La
certification ISO 27001 est une convention internationale qui valide une mise en sûreté des data d'une administration ou d'une entreprise, entre autres. Cette norme précise les impératifs de la mise en œuvre d'un smsi : système de management de la sécurité de l'information.
Une garantie de sécurité rassurante
Ce système instauré dans une société ne débouche pas obligatoirement sur une certification. Cependant, celle-ci en est la conclusion logique et rationnelle. Allier les deux se révèle prudent puisque seul un système certifié est synonyme de fiabilité aux yeux des interlocuteurs d'une entreprise. La certification s'appuie sur des dispositions proportionnelles aux risques. Ces dernières ne sont donc ni sévères à l'excès, ni trop permissives. Des comités spécifiques sont chargés successivement de la validation technique puis de la certification. Ces démarches sont distinctes de l'audit initial, première étape du processus dont la durée est précisée dans l'annexe C du standard ISO/CEI 27006. Le protocole complet qui mène à la certification correspond à un cycle de trois ans. Après l'examen par les deux comités (de validation et de certification) a lieu la délivrance éventuelle du certificat initial. En cas d'obstacle, il faudra résoudre les problèmes relevés par l'auditeur. En cliquant sur
certification-qse.com, vous aurez accès à un organisme indépendant, légitime pour délivrer cette attestation. Concrètement, il s'agit de la preuve que votre entreprise (ou association, organisme, etc.) a mis en œuvre un système de management de la sécurité de l'information, qui répond aux exigences de la norme
ISO 27001. Différents points de contrôle sont pris en compte afin de protéger vos data sensibles. Les buts du smsi sont déterminés durant la phase planificatrice. Elle inclut quatre stades.
Un processus balisé et contrôlé
Le premier palier de la planification des objectifs du système de management de la sécurité de l'information consiste à préciser la stratégie prévue. Il faut ensuite identifier et estimer les risques en lien avec la sécurité. À cette deuxième étape s'ajoute la nécessité de construire la stratégie de sécurité. En troisième lieu, il convient de traiter le risque et de reconnaître les aléas résiduels, via un plan de gestion. Chaque péril identifié peut être traité au choix de quatre manières différentes. Chacune a plus ou moins d'intérêt pour l'organisme concerné. Tout d'abord, la méthode dite de l'évitement équivaut à réorganiser le
smsi. Le deuxième traitement possible est la réduction. Cela revient à ramener la probabilité du risque à un degré convenable. La troisième procédure correspond au transfert, où l'on choisit de réduire la part de risque inéluctable. La quatrième technique n'entraîne aucune précaution complémentaire spécifique, dans la mesure où les éventuelles répercussions du risque résiduel sont admissibles. La mise en place de dispositions améliorant la sûreté des données se poursuit avec trois autres phases. Elles complètent le traitement du risque. Ces étapes sont le cadre du choix des mesures. Une première phase, l'implémentation, met en œuvre les objectifs fixés. Deuxièmement, le maintien ou « check » constitue la gestion du système au quotidien. Enfin, l'ultime stade sert à réaliser, le cas échéant, des interventions correctives. La norme inclut dix chapitres ainsi qu'une annexe. En respectant ces contraintes, la certification devient possible.
La procédure de la certification
Celle-ci n'est pas forcément l'objectif d'une entreprise ou association qui opte pour la mise en place d'un système de management de sécurité de l'information. Cependant, une telle attestation conclut de façon logique le choix de ce système. La marche à suivre s'étend sur trois ans, ponctués par un premier audit et plusieurs autres, destinés à la surveillance du système. Enfin, l'audit de renouvellement clôt le cycle. Ces différents contrôles n'offrent pas directement la certification ISO/CEI 27001, mais constituent des avis, étudiés ultérieurement par le comité chargé de la validation technique. Cette dernière précède celle du comité de certification : une attestation initiale est alors délivrée pour une période de trois ans. Si la validation ne peut avoir lieu, un audit de complément est diligenté dans un délai de trois mois. L'entreprise ou association auditée aura alors la possibilité de rectifier les faiblesses relevées. Le contrôle annuel est programmé lorsque le certificat est valide, durant trois ans. Il permet de vérifier si le système de management de la sécurité de l'information est toujours en règle. Cette analyse se concentre sur plusieurs points, comme la progression des activités prévues et la viabilité du système. Il s'agit aussi d'examiner divers autres critères choisis par l'auditeur. Les avantages du certificat ISO 27001-SMSI sont multiples. Vos données sensibles font l'objet d'une protection fiable, un atout qui garantit une véritable confidentialité, primordiale pour votre clientèle. Cette attestation peut vous distinguer de vos concurrents sur le plan professionnel ou associatif et fidéliser vos interlocuteurs dans le cadre de votre activité.
