L'industrie 4.0, dite quatrième révolution industrielle, est synonyme de mise en réseau intelligente du développement, de la production, de la logistique et des clients. Elle représente une multitude d'informations et de données qui ont souvent une valeur existentielle pour les organisations. Protéger leur disponibilité, leur intégrité et leur confidentialité est une tâche centrale. La sécurité de l'information englobe toutes les mesures qui permettent de prendre conscience des risques existants, de les identifier et de prendre des mesures appropriées et adéquates pour les protéger.

Sécurité de l'information - Questions et réponses sur l'ISO 27001

En raison d'une sécurité insuffisante dans le traitement de l'information, l'économie allemande subit à elle seule des dommages se chiffrant en milliards d'euros chaque année. Les raisons en sont complexes et vont des perturbations externes aux erreurs techniques, en passant par l'espionnage industriel et l'utilisation abusive d'informations par d'anciens employés. Mais seuls ceux qui reconnaissent les enjeux peuvent également prendre des mesures appropriées. Un système de management de la sécurité de l'information bien structuré, conforme à la norme ISO 27001 internationalement reconnue, constitue une base optimale pour la mise en place efficace d'une stratégie de sécurité globale. Qu'est-ce que cela signifie exactement et que faut-il prendre en compte ? Obtenez ici les réponses aux questions importantes sur la norme ISO 27001.

CONTENU

  • Qu'est-ce que la sécurité de l'information ?
  • Quels sont les objectifs de protection de la sécurité de l'information ?
  • Qu'est-ce qu'un système de management de la sécurité de l'information ?
  • Pour quelles organisations la norme ISO 27001 est-elle utile ?
  • Quels sont les avantages d'un système de management de la sécurité de l'information ?
  • Quel est le rôle des personnes ?
  • ISO 27001 - Questions sur l'introduction
  • Pourquoi la certification ISO 27001 ?
  • DQS - Ce que nous pouvons faire pour vous

Qu'est-ce que la sécurité de l'information ?

La réponse à cette question est assez simple au regard de la famille internationale des normes de sécurité de l'information ISO 2700x :

"L'information est une donnée qui a une valeur pour l'organisme".

ISO/IEC 27000:2020-06: Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Vue d'ensemble et vocabulaire

Vous voyez, l'information est un bien qui ne doit pas tomber entre les mains de personnes non autorisées, et qui nécessite une protection appropriée.

La sécurité de l'information est donc tout ce qui a trait à la protection du patrimoine informationnel de votre entreprise. Le facteur décisif est de connaître les risques qui existent dans le contexte de l'entreprise, de les découvrir et de les contrer par des mesures appropriées en fonction des besoins.

" La sécurité de l'information n'est pas la sécurité informatique "

La sécurité informatique fait uniquement référence à la sécurité des technologies déployées et non aux actifs de l'entreprise à protéger. Les préoccupations organisationnelles, par exemple les autorisations d'accès, les responsabilités ou les procédures d'approbation, ainsi que les aspects psychologiques, jouent également un rôle essentiel dans la sécurité de l'information. Cependant, une informatique sécurisée protège également les informations de l'entreprise.

Quels sont les objectifs de protection de la sécurité de l'information ?

Selon la norme internationale ISO/IEC 27001, les objectifs de protection de la sécurité de l'information comprennent trois aspects principaux :

  • Confidentialité - protection des informations confidentielles contre tout accès non autorisé, que ce soit pour des raisons liées aux lois sur la protection des données ou sur la base de secrets commerciaux couverts par exemple par une loi sur les secrets commerciaux ( ). C'est le niveau de confidentialité qui est pertinent ici.
  • Intégrité - minimiser les risques, garantir l'exhaustivité et la fiabilité de toutes les données et informations.
  • Disponibilité - garantir l'accès et la possibilité d'utilisation des informations, des bâtiments et des systèmes pour les personnes autorisées. Ceci est essentiel pour le maintien des processus.

Sécurité de l'information certifiée selon la norme ISO 27001

Protégez vos informations avec un système de management conforme aux normes internationales ✓ DQS offre plus de 35 ans d'expérience en matière de certification ✓.

Questions clés sur la sécurité de l'information

  • Quelles sont les valeurs de mon entreprise ?
  • Quelles sont les valeurs de l'entreprise qui doivent être protégées ?
  • À quelles attaques les actifs de l'entreprise sont-ils exposés ?
  • Qui a intérêt à protéger ces informations ?
  • Quelles sont les mesures appropriées ?

Qu'est-ce qu'un système de management de la sécurité de l'information ?

Un système de management de la sécurité de l'information (SMSI) conforme à la norme ISO/CEI 27001 définit des lignes directrices, des règles et des méthodes pour assurer la sécurité des informations dignes d'être protégées dans une organisation. Il fournit un modèle pour l'introduction, la mise en place, la surveillance et l'amélioration du niveau de protection - conformément à la procédure systématique du cycle PDCA (Plan-Do-Check-Act) connu de l'ISO 9001.

L'objectif est d'identifier et d'analyser les risques potentiels et de les rendre maîtrisables par des mesures appropriées.

Pourquoi le management de la sécurité de l'information est-elle importante ?

Les organisations qui réussissent utilisent la structure et la transparence des systèmes de management modernes pour détecter les menaces et cibler le déploiement de systèmes de sécurité contemporains. Au cœur d'un système de management de la sécurité de l'information se trouve la sécurité de vos propres actifs informationnels, tels que la propriété intellectuelle, les données financières et personnelles, ainsi que les informations qui vous sont confiées par des clients ou des tiers.

"La sécurité de l'information signifie toujours la protection d'informations ou de données importantes ayant de la valeur."

Les risques auxquels sont exposées les données à protéger sont nombreux. Ils peuvent provenir de menaces de sécurité matérielles, humaines et techniques. Mais seule l'approche holistique et préventive d'un SMSI peut répondre à l'ensemble des menaces et assurer la continuité des activités d'une entreprise.

Pour quelles organisations la norme ISO 27001 est-elle utile ?

La réponse à cette question est très simple : pour tous. L'ISO 27001 peut fondamentalement être appliquée dans toutes les organisations, quels que soient leur type, leur taille et leur secteur d'activité. Et : toutes les organisations bénéficient des avantages d'un système de management structuré. La mise en place d'un SMSI est influencée par les facteurs suivants :

  • Les exigences et les objectifs commerciaux
  • Les besoins en matière de sécurité
  • Les processus opérationnels appliqués
  • La taille et la structure de l'organisation

Quels sont les avantages d'un système de management de la sécurité de l'information ?

Une question importante. La norme ISO 27001 formule les exigences pour la conception et la mise en place systématiques d'un système de management de la sécurité de l'information orienté processus. Des avantages décisifs peuvent être obtenus grâce à cette approche holistique :

  • La sécurité des informations sensibles devient une partie intégrante des processus de l'entreprise.
  • Sauvegarde préventive des objectifs de protection : confidentialité, disponibilité et intégrité des informations.
  • Maintien de la continuité des activités grâce à l'amélioration continue du niveau de sécurité
  • Sensibilisation des employés et augmentation significative de la conscience de la sécurité à tous les niveaux de l'entreprise.
  • Mise en place d'un processus efficace de management des risques
  • L'instauration d'un climat de confiance avec les parties intéressées (par exemple, lors des appels d'offres) grâce à un traitement manifestement sûr des informations sensibles
  • Respect des exigences de conformité pertinentes, plus grande sécurité d'action et sécurité juridique

Comment gérer les risques potentiels ?

Les risques de sécurité peuvent provenir de menaces matérielles, humaines et techniques. Pour atteindre un niveau de sécurité traçable et approprié dans l'organisation, un processus ou une méthode de management des risques définis pour l'évaluation, le traitement et la surveillance des risques est nécessaire. La norme ISO/IEC 27005 fournit de bonnes indications sur le management des risques en matière de sécurité de l'information.

Quel rôle jouent les personnes ?

Les personnes constituent également un facteur de risque, car la manipulation d'informations sensibles concerne tous les employés et partenaires d'une entreprise sans exception. Ils représentent un risque accru pour la sécurité, que ce soit par ignorance ou par erreur humaine. Mais seules quelques rares organisations réglementent qui peut avoir accès à quelles informations, et comment elles doivent être traitées.

