Six recommandations en vue d’obtenir la certification ISO 27001

La certification ISO 27001 vise à la mise en place d’un système de management de la sécurité de l’information (SMSI). Son obtention revêt plusieurs avantages, dont une plus grande confiance vis à vis des clients de l’entreprise certifiée, ou encore une meilleure identification des risques et des mesures de contrôle plus efficaces.

Cette norme, basée essentiellement sur une approche par le risque, implique une réflexion et une certaine rigueur en amont pour les entreprises qui souhaiteraient en bénéficier. Voici six recommandations qui pourraient servir en vue de l’obtention de la certification ISO 27001.

 

#1 | Bien définir le scope

On considère souvent sur le marché que la certification ISO 27001 garantit la sécurité. Or, cette norme a pour vocation de certifier le SMSI. Tous les termes sont importants. L’audit du certificateur portera sur le système de gestion qui devra comporter un ensemble de processus, de documentations, de réunions, de PKI, de mesures de contrôle… Il s’agira donc dans un premier temps de bien définir le périmètre pour lequel va être certifié le système de management, car vouloir faire certifier toute une entreprise pourrait se révéler difficile, notamment pour les grandes organisations.

 

#2 | Bénéficier du support du management dans un processus continu

La certification 27001 représente un véritable processus continu. Il est donc important que le management soit un des sponsors de cette transformation et qu’il soit bien conscient qu’il ne s’agit pas d’un « one-shot ». Le processus va tout d’abord s’étaler de la préparation vers la certification jusqu’à l’audit. Il va ensuite se poursuivre tout au long de l’obtention de la certification qui sera acquise durant trois ans et contrôlée chaque année.

 

#3 | Choisir des processus et des policies en rapport avec l’existant

Il faut éviter de tomber dans l’utopie et croire que grâce à cette certification tous les problèmes seront résolus. Il ne s’agit pas ici de créer de nouveaux processus qui seraient difficilement applicables mais de rester très pragmatique en complétant les processus existants dans le sens de la norme ISO 27001, sans vouloir en révolutionner l’entièreté.

 

#4 | Se reposer sur les solutions technologiques… mais pas seulement

La norme du SMSI est constituée de 16 points comprenant de nombreuses mesures de sécurité. Chacune de ces mesures répond à une problématique particulière. Mais il faut bien comprendre que la norme ne se résume pas qu’à des éléments techniques qui, ajoutés les uns aux autres, pourraient devenir complexes à gérer. Le but n’est pas d’imposer des solutions technologiques mais de s’assurer qu’il y a bien en place un système de gestion.

 

#5 | Prendre en compte les changements culturels qu’implique la certification

Le processus ISO 27001 est basé sur un système de gestion. Qui dit gestion, dit suivi. Ce qui implique des documents, une fréquence régulière d’inspection, un contrôle de ces documents. C’est tout un processus opérationnel qu’il faut mettre en place, ce qui peut représenter un défi pour les entreprises qui ne sont pas habituées à tout documenter, contrôler, tracer. Cela constitue un changement culturel important, notamment pour les petites sociétés, qui gèrent davantage leur business de manière naturelle.

 

#6 | Construire un système de gestion complet

On néglige souvent le fait que l’information que l’on recherche existe déjà dans l’entreprise, d’une manière ou d’une autre, dans l’un des différents services de l’entreprise. Il faut donc la collecter et la recentraliser afin que l’auditeur se rende compte que tous les éléments de la norme se trouvent bien présents au sein de l’entreprise à travers un système de gestion complet.

 


Certification_ISO27001_POST Telecom PSF

Depuis le 23 septembre 2016 POST Telecom PSF dispose de la certification ISO/IEC 27001:2013 (ISO 27001) pour son système de management de la sécurité de l’information (SMSI), attestant du haut niveau de maturité de ses processus de gestion.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *