La sécurité de l'information avec un système
Une sécurité des données et des informations démontrable
La sécurité de l'information comme élément de la culture d'entreprise
Mise en œuvre efficace d'un processus de gestion des risques
Amélioration continue du niveau de sécurité de vos informations

Qu'est-ce que la norme ISO 27001?
L'information nous entoure partout et fait partie de chaque processus. Parfois, ces informations sont anodines, mais trop souvent, elles sont critiques et confidentielles. Pour faire cette distinction importante pour votre organisation, il est nécessaire de classer les informations. En fait, les mesures techniques et organisationnelles d'un système de gestion de la sécurité de l'information (SGSI) selon la norme ISO/IEC 27001 sont basées sur cette classification.
Un SGSI crée le cadre pour la protection des données opérationnelles et leur confidentialité. Votre organisation est mieux armée contre les éventuelles cyberattaques grâce à la mise en œuvre des 93 points de contrôle de l'annexe A de la norme ISO 27001. Dans ce contexte, la certification ISO 27001 envoie un signal fort au marché : à savoir qu'une évaluation externe indépendante confirme l'efficacité de votre SMSI.

À qui s'adresse la certification ISO 27001?
En Europe, par exemple, les entreprises appartenant à un secteur d'infrastructures critiques (NIS) et dépassant un certain seuil doivent démontrer comment elles assurent la sécurité de leurs informations. Les secteurs des NEI comprennent l'énergie, l'eau, la santé, la finance et l'assurance, l'alimentation, les transports et la circulation, les technologies de l'information et les télécommunications. La preuve de la mise en œuvre peut être fournie par des audits de sécurité, des tests ou des certifications. À cette fin, des normes reconnues telles que la norme ISO 27001 peuvent servir de base aux audits.

En quoi la norme ISO 27001 est-elle utile pour mon entreprise ?
Outre la partie des exigences axée sur le système de gestion (chapitres 4 à 10), la norme ISO contient une liste complète de 35 objectifs (contrôles) avec 93 mesures techniques et organisationnelles concrètes, divisées en quatre domaines. Ces domaines sont les mesures organisationnelles, les mesures axées sur les personnes, les mesures physiques et les mesures techniques.
Il est prouvé que l'alignement cohérent des processus d'entreprise sur la norme ISO 27001 entraîne un certain nombre d'avantages:
- Amélioration continue du niveau de sécurité de l'information
- Réduction des cyberrisques existants
- Respect des exigences de conformité
- Sensibilisation accrue des employés
- Une plus grande confiance des clients dans la sécurité de vos données
- Moins de temps passé à remplir de longs questionnaires
Les audits internes et les revues de direction avec la participation de la direction générale sont les leviers internes pour y parvenir.
Autre aspect positif : les parties prenantes telles que les organismes de réglementation, les compagnies d'assurance, les banques et les entreprises partenaires accordent une plus grande confiance à votre entreprise. Après tout, un système de gestion certifié indique que votre organisation traite les risques de manière structurée et s'efforce de s'améliorer continuellement (CIP) dans le domaine de la sécurité de l'information.

Le lien entre la législation et l'ISO 27001
NISLa législation des NEI qui impose un niveau minimum de sécurité aux exploitants d'infrastructures critiques dans les secteurs de l'énergie, de l'eau, de la santé, de la finance et des assurances, de l'alimentation, du transport et de la circulation, des technologies de l'information et des télécommunications. Ici, la norme ISO 27001 est utilisée, complétée par des exigences spécifiques au secteur.
NIS-2Alors que la NIS se concentrait sur les organismes publics nationaux, la NIS-2 est allée plus loin en exigeant des entreprises privées qu'elles mettent également en œuvre un niveau minimal de cybersécurité. Dans ce contexte, la norme ISO 27001 constitue une base idéale pour assurer la sécurité des informations de manière structurelle.
Digital Services ActL'ASD vise à renforcer le marché en ligne en créant des conditions de concurrence équitables pour les services numériques et en protégeant les droits des utilisateurs. L'ASD vise à rendre le marché en ligne plus transparent et à faire en sorte que les services et plateformes numériques assument la responsabilité du contenu qu'ils fournissent.
Dans le contexte de l'ASD, une organisation offrant des services numériques peut utiliser la norme ISO 27001 comme ligne directrice pour la mise en œuvre d'un SMSI et la gestion des risques liés à la sécurité de l'information. L'AVD fixe les exigences relatives aux responsabilités des services et plateformes numériques en ce qui concerne la sécurité des données personnelles et le respect des lois et règlements en matière de sécurité de l'information. Si une organisation répond aux exigences de la norme ISO 27001, elle peut aider à assumer ces responsabilités.

