La certification ISO/IEC 27001 est la norme internationale fixant les exigences relatives aux SMSI (Systèmes de Management de la Sécurité de l’Information) des entreprises quel que soit leur taille et leur secteur.
Elle permet aux entreprises et organisations ainsi qu’à leurs partenaires, prospects et clients de se prémunir contre le vol, la perte ou l’altération des données sensibles.
Elle fixe les directives permettant d’organiser et de mettre en œuvre la sécurité de l’information au sein d’une organisation.
Qu’est-ce que la norme ISO/IEC 27001 ?
La certification ISO/IEC 27001 est la norme la plus connue au monde en matière de mise en œuvre d’un système de management de la sécurité de l’information (SMSI) éditée par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC).
Elle décline un ensemble d’exigences garantissant la confidentialité, l’intégrité et la disponibilité de l’information.
Elle donne, avec son annexe A l’ISO/IEC 27002, les directives décrivant la mise en place d’un système de management de la sécurité de l’information et garantit la mise en œuvre d’un socle de sécurité organisé en quatre grands thèmes :
La mise en œuvre du système de management de la sécurité de l’information garantit également un principe de pilotage et d’amélioration continue de la sécurité de l’information.
La norme ISO/IEC 27001 est fondée sur un ensemble de politiques et de procédures de contrôles applicables tant aux personnes qu’aux technologies mises en œuvre.
Quels sont les apports de la norme à la sécurité des données ?
Cet ensemble d’exigences permet aux entreprises et organisations de mettre en place un Système de Management de la Sécurité de l’Information (SMSI) capable d’améliorer en continu la sécurité de l’information de toutes les parties prenantes
Une certification à la norme ISO/IEC 27001 assure les points suivants :
Une prise en compte des textes applicables à l’activé de l’entreprise :
Règlement européen sur la protection des données : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
Loi relative à l’informatique, aux fichiers et aux libertés : Loi n° 78-17 du 6 janvier 1978 et ses mises à jour
Loi relative à la lutte contre le terrorisme : Loi n° 2006-64 du 23 janvier 2006
Loi pour la confiance dans l’économie numérique : Loi n° 2004-575 du 21 juin 2004 (LCEN)…
Une conformité à un socle de sécurité sur l’ensemble des quatre thèmes définis par les directives de l’annexe A l’ISO/IEC 27002.
Elle encourage la mise en place de processus et de procédures d’entreprise et s’assure de leur respect permettant une amélioration de la gestion et de l’efficacité opérationnelle
La norme ISO/IEC 27036 pour garantir la sécurité des relations avec les fournisseurs
La certification ISO/IEC 27036 est une certification éditée par l’International Organization for Standardization (ISO) et l’International Electro-technical Commission (IEC).
Elle précise les lignes directrices de sécurisation d’un système d’information dans le cadre des relations avec les fournisseurs. Elle est spécifique aux relations avec les fournisseurs.
Quels sont les apports de la norme à la
sécurité des données ?
En complément de la norme ISO/IEC 27001, la certification à l’ISO/IEC 27036 garantit que les relations avec les fournisseurs intègrent également l’ensemble des lignes directrices dérivées de l’ISO/IEC 27002 et précise des exigences supplémentaires quant à la gestion des risques dérivées des relations avec les fournisseurs.
A propos de NumSpot
NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens.
