La certification ISO/IEC 27001 est la norme internationale fixant les exigences relatives aux SMSI (Systèmes de Management de la Sécurité de l’Information) des entreprises quel que soit leur taille et leur secteur. Elle permet aux entreprises et organisations ainsi qu’à leurs partenaires, prospects et clients de se prémunir contre le vol, la perte ou l’altération des données sensibles. Elle fixe les directives permettant d’organiser et de mettre en œuvre la sécurité de l’information au sein d’une organisation.
Qu’est-ce que la norme ISO/IEC 27001 ?
La certification ISO/IEC 27001 est la norme la plus connue au monde en matière de mise en œuvre d’un système de management de la sécurité de l’information (SMSI) éditée par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC).
Elle décline un ensemble d’exigences garantissant la confidentialité, l’intégrité et la disponibilité de l’information.
Elle donne, avec son annexe A l’ISO/IEC 27002, les directives décrivant la mise en place d’un système de management de la sécurité de l’information et garantit la mise en œuvre d’un socle de sécurité organisé en quatre grands thèmes :
- Mesures de sécurité applicables aux personnes
- Mesures de sécurité organisationnelles
- Mesures de sécurité physiques
- Mesures de sécurité technologiques
La mise en œuvre du système de management de la sécurité de l’information garantit également un principe de pilotage et d’amélioration continue de la sécurité de l’information.
La norme ISO/IEC 27001 est fondée sur un ensemble de politiques et de procédures de contrôles applicables tant aux personnes qu’aux technologies mises en œuvre.
Quels sont les apports de la norme à la sécurité des données ?
Cet ensemble d’exigences permet aux entreprises et organisations de mettre en place un Système de Management de la Sécurité de l’Information (SMSI) capable d’améliorer en continu la sécurité de l’information de toutes les parties prenantes
Une certification à la norme ISO/IEC 27001 assure les points suivants :
Une prise en compte des textes applicables à l’activé de l’entreprise :
Règlement européen sur la protection des données : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
Loi relative à l’informatique, aux fichiers et aux libertés : Loi n° 78-17 du 6 janvier 1978 et ses mises à jour
Loi relative à la lutte contre le terrorisme : Loi n° 2006-64 du 23 janvier 2006
Loi pour la confiance dans l’économie numérique : Loi n° 2004-575 du 21 juin 2004 (LCEN)…
Une conformité à un socle de sécurité sur l’ensemble des quatre thèmes définis par les directives de l’annexe A l’ISO/IEC 27002.
Elle encourage la mise en place de processus et de procédures d’entreprise et s’assure de leur respect permettant une amélioration de la gestion et de l’efficacité opérationnelle
La norme ISO/IEC 27036 pour garantir la sécurité des relations avec les fournisseurs
La certification ISO/IEC 27036 est une certification éditée par l’International Organization for Standardization (ISO) et l’International Electro-technical Commission (IEC).
Elle précise les lignes directrices de sécurisation d’un système d’information dans le cadre des relations avec les fournisseurs. Elle est spécifique aux relations avec les fournisseurs.
Quels sont les apports de la norme à la
sécurité des données ?
En complément de la norme ISO/IEC 27001, la certification à l’ISO/IEC 27036 garantit que les relations avec les fournisseurs intègrent également l’ensemble des lignes directrices dérivées de l’ISO/IEC 27002 et précise des exigences supplémentaires quant à la gestion des risques dérivées des relations avec les fournisseurs.
Pour aller plus loin, NumSpot vous propose un livre blanc rédigé par IDC, en partenariat avec RedHat, pour explorer en profondeur les enjeux majeurs de la souveraineté numérique :
- Comment concilier innovation technologique, conformité réglementaire et sécurité ?
- Quelles sont les clés pour adopter une infrastructure cloud souveraine sans compromis sur la performance ?
- Comment aligner vos projets IA avec des principes de gouvernance des données responsables ?
- Quels partenaires choisir pour renforcer votre résilience opérationnelle et éviter le verrouillage fournisseur ?