Quelle est la durée de validité d'un certificat ISO 27001?

Qui est autorisé à effectuer la certification selon la norme ISO 27001 ?
En outre, ISO/IEC 27006 définit des exigences strictes auxquelles les organismes de certification doivent se conformer afin de certifier un SMSI selon ISO 27001.
Ces exigences comprennent
- La preuve d'un effort d'audit spécifié
- Des exigences relatives à la qualification des auditeurs
DQS est accrédité par l'organisme national d'accréditation allemand DakkS (Deutsche Akkreditierungsstelle GmbH) et est donc autorisé à effectuer des audits et des certifications selon la norme ISO 27001.
Quel que soit le secteur dans lequel votre entreprise opère, vous pouvez compter sur l'expertise distinctive des auditeurs de DQS. Ils ont de nombreuses années d'expérience dans l'évaluation des systèmes de gestion de la sécurité de l'information dans divers secteurs.

Comment fonctionne la certification ISO 27001 ?
Une fois que toutes les exigences de la norme ISO 27001 ont été mises en œuvre, vous pouvez faire certifier votre système de gestion. Vous passerez par un processus de certification en plusieurs étapes chez DQS. Si un système de gestion certifié est déjà établi dans l'entreprise, le processus peut être raccourci.
Lors de la première étape, nous discutons de votre entreprise et des objectifs de la certification ISO 27001. Sur cette base, vous recevrez une offre détaillée adaptée aux besoins individuels de votre entreprise.
L'audit de certification commence par l'analyse et l'évaluation de votre SGSI (étape 1 de l'audit). Ici, votre auditeur détermine si votre système de gestion est suffisamment développé et prêt pour la certification. Dans l'étape suivante (audit du système, étape 2), votre auditeur évalue l'efficacité de tous les processus de gestion sur le site, en appliquant la norme ISO 27001. Le résultat de l'audit est présenté lors d'une réunion finale. Si nécessaire, des plans d'action sont convenus.
Après l'audit de certification, les résultats sont évalués par le comité de certification indépendant de DQS. Si toutes les exigences de la norme sont respectées, vous recevrez le certificat ISO 27001.
Après une certification réussie, les composants clés de votre SMSI sont ré-audités sur site au moins une fois par an pour garantir une amélioration continue.
Le certificat ISO 27001 est valable pour une durée maximale de trois ans. La recertification est effectuée en temps utile avant l'expiration du certificat pour garantir la conformité continue aux exigences de la norme applicable. En cas de conformité, un nouveau certificat est délivré.

Quel est le coût de la certification ISO 27001 ?
Les coûts de la certification selon la norme ISO 27001 sont établis, entre autres, en fonction des quatre critères suivants :
1. La complexité de votre système de gestion de la sécurité de l'information
Les valeurs critiques (par exemple brevets, données personnelles, installations, processus) de votre entreprise sont prises en compte. Le coût de la certification est basé principalement sur les exigences en matière de sécurité de l'information et sur la mesure dans laquelle la confidentialité, l'intégrité et la disponibilité (VIV) des informations sont affectées.
2. L'activité principale de votre entreprise dans le cadre du SGSI
À ce stade, les risques associés à vos processus d'affaires en particulier jouent un rôle important dans la détermination de l'effort d'audit nécessaire. Les exigences légales sont prises en compte ainsi que les exigences complexes et individuelles des clients.
3. Les principales technologies et composantes utilisées dans votre SGSI
Au cours de l'audit, la technologie ainsi que les composants individuels de votre SGSI sont examinés. Il s'agit notamment des plateformes informatiques, des serveurs, des bases de données, des applications ainsi que des segments de réseau. La règle de base est la suivante : Plus la proportion de systèmes standard est élevée et plus la complexité de votre informatique est faible, moins l'effort sera important. Les coûts d'une certification ISO 27001 en dépendent également.
4 La proportion de développements internes dans votre SGSI
S'il n'y a pas de développement interne et que vous utilisez principalement des plateformes logicielles standardisées, l'effort d'une évaluation est moindre. Si votre SGSI est caractérisé par une utilisation intensive de logiciels développés en interne et si ces logiciels sont utilisés pour des secteurs d'activité centraux, l'effort de certification sera plus élevé.
Afin de pouvoir vous donner un aperçu des coûts d'une certification ISMS, nous avons besoin au préalable d'informations précises sur votre modèle d'entreprise et votre domaine d'application. Nous pourrons ainsi vous proposer une offre sur mesure.
