L'industrie 4.0, dite quatrième révolution industrielle, est synonyme de mise en réseau intelligente du développement, de la production, de la logistique et des clients. Elle représente une multitude d'informations et de données qui ont souvent une valeur existentielle pour les organisations. Protéger leur disponibilité, leur intégrité et leur confidentialité est une tâche centrale. La sécurité de l'information englobe toutes les mesures qui permettent de prendre conscience des risques existants, de les identifier et de prendre des mesures appropriées et adéquates pour les protéger.

Sécurité de l'information - Questions et réponses sur l'ISO 27001

En raison d'une sécurité insuffisante dans le traitement de l'information, l'économie allemande subit à elle seule des dommages se chiffrant en milliards d'euros chaque année. Les raisons en sont complexes et vont des perturbations externes aux erreurs techniques, en passant par l'espionnage industriel et l'utilisation abusive d'informations par d'anciens employés. Mais seuls ceux qui reconnaissent les enjeux peuvent également prendre des mesures appropriées. Un système de management de la sécurité de l'information bien structuré, conforme à la norme ISO 27001 internationalement reconnue, constitue une base optimale pour la mise en œuvre efficace d'une stratégie de sécurité globale. Qu'est-ce que cela signifie exactement et que faut-il prendre en compte ? Trouvez ici les réponses aux questions importantes sur la norme ISO 27001.

CONTENU

  • Qu'est-ce que la sécurité de l'information ?
  • Quels sont les objectifs de protection de la sécurité de l'information ?
  • Qu'est-ce qu'un système de management de la sécurité de l'information ?
  • Pour quelles organisations la norme ISO 27001 est-elle utile ?
  • Quels sont les avantages d'un système de management de la sécurité de l'information ?
  • Quel est le rôle des personnes ?
  • ISO 27001 - Questions sur l'introduction
  • Pourquoi la certification ISO 27001 ?
  • DQS - Ce que nous pouvons faire pour vous

Qu'est-ce que la sécurité de l'information ?

La réponse à cette question est assez simple au regard de la famille internationale des normes de sécurité de l'information ISO 2700x :

"L'information est une donnée qui a une valeur pour l'organisme".

ISO/IEC 27000:2020-06 : Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Vue d'ensemble et vocabulaire

Vous voyez, l'information est un bien qui ne doit pas tomber entre les mains de personnes non autorisées, et qui nécessite une protection appropriée.

La sécurité de l'information est donc tout ce qui a trait à la protection du patrimoine informationnel de votre entreprise. Le facteur décisif est de connaître les risques qui existent dans le contexte de l'entreprise, de les découvrir et de les contrer par des mesures appropriées en fonction des besoins.

" La sécurité de l'information n'est pas la sécurité informatique "

La sécurité informatique fait uniquement référence à la sécurité des technologies déployées et non aux actifs de l'entreprise à protéger. Les préoccupations organisationnelles, par exemple les autorisations d'accès, les responsabilités ou les procédures d'approbation, ainsi que les aspects psychologiques, jouent également un rôle essentiel dans la sécurité de l'information. Cependant, un système d'information sécurisé protège également les informations de l'entreprise.

Quels sont les objectifs de protection de la sécurité de l'information ?

Selon la norme internationale ISO/IEC 27001, les objectifs de protection de la sécurité de l'information comprennent trois aspects principaux :

  • Confidentialité - protection des informations confidentielles contre tout accès non autorisé, que ce soit pour des raisons de lois sur la protection des données ou sur la base de secrets commerciaux couverts par exemple par une loi sur les secrets commerciaux ( ). C'est le niveau de confidentialité qui est pertinent ici.
  • Intégrité - minimiser les risques, garantir l'exhaustivité et la fiabilité de toutes les données et informations.
  • Disponibilité - garantir l'accès et la possibilité d'utilisation des informations, des bâtiments et des systèmes pour les personnes autorisées. Ceci est essentiel pour le maintien des processus.

Sécurité de l'information certifiée selon la norme ISO 27001

Protégez vos informations avec un système de management conforme aux normes internationales ✓ DQS offre plus de 35 ans d'expérience en matière de certification ✓.

Questions clés sur la sécurité de l'information

  • Quelles sont les valeurs de mon entreprise ?
  • Quelles sont les valeurs de l'entreprise qui doivent être protégées ?
  • À quelles attaques les actifs de l'entreprise sont-ils exposés ?
  • Qui a intérêt à protéger ces informations ?
  • Quelles sont les mesures appropriées ?

Qu'est-ce qu'un système de management de la sécurité de l'information ?

