ISO 27001:2013
ISO 27001:2013
La sécurité de l'information est un sujet brûlant de nos jours ; gaucune entreprise ou organisation n'est totalement à l'abri des cyberattaques ou des violations de données. Le règlement général européen sur la protection des données (RGPD), ou règlement général sur la protection des données (RGPD), impose également une série d'obligations pour mieux protéger les données des citoyens européens.- lors du traitement de leurs données.
Une bonne sécurité de l'information est donc indispensable pour les entreprises d'aujourd'hui. Pour mieux contrôler ces risques, un Mettre en place un système de gestion de la sécurité de l'information basé sur le Norme ISO 27001:2013.
Qu'est-ce que la norme ISO 27001 ?
ISO 27001 est la norme mondiale en matière de sécurité de l'information. La base importante de la certification selon cette norme est la mise en œuvre d'un système de gestion de la sécurité de l'information. Système de gestion de la sécurité de l'information (SGSI) pour inclure la sécurité de l'information basée sur les processus. Pour ce faire, la norme ISO 27001 décrit, à l'aide d'un ensemble d'exigences, comment mettre en place, évaluer et améliorer en permanence un SMSI efficace. L'objectif est de garantir la confidentialité, la disponibilité et l'intégrité de toutes les données au sein de votre organisation.
- Confidentialité - Seules les personnes autorisées ont accès aux informations.
- Intégrité - Les informations sont vraies, complètes et correctes.
- Disponibilité - L'information est accessible au bon moment et en temps utile.
Dans un monde dominé par la technologie et les données, le certificat ISO27001 est un label de qualité indispensable pour de nombreuses entreprises. Les clients, les fournisseurs, les employés... peuvent avoir confiance dans le fait qu'en tant qu'organisation, vous êtes ont pris des mesures contre les risques liés à la sécurité de l'information et que vous traitiez les données personnelles avec soin, comme cela a été établi de manière indépendante.
Souvent, les entreprises disposent de tout le matériel et de tous les logiciels nécessaires, mais elles n'ont pas les moyens de les utiliser. La sécurité de l'information ne se limite pas à la sécurité informatique (Il s'agit également de contrôler les processus, la protection juridique, le contrôle des ressources humaines, la protection physique, etc. Une grande partie du système de gestion ISO 27001 consiste donc à établir les lignes directrices organisationnelles nécessaires pour prévenir les atteintes à la sécurité de l'information.
ISO 27001:2013
ISO 27001 est une norme internationale publiée par l'Organisation internationale de normalisation (ISO), élaborée sur la base de la norme britannique BS 7799-2. Ce document normatif - comme c'est le cas pour d'autres normes de gestion - a été revu régulièrement au fil des ans par un comité d'experts. Le comité décide ensuite de réviser ou de retirer la norme.
La première révision de la norme a été publiée en 2005, et la version la plus récente de cette norme a été publiée en 2013, mettant à jour la structure de la norme. Structure de haut niveau (HLS) Travailler dans le cadre d'une structure de base uniforme.
La dernière version en néerlandais est NEN-EN-ISO/IEC 27001:2013 Systèmes de gestion de la sécurité de l'information - Exigences. NBN" est l'acronyme de Bureau de normalisationest un organisme gouvernemental belge responsable de l'élaboration des normes en Belgique. Le suffixe "EN" renvoie quant à lui à la publication européenne par CEN-CENELEC. L'année est la version de la norme.
Pourquoi la certification ISO 27001 ?
Avec le certificat ISO 27001, vous franchissez une étape supplémentaire en matière de sécurité de l'information. Ce certificat donne à vos clients l'assurance que vous prenez la sécurité de l'information au sérieux, ce qui vous permet de vous démarquer de vos concurrents et de réduire les risques de sécurité.
Tout le monde veut être sûr que ses données sont entre de bonnes mains au sein de votre organisation. Le certificat ISO 27001 vous donne l'image d'une partie fiable qui traite les données personnelles avec soin et respecte les lois et les réglementations. Vous posez ainsi les bases d'un solide lien de confiance.
