SMSI et ISO 27001
Nos activités > Appui-Conseil > Les domaines d'action
DE QUOI PARLE-T-ON ?
(Management) SÉCURITE DE L'INFORMATION & ISO
La sécurité de l'information est définie par ISO comme étant la "protection de la confidentialité, de l'intégrité et de la disponibilité de l'information" (ISO/IEC FDIS 27000:2017 §3.28). Qu'il s'agisse de travail à distance, de communication, de réglementation, de réseaux sociaux, d'intelligence artificielle ou d'entreprise connectée (liste non exhaustive), peu de problématiques échappent à ce qui est aujourd'hui une activité cruciale des entreprises. Au sens d'ISO, elle en est même une activité permanente puisqu'au sein de toutes les normes systèmes de management ISO on retrouve un paragraphe "maîtrise des informations documentées" (7.5.3.1 chez ISO 9001:2015) qui précise que les dites informations documentées doivent être "convenablement protégées (par exemple de toute perte de confidentialité, utilisation inappropriée ou perte d'intégrité)".
En d'autres termes, le management de la sécurité de l'information vise à
- Maîtriser les risques liés à la sécurité des systèmes d’information
- Mettre en place les mesures de sécurité de l’information adaptées
- Etablir les bonnes règles de gouvernance en la matière
- Être en conformité aux diverses règlementations
- Optimiser les coûts de sécurisation
- Obtenir et garder une bonne image de marque et un avantage concurrentiel
Dès lors ISO 27001:2017 vise à permettre à une entreprise d'améliorer, le cas échéant, sa performance en matière de sécurité de l'information, dans une obligation de moyens, certes, vis-à-vis d'une démarche de certification, mais dans une obligation de résultat en regard de nombre de réglementations
Liens utiles : ISO 27001:2017 / SMSI selon ISO / 27001 selon ISO
ISO 27001:2017
Norme de systèmes de management de la sécurité de l'information de référence, ISO 27001:2017 est construite suivant la logique "High Level Structure (HLS)" d'ISO ce qui veut dire qu'elle offre beaucoup de similitudes avec ISO 9001, bien sûr appliquées à la maîtrise des aspects propres à la sécurité des informations traitées par une entreprise
Elle repose sur un certain nombre de points clé, parmi lesquels
- les objectifs de sécurité de l'information et les plans pour les atteindre
- l'appréciation des risques de sécurité de l'information, leurs critères, leur importance
- le traitement des risques de sécurité de l'information et les mesures qui leurs sont appliquées
Il est a préciser que l'annexe A d'ISO 27001:2017 contient 35 objectifs et 114 mesures de sécurité de référence qui constituent une quasi exigence de la norme mais sont surtout une aide précieuse pour la mise en oeuvre d'un SMSI.
L'importance de la problématique de la sécurité des informations pourrait également être démontrée par le nombre de normes ISO qui abordent la thématique : 7 normes dites "système de management" ( 27001, 27003, 27005, 27010, 27013, 27014, 27701) auxquelles ils faudra ajouter les autres normes lignes directrices, parmi lesquelles : 27002 qui constitue un guide de bonnes pratiques et 27006 qui fixe les règles spécifiques d'audit des SMSI
Fin 2019, 36 362 certificats ISO 27001:2017 étaient valides dans le monde (351 pour la France), pour un total de 68 930 sites (1 225 pour la France)