Un système de management de la sécurité de l'information (SGSI) conforme à la norme ISO/CEI 27001 définit des lignes directrices, des règles et des méthodes pour assurer la sécurité des informations dignes d'être protégées dans une organisation. Il fournit un modèle pour l'introduction, la mise en œuvre, la surveillance et l'amélioration du niveau de protection - conformément à la procédure systématique du cycle PDCA (Plan-Do-Check-Act) connu de l'ISO 9001.

L'objectif est d'identifier et d'analyser les risques potentiels et de les rendre maîtrisables par des mesures appropriées.

Pourquoi le management de la sécurité de l'information est-il important ?

Les organisations qui réussissent utilisent la structure et la transparence des systèmes de management modernes pour détecter les menaces et cibler le déploiement de systèmes de sécurité contemporains. Au cœur d'un système de management de la sécurité de l'information se trouve la sécurité de vos propres actifs informationnels, tels que la propriété intellectuelle, les données financières et personnelles, ainsi que les informations qui vous sont confiées par des clients ou des tiers.

"La sécurité de l'information signifie toujours la protection d'informations ou de données importantes ayant de la valeur."

Les risques auxquels sont exposées les données à protéger sont nombreux. Ils peuvent provenir de menaces de sécurité matérielles, humaines et techniques. Mais seule l'approche holistique et préventive d'un SMSI peut répondre à l'ensemble des menaces et assurer la continuité des activités d'une entreprise.

Pour quelles organisations la norme ISO 27001 est-elle utile ?

La réponse à cette question est très simple : pour tous. L'ISO 27001 peut fondamentalement être appliquée dans toutes les organisations, quels que soient leur type, leur taille et leur secteur d'activité. Et : toutes les organisations bénéficient des avantages d'un système de management structuré. La mise en œuvre d'un SGSI est influencée par les facteurs suivants :

  • Les exigences et les objectifs commerciaux
  • Les besoins en matière de sécurité
  • Les processus opérationnels appliqués
  • La taille et la structure de l'organisation

Quels sont les avantages d'un système de management de la sécurité de l'information ?

Une question importante. La norme ISO 27001 formule les exigences pour la conception et la mise en œuvre systématiques d'un système de management de la sécurité de l'information orienté processus. Des avantages décisifs peuvent être obtenus grâce à cette approche holistique :

  • La sécurité des informations sensibles devient une partie intégrante des processus de l'entreprise.
  • La sauvegarde préventive des objectifs de protection : confidentialité, disponibilité et intégrité des informations.
  • Le maintien de la continuité des activités grâce à l'amélioration continue du niveau de sécurité
  • La sensibilisation des employés et augmentation significative de la conscience de la sécurité à tous les niveaux de l'entreprise.
  • La mise en place d'un processus efficace de gestion des risques
  • L'instauration d'un climat de confiance avec les parties intéressées (par exemple, lors des appels d'offres) grâce à un traitement manifestement sûr des informations sensibles
  • Le respect des exigences de conformité pertinentes, plus grande sécurité d'action et sécurité juridique

Comment gérer les risques potentiels ?

Les risques de sécurité peuvent provenir de menaces matérielles, humaines et techniques. Pour atteindre un niveau de sécurité traçable et approprié dans l'organisation, un processus ou une méthode de management des risques définis pour l'évaluation, le traitement et la surveillance des risques est nécessaire. La norme ISO/IEC 27005 fournit de bonnes indications sur la gestion des risques en matière de sécurité de l'information.

Quel rôle jouent les personnes ?

Les personnes constituent également un facteur de risque, car la manipulation d'informations sensibles concerne tous les employés et partenaires d'une entreprise sans exception. Ils représentent un risque accru pour la sécurité, que ce soit par ignorance ou par erreur humaine. Mais seules quelques rares organisations réglementent qui peut avoir accès à quelles informations, et comment elles doivent être traitées.

"La nouvelle source de pouvoir n'est plus l'argent entre les mains de quelques-uns, mais l'information entre les mains du plus grand nombre." John Naisbitt, *1929, américain. Futurologue

Des réglementations contraignantes et une prise de conscience prononcée de tous les problèmes de sécurité de l'information sont donc une condition préalable fondamentale. L'adaptation de la politique de l'entreprise ou l'élaboration d'une politique de sécurité de l'information appropriée est ici considérée comme essentielle. La sensibilisation nécessaire des collaborateurs à tous les niveaux (de direction) est l'affaire du patron et peut se faire, par exemple, par des formations, des ateliers ou des entretiens personnels.

