront votre organisation à gérer la sécurité des actifs tels en tant qu’informations financières, propriété intellectuelle, coordonnées des employés ou informations qui vous sont confiées par des tiers. » En d’autres termes, la norme ISO 27001 couvre non seulement les informations internes d’une entreprise, mais également les fournisseurs tiers. Étant donné que l’ISO 27001 est un document évolutif, elle évolue continuellement pour répondre aux nouveaux besoins d’information. Ces mises à jour fournissent des conseils continus pour répondre aux problèmes de sécurité continus.
Pourquoi ISO 27001?
La plupart des entreprises utilisent des processus et des procédures pour créer de la cohérence et contrer les changements de gestion et de dotation en personnel. Cependant, avec cette définition large, de nombreuses organisations peuvent se sentir dépassées à l’idée de se lancer dans le processus de certification. Anthony Jones de IS Partners, LLC note que seulement un tiers environ des entreprises au courant de la norme choisissent de l’adopter. La certification ISO est un processus long et détaillé. Cependant, le coût du processus de certification en termes de temps et d’énergie en cours est égal ou inférieur à celui de la non-conformité.
Pour les RSSI, une certification ISO offre avant tout l’avantage d’un suivi continuellement mis à jour. Plutôt que d’avoir à rechercher les informations par eux-mêmes, les RSSI obtiennent des notifications mises à jour des modifications de leur organisme de certification. De plus, les étapes de certification ainsi que les revues d’audit de conformité nécessitent des évaluations des risques. Celles-ci se concentrent sur la gestion du risque documenté plutôt que sur le risque perçu.
Pourquoi pas ISO 270001?
Une certification ISO 27001 nécessite beaucoup d’informations, de temps, d’efforts et de main-d’œuvre. De nombreux RSSI craignent que l’échec d’un audit ISO 27001 n’entraîne une perte de confiance des clients. Cependant, indépendamment du fait qu’une entreprise demande officiellement ou non la certification ISO, elle utilise souvent plusieurs des mêmes processus et procédures. Les entreprises suivent ces protocoles parce que l’industrie les reconnaît comme des normes.
À l’ISO ou pas à l’ISO? Telle est la question
De nombreux responsables de la conformité associent la conformité ISO 27001 au look de nez ridé qui accompagne souvent un vieux sandwich au thon. En effet, ces gestionnaires ont une manière obsolète et obsolète de gérer un audit ISO. Heureusement pour les équipes de conformité, le moment est venu de repenser la manière de procéder. Une certification ISO n’a pas à être pénible à obtenir. Avec le logiciel et le processus d’audit ISO appropriés, les équipes de conformité peuvent désormais obtenir une certification ISO et protéger à la fois l’entreprise et le client à long terme.