SO 27001 est la référence mondiale acceptée pour démontrer votre système de gestion de la sécurité de l'information (SGSI). Si vous cherchez des clients en dehors des États-Unis, on vous demandera probablement un certificat ISO 27001.
Publiée par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI), la norme [ISO 27001] (https://www.vanta.com/glossary/iso-27001) - ou, comme elle est officiellement connue, ISO/CEI 27001:2013 -** est une norme internationale acceptée dans le monde entier qui a été développée pour aider les organisations à protéger leurs informations et leurs actifs de support de manière organisée et rentable par la mise en œuvre d'un système de gestion de la sécurité de l'information (SGSI).
La [norme de sécurité ISO 27001] (https://www.vanta.com/glossary/iso27001-security-standard) est un ensemble d'exigences régissant la mise en œuvre organisationnelle de politiques, de procédures et de contrôles ; elle est conçue pour aider les entreprises à gérer la sécurité de leurs informations en organisant les personnes, les processus et les technologies afin de garantir la confidentialité, la disponibilité et l'intégrité des informations. Confidentialité garantit que seules les personnes autorisées et approuvées ont le droit d'accéder aux informations. *L'intégrité garantit que seules les personnes autorisées peuvent apporter des modifications aux informations. *La disponibilité garantit que les informations sont accessibles aux personnes autorisées lorsqu'elles en ont besoin.
Une mise en œuvre réussie de la norme ISO 27001 passe par le processus Planifier, Faire, Vérifier, Agir (PDCA). Cette méthode aide les organisations à reconnaître les défis ou menaces internes et externes, et à identifier les lacunes à combler. La phase Plan est l'occasion pour une organisation d'établir le contexte et la portée de son SMSI. Dans la phase Do, une organisation met en œuvre ses politiques, contrôles, processus et procédures ISMS, y compris une évaluation des risques et un plan de traitement. La phase Check implique le travail de l'organisation pour surveiller, mesurer, analyser et évaluer le SGSI et sa mise en œuvre. La phase Act est l'occasion pour l'organisation de prendre des mesures correctives et préventives en fonction des résultats de l'audit interne et de la revue de direction du SMSI.
La norme ISO 27001 adopte une approche de la sécurité de l'information basée sur le risque, exigeant des organisations qu'elles identifient les risques de sécurité de l'information pertinents pour leur organisation et l'espace dans lequel elles opèrent, et qu'elles sélectionnent les contrôles appropriés pour traiter ces risques. La norme complète fournit un large éventail de contrôles qu'une organisation peut utiliser pour s'assurer que son approche de la sécurité de l'information est complète et bien adaptée à l'organisation. La norme est applicable aux organisations de toute taille ou de tout type.
ISO 27001 est considérée comme la norme mondiale de référence pour assurer la sécurité des informations et des actifs connexes. L'obtention de la certification ISO 27001 peut aider une organisation à prouver ses pratiques de sécurité à des clients potentiels partout dans le monde.
Tout comme le processus d'un [audit SOC 2] (https://www.vanta.com/blog/what-does-a-soc-2-audit-cost), le coût de l'obtention de la certification ISO 27001 varie en fonction de la taille de l'organisation et du nombre d'employés, ce qui contribue à déterminer le temps nécessaire à l'audit de l'organisation. Les coûts de la certification ISO 27001 peuvent varier de 6 000 à 10 000 dollars pour les petites entreprises, à plus de 25 000 dollars pour les grandes entreprises.
Selon la taille de l'organisation, la mise en œuvre d'un SMSI basé sur la norme ISO 27001 peut être complexe et impliquer une variété d'activités et de personnes ; le projet peut durer plusieurs mois, voire un an ou plus. En adoptant une approche structurée et en définissant clairement la portée du travail - y compris ce qui doit être fait, qui est responsable de l'exécution des différentes tâches et le calendrier d'exécution - votre entreprise sera en mesure de réussir la mise en œuvre de la norme ISO 27001 en temps voulu et de manière gérable.
Votre certification ISO 27001 est valable pendant trois ans, ce qui signifie que tous les trois ans, vous devrez effectuer un audit ISO 27001 complet. Toutefois, l'ISO exige que des audits de surveillance soient réalisés au cours des deuxième et troisième années du cycle de certification afin de s'assurer que votre SMSI et les contrôles mis en œuvre continuent de fonctionner efficacement. Au cours de ces années, le SGSI de votre organisation doit faire l'objet d'un audit externe, au cours duquel un auditeur évaluera certaines parties de votre SGSI. Une fois votre SMSI mis en œuvre, il est important d'assurer une maintenance appropriée et une amélioration continue du SMSI dans le champ d'application, sinon vous risquez d'échouer à votre audit de surveillance et de perdre votre certification ISO.