"La nouvelle source de pouvoir n'est plus l'argent entre les mains de quelques-uns, mais l'information entre les mains du plus grand nombre." John Naisbitt, *1929, américain. Futurologue

Des réglementations contraignantes et une prise de conscience prononcée de tous les problèmes de sécurité de l'information sont donc une condition préalable fondamentale. L'adaptation de la politique de l'entreprise ou l'élaboration d'une politique de sécurité de l'information appropriée est ici considérée comme essentielle. La sensibilisation nécessaire des collaborateurs à tous les niveaux (de direction) est l'affaire du patron et peut se faire, par exemple, par des formations, des ateliers ou des entretiens personnels.

ISO 27001 - Questions de mise en place

A la question de savoir si une entreprise doit déjà avoir introduit un système de management, par exemple selon la norme ISO 9001, on peut clairement répondre par "non". L'ISO 27001 est une norme générique et - comme toutes les normes de systèmes de management - elle est autonome. Cela signifie qu'une entreprise peut créer et mettre en place un système de management de la sécurité de l'information à tout moment et indépendamment de toute structure existante.

Néanmoins, les entreprises qui disposent d'un système de management de la qualité conforme à la norme ISO 9001 ont déjà créé une bonne base pour l'introduction progressive d'une sécurité de l'information globale.

Dans sa structure et son approche, l'ISO 27001 est basée sur la structure de base obligatoire pour toutes les normes de systèmes de management orientées processus, la structure de haut niveau. Elle vous offre donc la possibilité d'intégrer facilement un système de management de la sécurité de l'information dans un système de management déjà existant. De même, une certification conjointe selon ISO 27001 avec ISO 20000-1 (management des services informatiques) ou ISO 22301 (management de la continuité des activités) par le DQS est possible.

Quels documents peuvent soutenir l'introduction ?

La base privilégiée pour l'introduction d'un système de management holistique de la sécurité de l'information est la famille de normes internationales ISO/IEC 2700x. Elle est destinée à aider les organisations de tous types et de toutes tailles à mettre en œuvre et à exploiter un SMSI. Le degré de mise en place au sein de l'organisation peut être vérifié au moyen d'un audit interne.

Les composants utiles de la série de normes sont

  • ISO/IEC 27000:2018 : Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Vue d'ensemble et vocabulaire.
  • ISO/IEC 27001:2013 : Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences.
  • ISO/IEC 27002:2013 : Technologies de l'information - Techniques de sécurité - Code de pratique pour les contrôles de sécurité de l'information
  • ISO/IEC 27003:2017 : Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Lignes directrices
  • ISO/IEC 27004-2016 : Technologies de l'information - Techniques de sécurité - Management de la sécurité de l'information - Surveillance, mesure, analyse et évaluation
  • ISO/IEC 27005:2018 : Technologies de l'information - Techniques de sécurité - Management des risques de sécurité de l'information.

Tous les règlements sont disponibles sur le site web de l'ISO.

ISO 27001 - Questions sur le responsable de la sécurité des TI ?

La norme ISO 27001 exige-t-elle un responsable de la sécurité des TI ? La réponse est "oui".

L'une des tâches du système de management de la sécurité de l'information est la nomination d'un responsable de la sécurité des TI par la direction générale. Le responsable de la sécurité des TI est la personne de contact pour toutes les questions de sécurité des TI. Il ou elle doit être intégré(e) dans tous les processus du SMSI et être étroitement lié(e) aux responsables informatiques, par exemple lors de la sélection de nouveaux composants et applications informatiques.

Pourquoi une certification ISO 27001 ?

La certification basée sur une procédure accréditée est la preuve qu'un système de management et des mesures ont été mis en place pour protéger systématiquement les actifs informationnels. Avec le certificat, vous montrez "noir sur blanc" que vous avez établi avec succès ce système et que vous vous engagez à l'améliorer en permanence.

Le certificat DQS, qui est apprécié dans le monde entier, est l'expression visible d'une évaluation neutre et renforce la confiance dans votre entreprise. C'est un avantage sur le marché et une bonne condition préalable dans les appels d'offres et les affaires de clients critiques pour la sécurité, comme les prestataires de services financiers.

ISO 27001 - Questions sur le processus de certification

Tous les systèmes de management qui sont évalués sur la base des règles internationales (ISO 17021) par un organisme de certification accrédité tel que DQS sont soumis au même processus de certification.

La certification initiale comprend l'analyse du système (audit de niveau 1) et l'audit du système (audit de niveau 2), au cours desquels les auditeurs vérifient sur place que le système global fonctionne correctement et que toutes les exigences ont été mises en place. Le certificat est ensuite valable pendant 3 ans.

