ISO 27001 : Systeme de management de la securite de l'information
La norme internationale ISO 27001 structure la securite de l'information autour d'un systeme de management certifiable. Conformitly vous accompagne dans la mise en oeuvre des 93 controles et la preparation a la certification.
Qu'est-ce que ISO 27001 ?
La norme ISO/IEC 27001 est la reference internationale pour les systemes de management de la securite de l'information (SMSI). La version 2022, qui remplace la version 2013, reorganise les controles de l'Annexe A en 93 controles repartis dans 4 themes : organisationnels, lies aux personnes, physiques et technologiques. La norme repose sur le cycle d'amelioration continue Plan-Do-Check-Act (PDCA) et exige une approche systematique de l'evaluation et du traitement des risques de securite de l'information.
Qui est concerne par ISO 27001 ?
Exigences cles d'ISO 27001
93 controles de l'Annexe A (version 2022)
93 controles de securite repartis en 4 themes : 37 controles organisationnels (politiques, roles, inventaire des actifs, relations fournisseurs), 8 controles lies aux personnes (selection, sensibilisation, responsabilites), 14 controles physiques (perimetres de securite, equipements), et 34 controles technologiques (authentification, chiffrement, surveillance, developpement securise).
Systeme de management (SMSI) et cycle PDCA
Mise en place d'un systeme de management de la securite de l'information base sur le cycle Plan-Do-Check-Act : planifier les objectifs et les processus, mettre en oeuvre les controles, surveiller et mesurer les performances, et ameliorer continuellement le systeme en fonction des resultats.
Methodologie d'evaluation des risques
Definition et application d'une methodologie d'evaluation des risques de securite de l'information, incluant l'identification des risques, l'analyse de leur vraisemblance et de leur impact, l'evaluation par rapport aux criteres d'acceptation, et la selection d'options de traitement appropriees.
Declaration d'applicabilite (DdA / SoA)
Production d'une declaration d'applicabilite documentant les controles de l'Annexe A selectionnes et leur justification, les controles exclus et la raison de leur exclusion, ainsi que l'etat de mise en oeuvre de chaque controle retenu. La DdA est un document cle pour l'audit de certification.
Calendrier ISO 27001
Publication de la norme ISO/IEC 27001:2022, remplacant la version 2013
Date limite de transition : toutes les certifications doivent etre mises a jour vers la version 2022
Consequences en cas de non-conformite
ISO 27001 etant une norme volontaire, il n'existe pas de sanctions reglementaires directes. Cependant, les consequences d'une non-conformite ou d'une perte de certification peuvent etre significatives : perte de la certification et de la credibilite associee, impossibilite de repondre a des appels d'offres exigeant la certification, perte de contrats clients imposant ISO 27001 comme prerequis, atteinte a la reputation en cas d'incident de securite non couvert par un SMSI certifie, et exposition accrue aux risques de securite de l'information.
Comment Conformitly vous aide pour ISO 27001
93 controles pre-mappes
Retrouvez les 93 controles de l'Annexe A de la version 2022 pre-configures dans Conformitly, organises par theme, avec des descriptions detaillees, des exemples de preuves attendues et un suivi de l'etat de mise en oeuvre.
Generation de la Declaration d'Applicabilite
Generez automatiquement votre Declaration d'Applicabilite a partir de vos controles selectionnes, avec la justification d'inclusion ou d'exclusion de chaque controle, et exportez-la au format PDF pour vos auditeurs.
Evaluation des risques multi-methodologies
Choisissez parmi trois methodologies d'evaluation des risques adaptees a votre maturite : methode simplifiee pour demarrer rapidement, ISO 27005 pour une approche normative, ou EBIOS RM pour une analyse avancee fondee sur les menaces.
Rapports de preparation a l'audit
Generez des rapports de preparation a l'audit incluant l'etat de conformite de chaque controle, les preuves collectees, les ecarts identifies et les plans d'action en cours, pour faciliter le travail de vos auditeurs de certification.