Blog

Se conformer à l’obligation de certification ISO 27001

Temps de lecture: 4 min

Se conformer en 7 étapes à l’obligation de certification ISO 27001

La sécurité de l’information devient toujours plus importante. Un piratage ou une fuite peut entraîner l’exposition au grand jour de données à caractère personnel ou d’autres informations sensibles. Votre organisation, vos fournisseurs et vos clients en sont les premières victimes. C’est pourquoi la sécurité de votre système d’information doit répondre à des exigences plus sévères. Également dans le secteur du bâtiment. ProRail a annoncé en 2019 son intention de rendre une certification ISO 27001 obligatoire au 1er juillet 2021 pour toutes les entreprises du BTP.

Contrairement à un certain nombre d’autres maîtres d’ouvrage, ProRail n’a pas encore repoussé cette date fatidique. Vous voulez continuer à conclure des marchés avec ProRail ? Décrochez sans tarder votre certificat ISO 27001. Un tel certificat apporte la preuve aux maîtres d’ouvrage que vous avez couvert tous les risques liés à la confidentialité et à la disponibilité d’informations sensibles. Et donc également des informations du maître d’ouvrage. Un gage de fiabilité.

La certification ISO 27001 en 7 étapes

Toutes les organisations sont différentes. La sécurité de l’information figure peut-être déjà parmi les priorités de votre entreprise. Quelle que soit votre place dans le processus, il est toujours important d’avoir un aperçu des étapes qui sont nécessaires pour réussir sa certification.

Mettre ISO 27001 en œuvre avec succès dans votre organisation – Télécharger le plan par étapes

1. Organiser les processus pour ISO 27001

Réfléchissez à la manière d’articuler le système de management autour de la certification. Réfléchissez également à la situation définitive dans laquelle le système va fonctionner. Quelles activités sont nécessaires à cet effet ? Comment assurer la mise en place ? Qui établit la politique ? Comment respecter la politique ? Comment évaluer les risques ? Et comment les traiter ?

2. Enregistrer les informations de la manière exigée par la norme ISO 27001

La norme ISO 27001 prévoit que certaines informations du système de management doivent être disponibles et que ces informations sont à conserver.

Veillez à avoir suffisamment d’informations à propos du fonctionnement du système. Par exemple des documentations et des enregistrements. Définissez-les dans une méthode qui fonctionne pour vous, par exemple un manuel ou une application numérique.

3. Établir la politique de sécurité de l’information pour ISO 27001

La politique de sécurité de l’information aide votre entreprise à suivre le cap qui mène à la certification ISO 27001. La politique comporte des orientations concernant la protection des données, les mesures à prendre pour réduire les risques liés à la sécurité de l’information et la manière dont l’entreprise gère les incidents.

Rendez vos objectifs SMART. SMART est l’acronyme de « Spécifique, Mesurable, Acceptable, Réaliste et Temporel ». Cette méthode vous permet de mesurer le degré de réalisation des objectifs. C’est un impératif. En effet, la norme ISO 27001 indique que les objectifs doivent être mesurables chaque fois que cela est réalisable dans la pratique.

4. Déterminer des méthodes et des mesures pour ISO 27001

Pour réaliser vos objectifs, vous devez être conscient(e) des risques que ceux-ci comportent. Pour y parvenir, vous appliquez les processus d’appréciation et de traitement des risques. Commencez par définir vos méthodes. Tenez notamment compte des éléments suivants :

– La valeur de l’information ;

– Les coûts (en cas d’attaque contre l’intégrité de données sécurisées) ;

– La dégradation de l’image de marque ;

– Les exigences légales, contractuelles et les exigences des parties intéressées.

Vous pouvez utiliser la norme ISO 27005 comme base pour concevoir des méthodes appropriées. Cette norme comporte des orientations pour la gestion des risques liés à la sécurité de l’information. Vous avez déterminé les méthodes ? Il vous reste à évaluer les risques. Cette démarche vous aide à comprendre l’état actuel des choses.

