Accompagnement à la certification 27001
AlgoSecure vous accompagne dans la mise en oeuvre d'un Système de Management de la Sécurité de l'Information ISO 27001 sur un périmètre précis ainsi que sur sa certification. Nos consultants certifiés ISO 27001 (Lead Implementer et Lead Auditor) sont à la disposition de nos clients pour les accompagner dans leur projet.
Qu'est-ce que l'ISO 27001 ?
ISO 27001, ou plus précisément ISO/CEI 27001, fait partie de la famille des normes ISO 27000 dont elle est la plus connue. Concrètement, cette norme internationale de l'ISO et de la CEI met en place des exigences strictes en matière de Systèmes de Management de la Sécurité des Informations, dits "SMSI" ou ISMS, pour "Information Security Management System".
La grande caractéristique d'ISO/CEI 27001 est qu'elle traite la sécurité par les risques. En d'autres termes, en se faisant certifier ISO 27001, une organisation démontre qu'elle a identifié les risques de sécurité qui pourraient l'affecter et menacer ses données sensibles, et qu'elle a pris les mesures oranisationnelles nécessaires pour gérer ces risques.
Quelles sont les grandes lignes de mise en place ?
La certification ISO 27001 commence par la définition du SMSI selon les besoins de l'organisation, à travers la réalisation d'une étude des risques qui pèsent sur les données sensibles comprises dans ce périmètre d'intervention. Notons que l'étude est réalisée à la fois au niveau micro et macro. Elle concerne également l'environnement dans lequel évolue l'organisation en question. Après identification des risques, on détermine le ratio entre la probabilité que l'événement se réalise et son impact. Cela permet de choisir les mesures de protection adéquates, énumérées dans la norme ISO 27002.
En mettant en oeuvre les normes d'ISO 27001 (et des autres normes de la famille ISO 27000 par extension), une entreprise gère efficacement les risques pesant sur ses actifs sensibles comme les informations relatives à son personnel, ses données financières ou encore les documents de propriété intellectuelle.
Comment vous accompagnons-nous ?
Pour vous accompagner à la certification, l'équipe de projet s'appuie sur les éléments suivants :
- le chef de projet de Algosecure (consultant senior)
- des consultants de Algosecure (certifiés ISO 27001)
- le responsable de projet du client
- les acteurs du périmètre concerné chez le client
L'objectif de cette phase est d'évaluer le niveau de maturité et la faisabilité du projet.
- Interview des principaux acteurs de la société : DG, DAF, DSI...
- Définition du périmêtre du SMSI
- État des lieux
- Production et restitution d'un plan projet (durée, charges, délais, budget)
La phase 2 est la réalisation du plan projet issu de la phase 1.
Étape 2.1 : Analyse de l'existant
L'objectif de cette phase est d'analyser finement l'existant et d'apprécier les risques sur le périmètre retenu.- Étude détaillée du contexte : besoins, contraintes et objectifs
- Étude des mesures de sécurité existantes et des vulnérabilités
- Analyse de risques
Étape 2.2 : Mise en œuvre du SMSI
L'objectif de cette phase est de construire le SMSI.- Définition de l'organisation et des ressources
- Choix de Traitement des Risques
- Sélection de mesures de réduction des risques, et Déclaration d'Applicabilité
- Définition du plan d'actions afférant à la mise en place des mesures
- Définition des Procédures de Gestion du SMSI
- Choix et définition des indicateurs
- Mise en œuvre de la gestion du SMSI
- Rédaction de la PGSSI et de la PSSI
Étape 2.3 : Suivi et amélioration continue du SMSI
L'objectif de cette phase est de dérouler le plan d'actions et de mettre en oeuvre les outils de suivi et de pilotage.- Formation et sensibilisation du personnel
- Suivi de l'avancement des tâches
- Audits internes
- Revues de direction
- Aide au choix de l'organisme de certification
Étape 2.4: Audit blanc de certification
L'objectif de cette phase est de construire le SMSI.- L'objectif de cette phase est d'optimiser les chances de succès à la certification.
- Réalisation de l'audit blanc
- Proposition de traitement des écarts identifiés
- Remontée du bilan au comité de pilotage
Étape 2.5 : Certification ISO-27001
- Coordination avec l'organisme de certification
- Assistance lors de l'audit
- Réponse éventuelle aux non conformités
L'objectif est de conserver la certification.
- Mise à jour de l'analyse de risques
- Révision des politiques et procédures
- Déploiement du plan d'actions annuel
- Formations
- Audit interne
Que vous apporte l'intégration de la norme ISO 27001 ?
- La garantie d'une sécurité maîtrisée
- Le contrôle de la sécurité de l'entreprise et l'optimisation des budgets de sécurité
- La conformité aux exigences réglementaires
- L'augmentation de vos parts de marché
- Une meilleure attractivité de votre entreprise
Nous sommes certifiés ISO 27001:2013 !
Parallèlement à notre qualification PASSI, nous avons fait le choix de passer la certification ISO 27001 sur le périmètre de notre infrastructure depuis lequel nous effectuons nos audits PASSI. D'une part, cette certification permet d'élever encore plus notre niveau de sécurité, non seulement d'un point de vue technique, mais aussi et surtout d'un point de vue organisationnel et gestion des processus. D'autre part, cela permet de démontrer que nous appliquons à nous-même les conseils que nous prodiguons à nos clients. L'obtention de cette certification est le fruit de plusieurs mois de travail, mais le jeu en vaut la chandelle pour nous permettre de protéger encore mieux les données sensibles que nous pouvons être amenés à manipuler.
Spécialistes en sécurité informatique à Lyon, Paris, Saint-Étienne et partout en France
Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.