ISO 27001 - Questions de mise en œuvre

A la question de savoir si une entreprise doit déjà avoir introduit un système de management, par exemple selon la norme ISO 9001, on peut clairement répondre par "non". L'ISO 27001 est une norme générique et - comme toutes les normes de systèmes de management - elle est autonome. Cela signifie qu'une entreprise peut créer et mettre en œuvre un système de management de la sécurité de l'information à tout moment et indépendamment de toute structure existante.

Néanmoins, les entreprises qui disposent d'un système de management de la qualité conforme à la norme ISO 9001 ont déjà créé une bonne base pour l'introduction progressive d'une sécurité de l'information globale.

Dans sa structure et son approche, l'ISO 27001 est basée sur la structure de base obligatoire pour toutes les normes de systèmes de management orientées processus, la structure de haut niveau. Elle vous offre donc la possibilité d'intégrer facilement un système de management de la sécurité de l'information dans un système de management déjà existant. De même, une certification conjointe selon ISO 27001 avec ISO 20000-1 (gestion des services informatiques) ou ISO 22301 (gestion de la continuité des activités) par DQS est possible.

Quels documents peuvent soutenir l'introduction ?

La base privilégiée pour l'introduction d'un système de management holistique de la sécurité de l'information est la famille de normes internationales ISO/IEC 2700x. Elle est destinée à aider les organisations de tous types et de toutes tailles à mettre en œuvre et à exploiter un SGSI. Le degré de mise en œuvre au sein de l'organisation peut être vérifié au moyen d'un audit interne.

Les composants utiles de la série de normes sont :

  • ISO/IEC 27000:2018 : Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Vue d'ensemble et vocabulaire.
  • ISO/IEC 27001:2013 : Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences.
  • ISO/IEC 27002:2013 : Technologies de l'information - Techniques de sécurité - Code de pratique pour les contrôles de sécurité de l'information
  • ISO/IEC 27003:2017 : Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Lignes directrices
  • ISO/IEC 27004-2016 : Technologies de l'information - Techniques de sécurité - Gestion de la sécurité de l'information - Surveillance, mesure, analyse et évaluation
  • ISO/IEC 27005:2018 : Technologies de l'information - Techniques de sécurité - Gestion des risques de sécurité de l'information.

Tous les règlements sont disponibles sur le site web de l'ISO.

ISO 27001 - Questions sur le responsable de la sécurité des TI ?

La norme ISO 27001 exige-t-elle un responsable de la sécurité des TI ? La réponse est "oui".

L'une des tâches du système de management de la sécurité de l'information est la nomination d'un responsable de la sécurité des TI par la direction générale. Le responsable de la sécurité des TI est la personne de contact pour toutes les questions de sécurité des TI. Il ou elle doit être intégré(e) dans tous les processus du SGSI et être étroitement lié(e) aux responsables informatiques, par exemple lors de la sélection de nouveaux composants et applications informatiques.

Pourquoi une certification ISO 27001 ?

La certification basée sur une procédure accréditée est la preuve qu'un système de management et des mesures ont été mis en œuvre pour protéger systématiquement les actifs informationnels. Avec le certificat, vous montrez "noir sur blanc" que vous avez établi ce système avec succès et que vous vous engagez à l'améliorer en permanence.

Le certificat DQS, qui est reconnu dans le monde entier, est l'expression visible d'une évaluation neutre et renforce la confiance dans votre entreprise. C'est un avantage sur le marché et une bonne condition préalable dans les appels d'offres et les affaires de clients critiques pour la sécurité, comme les prestataires de services financiers.

ISO 27001 - Questions sur le processus de certification

Tous les systèmes de management qui sont évalués sur la base des règles internationales (ISO 17021) par un organisme de certification accrédité tel que DQS sont soumis au même processus de certification.

La certification initiale comprend l'analyse du système (audit de niveau 1) et l'audit du système (audit de niveau 2), au cours desquels les auditeurs vérifient sur place que le système global fonctionne correctement et que toutes les exigences ont été mises en œuvre. Le certificat est ensuite valable pendant 3 ans.

Afin de pouvoir garantir la validité pendant toute la période, le système de management doit être vérifié chaque année. Au cours de la première et de la deuxième année après l'émission du certificat, les auditeurs DQS effectuent donc des audits ISMS raccourcis (audits de surveillance), au cours desquels ils examinent, par exemple, l'efficacité des composants clés du système ou des mesures correctives et préventives. La re-certification a ensuite lieu après trois ans.

Les entreprises qui ont déjà un système de management existant doivent combiner leurs programmes d'audit et demander une certification conjointe de leur système de management intégré (SGI).

