À l'ère de la numérisation, ce sont les informations précieuses qui doivent être préservées ou protégées avant tout. Pour les entreprises, cela signifie qu'à côté de la protection des données, la sécurité de l'information est un impératif absolu. La bonne nouvelle est que les entreprises qui disposent d'un système de gestion de la qualité certifié selon ISO 9001 ont déjà créé une bonne base pour l'introduction progressive d'une sécurité de l'information complète.
CONTENU
- Pas à pas vers plus de sécurité de l'information
- Sécurité de l'information et gestion de la qualité
- Sécurité de l'information - risques et opportunités
- Identifier et traiter les risques
- L'annexe A de la norme ISO 27001 fournit des conseils
- SMSI et SMQ - quelle est la meilleure approche ?
- Quels sont les avantages ?
- DQS : Tirer simplement parti de la qualité
Le thème de la sécurité de l'information n'est pas nouveau. Les dangers qui menacent le vaste paysage informationnel des organisations sont connus depuis longtemps. Selon l'"Enquête sur la cybersécurité" de BSI d'avril 2019, 43 % des grandes entreprises ont déclaré avoir été touchées par des incidents de cybersécurité en 2018.
Pour les petites et moyennes entreprises, ce chiffre était de 26 %. Et d'après le "Rapport de situation sur la sécurité informatique en Allemagne 2021" de l'Office fédéral allemand de la sécurité de l'information (BSI), les cas de cybercriminalité ont de nouveau augmenté de manière significative. Au cours de la période de référence allant du 1er juin 2020 au 31 mai 2021, non seulement les nouvelles variantes de logiciels malveillants ont augmenté d'un bon 22 % (environ 144 millions), mais la qualité des attaques a également continué à augmenter considérablement. Au cours de ce processus, de nombreux auteurs ont exploité la détresse de Corona de nombreuses entreprises et personnes.
Cependant, la sécurité des informations confidentielles des entreprises est toujours négligée. On constate souvent un manque de prudence et de prévoyance lors du traitement et du stockage des informations. La sensibilisation aux conséquences du vol de données et autres est également loin d'être suffisamment développée partout. Dans certains endroits, les entreprises sont également réticentes à investir le temps et les efforts nécessaires pour protéger efficacement leurs informations sensibles.
Pas à pas vers plus de sécurité de l'information
Mais l'effort requis pour la sécurité des données ne doit pas nécessairement être si important. La bonne nouvelle est que de nombreuses entreprises ne sont pas obligées de mettre en œuvre un système complet de gestion de la sécurité de l'information en une seule fois. Pour les infrastructures critiques (CRITIS), en revanche, c'est ce qu'exige la loi allemande sur la sécurité informatique.
Une approche par étapes est également envisageable. Cela signifie que la première étape, du moins dans les entreprises qui disposent d'un système de gestion de la qualité (QM) conforme à la norme ISO 9001, peut être une mise à jour de l'approche requise basée sur les risques - mais déjà en vue des exigences correspondantes de l'importante norme de sécurité de l'information ISO 27001.
Sécurité de l'information et gestion de la qualité
ISO 27001 vs. ISO 9001 : où sont les liens ? Tout d'abord, il convient de noter que la norme de gestion de la qualité ISO 9001 exige une approche basée sur les risques dans tous les domaines. Toutefois, la mise en œuvre de cette exigence du système de gestion dépend largement de votre organisation. Par exemple, la gestion de la qualité n'exige pas de processus distinct pour l'évaluation des risques, mais c'est incontestablement trop peu en ce qui concerne la sécurité de l'information. Quoi qu'il en soit :
L'évaluation des risques pour les questions de gestion de la qualité peut facilement être étendue à la sécurité de l'information.
Pour ce faire, il est utile d'examiner les exigences relatives à l'identification et au traitement des risques de sécurité de la norme ISO 27001 pour un système de gestion de la sécurité de l'information (SGSI). La plupart des aspects peuvent être mis en œuvre par les utilisateurs d'un système de gestion de la qualité avec un effort raisonnable - comme une première étape sur la voie de la sécurité de l'information holistique, remarquez bien.
Sécurité de l'information - risques et opportunités
Les deux normes internationales, l'ISO 27001 pour la sécurité de l'information et l'ISO 9001 pour le management de la qualité, traitent des sujets pertinents au chapitre 6.1 "Mesures pour faire face aux risques et aux opportunités". En substance, l'objectif est de garantir trois aspects essentiels dans le système de management :
- Atteindre les résultats escomptés par votre organisme
- Prévenir ou réduire les effets indésirables
- l'amélioration continue par le respect de certaines normes.
En ce qui concerne la sécurité de l'information, il s'agit principalement des trois objectifs essentiels de protection :
- la perte de confidentialité
- Intégrité de l'information
- Disponibilité de l'information
La norme ISMS ISO 27001 spécifie les exigences suivantes (section 6.1.1) :
- Déterminer les risques et les opportunités
- Planifier les mesures pour traiter les risques et opportunités identifiés
- Planifier comment les mesures seront intégrées dans les processus de l'entreprise et mises en œuvre
Identifier et traiter les risques
Le sous-chapitre suivant (6.1.2) de la norme ISO 27001 exige l'établissement et l'application d'un processus d'évaluation des risques de sécurité de l'information. Ce processus doit établir et maintenir des critères de risque de sécurité de l'information. Cela inclut notamment les critères d'acceptation des risques et la réalisation d'évaluations des risques de sécurité de l'information.