Vous élaborez ensuite vos mesures de gestion. Vous pouvez utiliser pour ce faire l’Annexe A de la norme ISO 27001. Elle comporte une liste de 114 mesures disponibles.

Mettre ISO 27001 en œuvre avec succès dans votre organisation – Télécharger le plan par étapes

5. Établir la Déclaration d’Applicabilité pour se conformer à ISO 27001

Vous devez également établir une Déclaration d’Applicabilité (en anglais : Statement of Applicability). Il s’agit d’un élément obligatoire de la norme ISO 27001. Au paragraphe 6.1.3 (d) « Traitement des risques de sécurité de l’information », la norme prévoit ce qui suit:

« Produire une Déclaration d’Applicabilité incluant les mesures nécessaires (voir 6.1.3 b et c), la justification de leur insertion, leur mise en place (ou non) et la justification de l’exclusion de mesures de l’Annexe A. »

Faites figurer toutes les mesures dans cette déclaration et indiquez pour chaque mesure pourquoi il en est ainsi. Formulez un motif d’exclusion pour les mesures qui ne s’appliquent pas à votre situation. La Déclaration d’Applicabilité donne une vue d’ensemble de la situation actuelle, du plan de traitement et de la situation souhaitée. En produisant cette déclaration, vous vous conformez à un élément obligatoire de la norme ISO 27001.

6. Traiter les risques selon ISO 27001

Afin de pouvoir identifier les risques, vous élaborez un plan de traitement dans lequel vous définissez les actions que vous menez, les personnes que vous désignez pour ce faire et le délai dans lequel vous voulez voir un résultat. Il est important de tenir compte de situations imprévues. Certaines choses risquent de devoir être modifiées. Il est conseillé, par conséquent, de prévoir suffisamment de temps.

7. Obtenir votre certificat ISO 27001

L’implémentation est presque prête. Avant de pouvoir commencer le parcours de certification ISO 27001, vous devez évaluer le système de management de la sécurité de l’information au moyen d’audits internes et d’une revue de direction. Vous suivez ensuite le parcours de certification en coopération avec votre organisme de certification. Le certificat est délivré lorsque vous vous conformez aux exigences de la norme ISO 27001.

Au travail avec ISO 27001

Pour avoir le certificat ISO 27001 en poche avant le 1er juillet 2021, il est grand temps de vous mettre au travail. Il faut beaucoup de temps, d’énergie et les connaissances nécessaires pour cerner et comprendre la norme. Comment faire en sorte que l’organisation soit protégée contre les risques de cyberattaques et comment veiller à ce que les salariés soient conscients de l’accès à des informations importantes ?

Un sérieux défi. Qui sera plus facile à relever si vous savez ce que la norme exige de vous. C’est pourquoi TÜV Nederland a élaboré le « Plan par étape ISO 27001 : réussir sa certification en 7 étapes ». Ce plan par étape pratique vous aide à réussir votre certification.

Ce blog est le fruit d’une coopération entre 12Build et TÜV Nederland. En savoir plus à ce sujet ? Cliquer ici !

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Tiffany Frasa
Écrit par

Tiffany Frasa

Aussi intéressant pour vous

7 300x157 - La digitalisation du BTP

La digitalisation du BTP

Les grands avantages de la numérisation de l’industrie de la construction. Dans un monde digital en rapide évolution où d’importantes questions sociétales se posent et

Lire la suite

Kies voor meer overzicht

ga voor betere projectbeheer en afhandeling
Wil jij de projectadministratie en -communicatie gemakkelijker afhandelen? Snel geschikte bouwspecialisten vinden? Met 12Build Matchmaker:
Bitmap - Se conformer à l’obligation de certification ISO 27001
Path 2 1 - Se conformer à l’obligation de certification ISO 27001
Logo 12build FC - Se conformer à l’obligation de certification ISO 27001