La certification matricielle est-elle possible ?

La certification matricielle est possible pour les entreprises possédant plusieurs sites. En principe, les mêmes exigences s'appliquent à l'ISO 27001 qu'à d'autres normes ISO telles que l'ISO 9001 ou l'ISO 14001. DQS peut assurer l'intégration de l'ISO 27001 dans les procédures matricielles existantes, c'est-à-dire un audit externe commun avec les autres normes.

Quels sont les avantages d'ISO 27001 par rapport à TISAX ?

TISAX® (Trusted Information Security Assessment Exchange) a été développé en tant que norme industrielle spécifiquement pour l'industrie automobile et adapté aux besoins spécifiques du secteur. La base d'une évaluation TISAX® est le catalogue de tests VDA Information Security Assessment (VDA ISA), qui repose notamment sur les exigences des normes ISO 27001 ou ISO 27002 et les étend à des sujets tels que la protection des prototypes ou la protection des données.

Vous trouverez d'autres connaissances précieuses sur notre page produit TISAX®.

L'objectif de TISAX® est de garantir une sécurité (de l'information) complète à toutes les étapes de la chaîne d'approvisionnement. En outre, l'enregistrement dans une base de données simplifie la procédure de reconnaissance mutuelle. Cependant, TISAX® n'est reconnu que dans l'industrie automobile. Les clients d'autres industries peuvent uniquement reconnaître la norme ISO 27001 comme preuve d'un SMSI.

DQS - Ce que nous pouvons faire pour vous

DQS est votre spécialiste des audits et certifications - pour les systèmes et processus de management. Avec plus de 35 ans d'expérience et le savoir-faire de 2 500 auditeurs dans le monde entier, nous sommes votre partenaire de certification compétent, apportant des réponses à toutes les questions relatives à l'ISO 27001.

Nous effectuons des audits selon environ 200 normes et réglementations reconnues ainsi que selon des normes spécifiques aux entreprises et aux associations. Nous avons été le premier organisme de certification allemand à recevoir l'accréditation pour la norme BS 7799-2, le prédécesseur de la norme ISO/IEC 27001, en décembre 2000. Cette expertise est toujours l'expression de notre réussite mondiale.

Nous sommes heureux de répondre à vos questions

Comment vous préparez pour obtenir la certification de votre SMSI selon ISO 27001 ? Obtenez des informations gratuitement et sans engagement.

Nous sommes impatients de vous parler.

Voir plus
Voir moins

Normes de sécurité de l'information

La famille ISO/IEC 2700x est une série de normes internationalement reconnues pour l'introduction d'un système holistique de management de la sécurité de l'information. Au cœur de cette série se trouve la norme ISO/IEC 27001, qui contient des exigences certifiables pour l'identification, l'évaluation et la gestion des risques liés aux opérations de traitement de l'information.

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Aperçu des normes de sécurité de l'information

TISAX (Sécurité de l'information dans l'industrie automobile)

TISAX (Sécurité de l'information dans l'industrie automobile)

Blog
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - Réponses à des questions fréquentes

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Catalogue VDA ISA 5.0 : Base actuelle pour les évaluations TISAX

Sécurité de l'information et gestion des risques

Sécurité de l'information et gestion des risques

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Le management des vulnérabilités dans le contexte de la norme ISO 27001

La sécurité de l'information dans une organisation

La mondialisation de la production, du commerce et des services est portée par les progrès de la numérisation. Les technologies de l'information de plus en plus puissantes placent les entreprises devant des défis majeurs en matière de sécurité de l'information. Dans ce contexte, il est non seulement important de protéger efficacement son propre savoir-faire, mais aussi, de plus en plus, de répondre aux exigences des clients et de renforcer la compétitivité grâce à un système de management de l'information efficacement mis en œuvre.

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Incidents de sécurité de l'information : Les employés comme facteur de réussite

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Sécurité de l'information des entreprises : Une étude de cas du groupe Mubea

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Expériences d'aLIVE-Service GmbH avec la norme ISMS

Sécurité de l'information et protection des données

Sécurité de l'information et protection des données

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Protection des données et sécurité de l'information - avec ISO 27001 et ISO 27701

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Applications numériques dans le domaine de la santé - Un cas particulier pour la protection des données

Sécurité de l'information et sécurité informatique

Sécurité de l'information et sécurité informatique

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 Annexe A : Responsabilités et rôles des employés

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Sécurité informatique et sécurité de l'information : quelle est la différence ?

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Les objectifs de protection de la sécurité de l'information et leur signification

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

Aperçu des normes de sécurité de l'information