En outre, le processus doit garantir que "des évaluations répétées des risques liés à la sécurité de l'information produisent des résultats cohérents, valides et comparables", comme le stipule la norme ISMS. Les sous-éléments suivants pourraient être significatifs dans l'optique d'une première étape :
- Identifier les risques de sécurité de l'information
- Analyser les risques liés à la sécurité de l'information
- Évaluer les risques liés à la sécurité de l'information
Les exigences de l'article 6.1.3 demandent d'établir et d'appliquer un processus pour traiter le risque de sécurité de l'information afin de réaliser ce qui suit :
- Sélectionner les options appropriées pour traiter le risque de sécurité, en fonction des résultats de l'évaluation des risques.
- Déterminer toutes les actions nécessaires pour mettre en œuvre les options sélectionnées pour traiter le risque de sécurité.
- Comparer les mesures définies avec les contrôles spécifiés dans l'annexe A de la norme ISO 27001 (actions cibles)
- Préparer une déclaration d'applicabilité concernant les raisons d'inclure (ou non) les contrôles de l'annexe A.
- Formuler un plan pour le traitement des risques de sécurité
- Obtenir l'approbation et l'acceptation de ce plan par les propriétaires des risques.
Certification according to ISO 27001
Quels efforts devez-vous fournir pour que votre système de gestion de la sécurité de l'information soit certifié ISO 27001? Découvrez-le.
L'annexe A de l'ISO 27001 offre des conseils
L'annexe A de la célèbre norme de système de management ISO/IEC 27001 a un caractère normatif explicite. Elle peut être comprise comme une sorte de liste de contrôle contenant des objectifs (contrôles) et des mesures. Vous pouvez utiliser ce guide pour vous assurer qu'aucun point essentiel pour traiter les risques de sécurité n'a été oublié. Toutefois, il ne prétend pas être exhaustif.
Sécurité de l'information et gestion de la qualité - quelle est la meilleure approche ?
Lanorme ISO 27001 exige donc deux processus distincts pour évaluer et traiter les risques liés à la sécurité de l'information. Dans un premier temps, il est toutefois possible de les combiner en un seul processus qui élargit spécifiquement l'évaluation des risques de la gestion de la qualité selon les exigences susmentionnées pour y inclure l'aspect de la sécurité de l'information. Les deux normes constituent ainsi une bonne base pour la mise en œuvre de mesures de protection pour la protection des données et la sécurité informatique.
ISO/IEC 27001:2013 - Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences.
ISO 9001:2015 - Systèmes de management de la qualité - Exigences.
Les deux normes sont disponibles sur le site web de l'ISO.
ISO 27001 vs. ISO 9001 : Le degré d'approfondissement du processus susmentionné par rapport à chaque exigence dépend directement de la complexité du paysage informationnel de votre organisation et des données qui doivent être protégées. Dans tous les cas, il est conseillé de faire vérifier son efficacité par un audit externe. Cela est conseillé, par exemple, dans le cadre d'un audit de certification de votre système de gestion de la qualité conformément à la norme ISO 9001, qui est de toute façon prévu.
La sécurité de l'information rencontre la gestion de la qualité - quels sont les avantages ?
- Un processus qui jette un regard fondamental sur les risques liés à la sécurité de l'information peut constituer une première étape importante vers un système de gestion holistique de la sécurité de l'information conforme à la norme ISO/CEI 27001.
- En mettant en œuvre un tel processus, la direction renforce la sensibilisation à la sécurité de l'information et des données (protection des données) à tous les niveaux.
- Grâce à la prise en compte ciblée des risques liés à la sécurité de l'information, l'entreprise a la possibilité de découvrir la nécessité d'agir et de prendre les mesures appropriées (orienté sur la norme ISO 27001, annexe A).
- L'évaluation des risques étendue à la sécurité de l'information, par exemple dans le cadre de la gestion de la qualité, renforce l'approche globale de l'entreprise basée sur les risques.
- Les ressources financières et humaines requises pour la mise en œuvre et les tests d'efficacité sont gérables.
DQS : Tirer parti de la qualité, tout simplement
Dans le jeu d'équilibre entre dynamique et stabilité, les systèmes de gestion certifiés deviennent de plus en plus importants - une évolution que DQS ressent de manière positive. Car les entreprises et les organisations qui réussissent utilisent les résultats de nos audits pour améliorer continuellement leurs résultats. Et ils utilisent nos certificats reconnus mondialement comme preuve objective de leur capacité de qualité. Cela crée la confiance - à la fois en interne et en externe à votre organisation.
Le DQS a délivré le premier certificat de gestion de la qualité en Allemagne en 1986. Le premier audit en août 1986 était basé sur une ébauche de la norme. En 1991, DQS a reçu sa première accréditation pour la norme ISO 9001/2/3 par l'ancienne TGA Trägergemeinschaft für Akkreditierung GmbH (aujourd'hui : DAkkS). L'accréditation pour la certification de la sécurité de l'information selon la norme britannique BS 7799-2 a suivi en 2000.
Plus de trois décennies de savoir-faire
Nos textes et nos brochures sont rédigés exclusivement par nos experts en normes ou nos auditeurs ayant une longue expérience. Si vous avez des questions à poser à l'auteur sur le contenu ou sur nos services, n'hésitez pas à nous contacter.
Bulletin d'information DQS
Gert Krueger
Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.