Certification ISO 27001

L'information nous entoure partout et fait partie de chaque processus. Elle peut parfois être sans importance, mais trop souvent elle est critique et confidentielle. Afin d'établir cette distinction importante pour votre organisation, il est nécessaire de classifier les informations. En effet, les mesures de protection d'un système de gestion de la sécurité de l'information (SGSI) selon la norme ISO/IEC 27001 sont basées sur cette classification.

Un SGSI crée le cadre de la protection des données opérationnelles et de leur confidentialité. Dans le même temps, cette norme mondialement reconnue garantit la disponibilité des systèmes informatiques impliqués dans les processus de l'entreprise. Dans ce contexte, la certification ISO 27001 envoie un signal fort au marché : à savoir, une évaluation externe indépendante et une confirmation de l'efficacité de votre SMSI.

Avec la norme EN ISO/IEC 27001:2017-06, une version coordonnée par le Comité européen de normalisation (CEN) a été publiée. Elle combine les deux corrections (corrigenda) Cor 1:2014 et Cor 2:2015. Les changements associés à la correction comprennent uniquement une description améliorée des exigences associées, mais pas de nouvelles exigences supplémentaires. Les certificats selon la version ISO/IEC 27001:2013 conservent donc leur validité.

En Allemagne, par exemple, les entreprises qui appartiennent à un secteur d'infrastructure critique (KRITIS) et qui dépassent un certain seuil doivent fournir des preuves de la manière dont elles assurent la sécurité de leurs informations. Les secteurs KRITIS comprennent l'énergie, l'eau, la santé, les finances et les assurances, l'alimentation, les transports et la circulation, les technologies de l'information et les télécommunications. La preuve correspondante de la mise en œuvre peut être fournie par des audits, des tests ou des certifications de sécurité. À cette fin, on peut utiliser comme base d'audit soit des normes reconnues telles que la norme ISO 27001, soit des normes de sécurité spécifiques au secteur et reconnues par l'Office fédéral allemand de la sécurité de l'information (BSI).

La mise en œuvre des mesures de l'annexe A de la norme est particulièrement précieuse pour la pratique. Outre la section des exigences orientées vers le système de management (chapitres 4 à 10), la norme ISO contient une liste exhaustive de 35 cibles de mesures (contrôles) avec 114 mesures concrètes pour une grande variété d'aspects de la sécurité à travers 14 chapitres de l'annexe A. Les mesures doivent être mises en œuvre dans le cadre du système de management. Ces mesures doivent être mises en œuvre dans le cadre du système de management, dans la mesure où elles sont pertinentes pour votre entreprise.

Il est prouvé que l'alignement cohérent des processus de l'entreprise sur la norme ISO 27001 apporte un certain nombre d'avantages :

• Amélioration continue du niveau de sécurité
• Réduction des risques existants
• Respect des exigences de conformité
• Sensibilisation accrue des employés
• Augmentation de la satisfaction des clients

Les audits internes et les revues de direction avec la participation de la direction générale sont les leviers internes pour y parvenir.

D'autres aspects positifs sont que les parties intéressées, telles que les autorités de surveillance, les compagnies d'assurance, les banques, les entreprises partenaires, développent un niveau de confiance plus élevé dans votre entreprise. En effet, un système de gestion certifié indique que votre organisation traite les risques de manière structurée et souscrit à l'amélioration continue (CIP), ce qui la rend plus résistante aux influences indésirables.

La norme internationale ISO/IEC 27001 peut également être mise en œuvre, exploitée et certifiée indépendamment d'autres systèmes de management tels que l'ISO 9001 (management de la qualité) ou l'ISO 14001 (management environnemental).

En outre, ISO/IEC 27006 définit des exigences strictes auxquelles les organismes de certification doivent se conformer afin de certifier un SMSI selon ISO 27001.

Ces exigences comprennent

• La preuve d'un effort d'audit spécifié
• Des exigences relatives à la qualification des auditeurs

DQS est accrédité par l'organisme national d'accréditation allemand DakkS (Deutsche Akkreditierungsstelle GmbH) et est donc autorisé à effectuer des audits et des certifications selon la norme ISO 27001.

Quel que soit le secteur dans lequel votre entreprise opère, vous pouvez compter sur l'expertise distinctive des auditeurs de DQS. Ils ont de nombreuses années d'expérience dans l'évaluation des systèmes de gestion de la sécurité de l'information dans divers secteurs.

Les coûts de la certification selon la norme ISO 27001 sont établis, entre autres, en fonction des quatre critères suivants :

1. La complexité de votre système de gestion de la sécurité de l'information

Les valeurs critiques (par exemple brevets, données personnelles, installations, processus) de votre entreprise sont prises en compte. Le coût de la certification est basé principalement sur les exigences en matière de sécurité de l'information et sur la mesure dans laquelle la confidentialité, l'intégrité et la disponibilité (VIV) des informations sont affectées.

2. L'activité principale de votre entreprise dans le cadre du SGSI

À ce stade, les risques associés à vos processus d'affaires en particulier jouent un rôle important dans la détermination de l'effort d'audit nécessaire. Les exigences légales sont prises en compte ainsi que les exigences complexes et individuelles des clients.

3. Les principales technologies et composantes utilisées dans votre SGSI

Au cours de l'audit, la technologie ainsi que les composants individuels de votre SGSI sont examinés. Il s'agit notamment des plateformes informatiques, des serveurs, des bases de données, des applications ainsi que des segments de réseau. La règle de base est la suivante : Plus la proportion de systèmes standard est élevée et plus la complexité de votre informatique est faible, moins l'effort sera important. Les coûts d'une certification ISO 27001 en dépendent également.

4 La proportion de développements internes dans votre SGSI

S'il n'y a pas de développement interne et que vous utilisez principalement des plateformes logicielles standardisées, l'effort d'une évaluation est moindre. Si votre SGSI est caractérisé par une utilisation intensive de logiciels développés en interne et si ces logiciels sont utilisés pour des secteurs d'activité centraux, l'effort de certification sera plus élevé.

Afin de pouvoir vous donner un aperçu des coûts d'une certification ISMS, nous avons besoin au préalable d'informations précises sur votre modèle d'entreprise et votre domaine d'application. Nous pourrons ainsi vous proposer une offre sur mesure.