La sécurité de l'information avec un système
Une sécurité des données et des informations démontrable
La sécurité de l'information comme élément de la culture d'entreprise
Mise en place efficace d'un processus de management des risques
Amélioration continue de votre niveau de sécurité

Qu'est-ce que la norme ISO 27001 ?
L'information nous entoure partout et fait partie de chaque processus. Elle peut parfois être sans importance, mais trop souvent elle est critique et confidentielle. Afin d'établir cette distinction importante pour votre organisation, il est nécessaire de classifier les informations. En effet, les mesures de protection d'un système de management de la sécurité de l'information (ISMS) selon la norme ISO/IEC 27001 sont basées sur cette classification.
Un SMSI crée le cadre nécessaire à la protection des données opérationnelles et de leur confidentialité. En même temps, cette norme mondialement reconnue garantit la disponibilité des systèmes informatiques impliqués dans les processus de l'entreprise. Dans ce contexte, la certification ISO 27001 envoie un signal fort au marché, à savoir une évaluation externe indépendante et une confirmation de l'efficacité de votre SMSI.
The second edition of ISO/IEC 27001 dates back to 2013. Now, the internationally recognized standard for ISMS has been updated and republished in its third edition as ISO/IEC 27001:2022 on October 25, 2022. The revision is an inevitable consequence after ISO/IEC 27002, as the implementing guidance governing Annex A of ISO 27001, was comprehensively revised and published in February 2022.
The transition period for existing ISO 27001 certificates is three years from the last day of the publication month of the new ISO/IEC 27001:2022, which means that all certificates according to ISO/IEC 27001:2013 must have been converted to the 2022 version of ISO 27001 by October 31, 2025, You can read about the new features of the ISO 27001 update in our article "The new ISO/IEC 27001:2022 - key changes".

À qui s'adresse la certification ISO 27001 ?
En Allemagne, par exemple, les entreprises qui appartiennent à un secteur d'infrastructure critique (KRITIS) et qui dépassent un certain seuil doivent fournir des preuves de la manière dont elles assurent la sécurité de leurs informations. Les secteurs KRITIS comprennent l'énergie, l'eau, la santé, les finances et les assurances, l'alimentation, les transports et la circulation, les technologies de l'information et les télécommunications. La preuve correspondante de la mise en place peut être fournie par des audits, des tests ou des certifications de sécurité. À cette fin, on peut utiliser comme base d'audit soit des normes reconnues telles que la norme ISO 27001, soit des normes de sécurité spécifiques au secteur et reconnues par l'Office fédéral allemand de la sécurité de l'information (BSI).

En quoi la norme ISO 27001 est-elle utile pour mon entreprise ?
Annex A of ISO 27001, which is to be used in connection with section 6.1.3 on the basis of company-specific risk analyses, is particularly valuable in practice. The information security controls listed in Annex A are directly derived from and aligned with the measures listed in the current ISO 27002, Sections 5 to 8.
Previously, Annex A of ISO/IEC 27001:2013 included a total of 114 controls to address information security risks, subdivided into 14 sections and 35 control objectives. In the new ISO/IEC 27001:2022-10, Annex A now contains 93 controls on relevant security aspects, which are assigned to 4 topic areas.
Il est prouvé que l'alignement cohérent des processus de l'entreprise sur la norme ISO 27001 apporte un certain nombre d'avantages :
- Amélioration continue du niveau de sécurité
- Réduction des risques existants
- Respect des exigences de conformité
- Sensibilisation accrue des employés
- Augmentation de la satisfaction des clients
Les audits internes et les revues de direction avec la participation de la direction générale sont les leviers internes pour y parvenir.
D'autres aspects positifs sont que les parties intéressées, telles que les autorités de surveillance, les compagnies d'assurance, les banques, les entreprises partenaires, développent un niveau de confiance plus élevé dans votre entreprise. En effet, un système de management certifié indique que votre organisation traite les risques de manière structurée et souscrit à l'amélioration continue (CIP), ce qui la rend plus résistante aux influences indésirables.
La norme internationale ISO/IEC 27001 peut également être mise en place, exploitée et certifiée indépendamment d'autres systèmes de management tels que l'ISO 9001 (management de la qualité) ou l'ISO 14001 (management environnemental).

