En poursuivant votre navigation sur le site, vous acceptez l'utilisation de cookies pour votre confort et pour réaliser des statistiques de visite. En savoir plus

Système de Management de la Sécurité de l’Information ISO/CEI 27001

La sécurité de l’information : un enjeu stratégique et un avantage concurentiel

La norme ISO/CEI 27001 est devenue le modèle de référence pour la gouvernance de la sécurité des systèmes d’information. Elle permet aux organismes d’améliorer à la fois leur niveau sécurité de l’information d’un point de vue technique et humain, mais également leur système de management via des processus de validation et d’amélioration continue.

Les experts de CNPP Cybersecurity, certifiés ISO/CEI 27001 Lead Implementer et Lead Auditor, accompagnent les organismes dans une démarche d’alignement à la norme ou de certification, en proposant une approche adaptée au contexte de chaque organisme.

L’implémentation d’un système de management de la sécurité de l’information ISO/CEI 27001 présente un fort avantage concurrentiel pour les entreprises qui peuvent ainsi démontrer à leurs clients et à leurs partenaires que la sécurité de leurs informations est maitrisée.

Les différentes étapes

  • L’analyse d’écarts
  • La mise en conformité
  • L’audit à blanc
  • La certification par un tiers accrédité

L’analyse d’écarts

Les consultants de CNPP Cybersecurity réalisent cet audit en partie dans les locaux du client et en partie à distance. Il s’agit plus particulièrement d’une analyse de la documentation existante, d’une collecte d’informations par l’intermédiaire d’entretiens et d’une analyse des mesures de sécurité mises en œuvre.

L’objectif de l’analyse d’écarts est :

  • de formaliser et synthétiser le niveau de conformité de l’organisme ;
  • de définir et prioriser les actions à mettre en œuvre pour atteindre la conformité à l’ISO/CEI 27001 ;
  • d’estimer la charge nécessaire en interne et en externe pour la réalisation de ses actions.

Le livrable est un document complet de +/-90 pages présentant :

  • les résultats détaillés de l’audit sur chaque point des chapitres 4 à 10 de la norme ISO/CEI 27001 en intégrant le niveau d’implémentation et les justifications associées
  • la sélection des mesures de sécurité applicables à l’organisme (Annexe A de la norme ISO/CEI 27001) ;
  • les résultats détaillés de l’audit sur chacune des 114 mesures de sécurité de l’annexe A de la norme ISO/CEI 27001 en intégrant le niveau d’implémentation et les justifications associées ;
  • les résultats synthétiques de l’audit ;
  • les conclusions des auditeurs relatives à l’implémentation du Système de Management de la Sécurité de l’Information (ISO/CEI 27001) ;
  • les conclusions des auditeurs relatives à l’implémentation des mesures de sécurité (Annexe A de l’ISO/CEI 27001) ;
  • le plan d’actions pour atteindre la conformité à la norme ISO/CEI 27001 ;
  • la conclusion générale des auditeurs.

La mise en conformité avec la norme ISO/CEI 27001

L’identification des actions d’implémentation propre à la norme ISO/CEI 27001 découlera de l’analyse d’écarts, réalisée lors de la première étape.

Le projet de mise en œuvre d’un Système de Management de la Sécurité de l’Information s’appuie entre autres sur la mise en place des mesures de l’annexe A de la norme ISO/CEI 27001, notamment :

  • définition de la stratégie de la sécurité de l’information
  • démarche de gestion des risques
  • définition des objectifs et indicateurs de sécurité
  • rédaction des politiques et procédure
  • sensibilisation des équipes

Formation associée : ISO/CEI 27001 Lead Implementer

Maîtrisez la mise en œuvre et la gestion d’un Système de Management de la Sécurité de l’Information (SMSI) conforme à la norme ISO/CEI 27001.

Fiche de la formation S'inscrire

Formation associée : ISO/CEI 27001 Lead Auditor

Maîtrisez l’audit d’un Système de Management de la Sécurité de l’Information (SMSI) conforme à la norme ISO/CEI 27001.

Fiche de la formation S'inscrire

Formation certifiante ISO/CEI 27005 Risk Manager

Maîtrisez les principes et les concepts fondamentaux de l’appréciation des risques et de la gestion optimale des risques liés à la sécurité de l’information conformes à la norme ISO/CEI 27005.

Fiche de la formation S'inscrire