Afin de pouvoir garantir la validité pendant toute la période, le système de management doit être vérifié chaque année. Au cours de la première et de la deuxième année après l'émission du certificat, les auditeurs DQS effectuent donc des audits ISMS raccourcis (audits de surveillance), au cours desquels ils examinent, par exemple, l'efficacité des composants clés du système ou des mesures correctives et préventives. La recertification a ensuite lieu après trois ans.

Les entreprises qui ont déjà un système de management existant doivent combiner leurs programmes d'audit et demander une certification conjointe de leur système de management intégré (SMI).

La certification matricielle est-elle possible ?

La certification matricielle est possible pour les entreprises possédant plusieurs sites. En principe, les mêmes exigences s'appliquent à l'ISO 27001 qu'à d'autres normes ISO telles que l'ISO 9001 ou l'ISO 14001. DQS peut assurer l'intégration de l'ISO 27001 dans les procédures matricielles existantes, c'est-à-dire un audit externe commun avec les autres normes.

Quels sont les avantages d'ISO 27001 par rapport à TISAX ?

TISAX® (Trusted Information Security Assessment Exchange) a été développé en tant que norme industrielle spécifiquement pour l'industrie automobile et adapté aux besoins spécifiques du secteur. La base d'une évaluation TISAX® est le catalogue de tests VDA Information Security Assessment (VDA ISA), qui repose notamment sur les exigences des normes ISO 27001 ou ISO 27002 et les étend à des sujets tels que la protection des prototypes ou la protection des données.

Vous trouverez d'autres connaissances précieuses sur notre page produit TISAX®.

L'objectif de TISAX® est de garantir une sécurité (de l'information) complète à toutes les étapes de la chaîne d'approvisionnement. En outre, l'enregistrement dans une base de données simplifie la procédure de reconnaissance mutuelle. Cependant, TISAX® n'est reconnu que dans l'industrie automobile. Les clients d'autres industries peuvent uniquement reconnaître la norme ISO 27001 comme preuve d'un SMSI.

DQS - Ce que nous pouvons faire pour vous

DQS est votre spécialiste des audits et certifications - pour les systèmes et processus de management. Avec plus de 35 ans d'expérience et le savoir-faire de 2 500 auditeurs dans le monde entier, nous sommes votre partenaire de certification compétent, apportant des réponses à toutes les questions relatives à l'ISO 27001.

Nous effectuons des audits selon environ 200 normes et réglementations reconnues ainsi que selon des normes spécifiques aux entreprises et aux associations. Nous avons été le premier organisme de certification allemand à recevoir l'accréditation pour la norme BS 7799-2, le prédécesseur de la norme ISO/IEC 27001, en décembre 2000. Cette expertise est toujours l'expression de notre réussite mondiale.

Nous sommes heureux de répondre à vos questions

Combien de travail devez-vous faire pour obtenir la certification de votre SMSI selon ISO 27001 ? Obtenez des informations gratuitement et sans engagement.

Nous sommes impatients de vous parler.

Afficher plus
Montrer moins

Sécurité de l'information et management des risques

Sécurité de l'information et management des risques

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Le management des vulnérabilités dans le contexte de la norme ISO 27001

Sécurité de l'information et protection des données

Sécurité de l'information et protection des données

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Protection des données et sécurité de l'information - avec ISO 27001 et ISO 27701

Sécurité de l'information et sécurité informatique

Sécurité de l'information et sécurité informatique

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 Annexe A : Responsabilités et rôles des employés

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Sécurité informatique et sécurité de l'information : quelle est la différence ?

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Normes de sécurité de l'information - un aperçu

TISAX (Sécurité de l'information dans l'industrie automobile)

TISAX (Sécurité de l'information dans l'industrie automobile)

Blog
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - Réponses aux questions importantes

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

La cybersécurité automobile : Nouvelles réglementations obligatoires

Normes de sécurité de l'information

La famille ISO/IEC 2700x est une série de normes internationalement reconnues pour l'introduction d'un système holistique de management de la sécurité de l'information. Au cœur de cette série se trouve la norme ISO/IEC 27001, qui contient des exigences certifiables pour l'identification, l'évaluation et la management des risques liés aux opérations de traitement de l'information.

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Normes de sécurité de l'information - un aperçu