Qui est autorisé à effectuer la certification selon la norme ISO 27001 ?
En outre, ISO/IEC 27006 définit des exigences strictes auxquelles les organismes de certification doivent se conformer afin de certifier un SMSI selon ISO 27001.
Ces exigences comprennent
- La preuve d'un effort d'audit spécifié.
- des exigences relatives à la qualification des auditeurs.
DQS est accrédité par l'organisme national d'accréditation allemand DakkS (Deutsche Akkreditierungsstelle GmbH) et est donc autorisé à effectuer des audits et des certifications selon la norme ISO 27001.
Quel que soit le secteur dans lequel votre entreprise opère, vous pouvez compter sur l'expertise distinctive des auditeurs de DQS. Ils ont de nombreuses années d'expérience dans l'évaluation des systèmes de management de la sécurité de l'information dans divers secteurs.
Comment fonctionne la certification ISO 27001 ?
Une fois que toutes les exigences de la norme ISO 27001 ont été mises en place, vous pouvez faire certifier votre système de management. Vous passerez par un processus de certification en plusieurs étapes chez DQS. Si un système de management certifié est déjà établi dans l'entreprise, le processus peut être raccourci.
Lors de la première étape, vous discutez avec nous de votre entreprise et des objectifs de la certification ISO 27001. Sur cette base, vous recevrez une offre détaillée adaptée aux besoins spécifiques de votre entreprise.
Une réunion de planification du projet peut être utile pour les projets de grande envergure, par exemple pour mieux coordonner les calendriers et la réalisation des audits avec plusieurs sites ou divisions. Le pré-audit vous offre la possibilité d'identifier à l'avance les points forts et le potentiel d'amélioration de votre système de management. Ces deux services sont facultatifs.
L'audit de certification commence par l'analyse et l'évaluation de votre ISMS(étape 1 de l'audit). Ici, votre auditeur détermine si votre système de management est suffisamment développé et prêt pour la certification. Dans l'étape suivante (audit du système, étape 2), votre auditeur évalue l'efficacité de tous les processus de management sur le site, en appliquant la norme ISO 27001. Le résultat de l'audit est présenté lors d'une réunion finale. Si nécessaire, des plans d'action sont convenus.
Après l'audit de certification, les résultats sont évalués par le comité de certification indépendant de DQS. Si toutes les exigences de la norme sont respectées, vous recevrez le certificat ISO 27001.
Après une certification réussie, les composants clés de votre SMSI sont ré-audités sur site au moins une fois par an pour garantir une amélioration continue.
Le certificat ISO 27001 est valable pour une durée maximale de trois ans. La recertification est effectuée en temps utile avant l'expiration du certificat pour garantir la conformité continue aux exigences de la norme applicable. En cas de conformité, un nouveau certificat est délivré.

Quel est le coût de la certification ISO 27001 ?
Les coûts de la certification selon la norme ISO 27001 sont établis, entre autres, en fonction des quatre critères suivants :
1. La complexité de votre système de management de la management de l'information.
Les valeurs critiques (par exemple brevets, données personnelles, installations, processus) de votre entreprise sont prises en compte. Le coût de la certification est basé principalement sur les exigences en matière de sécurité de l'information et sur la mesure dans laquelle la confidentialité, l'intégrité et la disponibilité (VIV) des informations sont affectées.
2. L'activité principale de votre entreprise dans le cadre du ISMS
À ce stade, les risques associés à vos processus d'affaires en particulier jouent un rôle important dans la détermination de l'effort d'audit nécessaire. Les exigences légales sont prises en compte ainsi que les exigences complexes et individuelles des clients.
3. Les principales technologies et composantes utilisées dans votre ISMS
Au cours de l'audit, la technologie ainsi que les composants individuels de votre ISMS sont examinés. Il s'agit notamment des plateformes informatiques, des serveurs, des bases de données, des applications ainsi que des segments de réseau. La règle de base est la suivante : Plus la proportion de systèmes standard est élevée et plus la complexité de votre informatique est faible, moins l'effort sera important. Les coûts d'une certification ISO 27001 en dépendent également.
4 La proportion de développements internes dans votre ISMS
S'il n'y a pas de développement interne et que vous utilisez principalement des plateformes logicielles standardisées, l'effort d'une évaluation est moindre. Si votre ISMS est caractérisé par une utilisation intensive de logiciels développés en interne et si ces logiciels sont utilisés pour des secteurs d'activité centraux, l'effort de certification sera plus élevé.
Afin de pouvoir vous donner un aperçu des coûts d'une certification ISMS, nous avons besoin au préalable d'informations précises sur votre modèle d'entreprise et votre domaine d'application. Nous pourrons ainsi vous proposer une offre sur mesure.