La sécurité de l'information fait l'objet d'un nombre croissant de lois, de réglementations et d'exigences contractuelles, telles que le GDPR. La bonne nouvelle, c'est que la norme ISO 27001 fournit une méthodologie parfaite pour s'y conformer. Ainsi, en maintenant votre SMSI, vous vous assurez également que vous êtes légalement conforme.
De plus en plus de clients exigent que les partenaires avec lesquels ils travaillent assurent la sécurité de leurs informations. Le certificat ISO 27001 leur donne cette assurance. Cela ne fait pas qu'améliorer votre image, cela peut aussi vous apporter des opportunités commerciales et de nouveaux appels d'offres.
La perte de réputation et de clientèle peut entraîner de graves dommages financiers. Avec un SMSI certifié, vous réduisez le risque d'utilisation abusive des informations et vous restez en permanence à l'affût des risques de sécurité en détectant et en ciblant systématiquement les vulnérabilités.
Le contenu de la norme ISO 27001
La norme ISO 27001 - comme la plupart des normes ISO - est rédigée selon le principe de l'égalité des chances. Principe de la structure harmonisée (SH). Cela signifie que ces normes partagent un texte et une structure de base communs. Cela garantit que les thèmes abordés dans chaque norme sont toujours traités au même endroit (chapitre et paragraphe).
La norme se compose de 11 chapitres, présentés ci-dessous. Les quatre premiers chapitres (0 à 3) contiennent des explications générales, tandis que les chapitres 4 à 10 décrivent le cœur de la norme, à savoir les exigences de la norme.
| Chapitre 0 : Introduction | Chapitre 6 : Planification |
| Chapitre 1 : Champ d'application (Champ d'application) | Chapitre 7 : Soutien |
| Chapitre 2 : Références normatives | Chapitre 8 : Mise en œuvre |
| Chapitre 3 : Définitions | Chapitre 9 : Évaluation |
| Chapitre 4 : Contexte de l'organisation | Chapitre 10 : Amélioration |
| Chapitre 5 : Leadership |
À qui s'adresse la norme ISO 27001 ?
ISO 27001 is nuttig voor elke organisatie die wilt aantonen dat zij serieus met informatiebeveiliging omgaan. Informatie zit immers overal. Denk aan klantengegevens, data uit een productiesysteem, gegevens uit het R&D-labo of financiële rapportering. Hierdoor kan een ISO 27001 ISMS worden geïmplementeerd in een ICT-bedrijf, maar ook bij banken, verzekeraars, overheidsinstanties, zorginstellingen, non-profitorganisaties en andere bedrijven die over vertrouwelijke informatie beschikken of verwerken.
Informatiebeveiliging betreft niet alleen IT security (bijv. firewalls, anti-virus, enz.) – het gaat ook om het beheersen van processen, het implementeren van organisatorische maatregelen, … Het is dus zeker niet enkel de IT-manager, maar heel de organisatie, die voordeel kan halen met een ISO 27001 certificaat.
De ISO 27000 serie
Hoewel ISO 27001 de enige certificeerbare norm is binnen de 27000-serie, kan het handig zijn om de managementnorm toe te passen in combinatie met andere normen uit dezelfde familie. De normen uit de ISO 27000-serie helpen bij het beheren van de beveiliging van bijvoorbeeld financiële informatie, intellectueel eigendom, werknemersgegevens of informatie die door derden wordt toevertrouwd. Deze bestaat uit de onder meer de volgende normen en richtlijnen:
- ISO 27000 – ‘Information technology – Security techniques – Information security management systems – Overview and vocabulary’
- ISO 27002 – ‘Information technology – Security techniques – Code of practice for information security controls’
- ISO 27018 – ‘Information technology – Security techniques – Code of practice for protection of personal identifiable information (PII) in public clouds acting as PII processors’
- ISO 27701 – ‘Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines’
ISO 27002 biedt als het ware een verdiepingsslag op de ISO 27001 norm. In deze norm wordt namelijk gedetailleerd aangegeven welke maatregelen je kan nemen om aan de normeisen van ISO 27001 te voldoen. Waar ISO 27001 een kort en bondig document is, biedt ISO 27002 meer informatie en details.