SMSI et ISO 27001

SMSI et ISO 27001 - OICA 202307

SMSI et ISO 27001

Nos activités > Appui-Conseil > Les domaines d'action

DE QUOI PARLE-T-ON ?

(Prestations Appui-Conseil OICA sécurité de l'information - ISO 27001)

(Management) SÉCURITE DE L'INFORMATION & ISO

La sécurité de l'information est définie par ISO comme étant la "protection de la confidentialité, de l'intégrité et de la disponibilité de l'information" (ISO/IEC FDIS 27000:2017 §3.28). Qu'il s'agisse de travail à distance, de communication, de réglementation, de réseaux sociaux, d'intelligence artificielle ou d'entreprise connectée (liste non exhaustive), peu de problématiques échappent à ce qui est aujourd'hui une activité cruciale des entreprises. Au sens d'ISO, elle en est même une activité permanente puisqu'au sein de toutes les normes systèmes de management ISO on retrouve un paragraphe "maîtrise des informations documentées" (7.5.3.1 chez ISO 9001:2015) qui précise que les dites informations documentées doivent être "convenablement protégées (par exemple de toute perte de confidentialité, utilisation inappropriée ou perte d'intégrité)".

En d'autres termes, le management de la sécurité de l'information vise à

Maîtriser les risques liés à la sécurité des systèmes d’information
Mettre en place les mesures de sécurité de l’information adaptées
Etablir les bonnes règles de gouvernance en la matière
Être en conformité aux diverses règlementations
Optimiser les coûts de sécurisation
Obtenir et garder une bonne image de marque et un avantage concurrentiel

Dès lors ISO 27001:2017 vise à permettre à une entreprise d'améliorer, le cas échéant, sa performance en matière de sécurité de l'information, dans une obligation de moyens, certes, vis-à-vis d'une démarche de certification, mais dans une obligation de résultat en regard de nombre de réglementations

Liens utiles : ISO 27001:2017 / SMSI selon ISO / 27001 selon ISO

ISO 27001:2017

Norme de systèmes de management de la sécurité de l'information de référence, ISO 27001:2017 est construite suivant la logique "High Level Structure (HLS)" d'ISO ce qui veut dire qu'elle offre beaucoup de similitudes avec ISO 9001, bien sûr appliquées à la maîtrise des aspects propres à la sécurité des informations traitées par une entreprise

Elle repose sur un certain nombre de points clé, parmi lesquels

les objectifs de sécurité de l'information et les plans pour les atteindre
l'appréciation des risques de sécurité de l'information, leurs critères, leur importance
le traitement des risques de sécurité de l'information et les mesures qui leurs sont appliquées

Il est a préciser que l'annexe A d'ISO 27001:2017 contient 35 objectifs et 114 mesures de sécurité de référence qui constituent une quasi exigence de la norme mais sont surtout une aide précieuse pour la mise en oeuvre d'un SMSI.

L'importance de la problématique de la sécurité des informations pourrait également être démontrée par le nombre de normes ISO qui abordent la thématique : 7 normes dites "système de management" ( 27001, 27003, 27005, 27010, 27013, 27014, 27701) auxquelles ils faudra ajouter les autres normes lignes directrices, parmi lesquelles : 27002 qui constitue un guide de bonnes pratiques et 27006 qui fixe les règles spécifiques d'audit des SMSI

Fin 2019, 36 362 certificats ISO 27001:2017 étaient valides dans le monde (351 pour la France), pour un total de 68 930 sites (1 225 pour la France)