ISO27001:2013 - Systèmes de management de la sécurité de l’information – Exigences
Principe de la norme
L’SO27001 :2013 est une norme qui vise l’établissement, la mise en œuvre, la tenue à jour et l’amélioration continue d’un Système de Management de la Sécurité de l’Information (SMSI).
Vous avez dit « Système de Management de la Sécurité de l’Information » ?
Le SMSI préserve la confidentialité, l’intégrité et la disponibilité de l’information en appliquant un processus de gestion des risques et donne aux parties intéressées l’assurance que les risques sont gérés de manière adéquate.
Le SMSI fait partie intégrante des processus et de la structure de management d’ensemble de l’organisation afin que la sécurité de l’information soit prise en compte dans la conception des processus, des systèmes d’information et des mesures.
Le système de management de la sécurité de l’information évolue conformément aux besoins de l’organisation. Un SMSI bien pensé est avantageux pour les organisations de toutes tailles, confrontées à une volonté de préserver leurs patrimoines informationnels.
Quels avantages pour mon organisation ?
Mettre en œuvre un système de management de la sécurité de l'information vous aidera à :
- Gérer les risques. L’organisation démontre qu’elle considère l’importance de la sécurité de l’information et y affecte des moyens humains et financiers.
- Répondre aux exigences et besoins des clients. La sécurité de l’information et la protection des données (voir : Règlement Général sur la Protection des Données du 25 mai 2018) sont devenues des sujets d’actualité. Les clients, les citoyens peuvent s’inquiéter des traitements réservés aux informations confiées à leurs prestataires.
- Assumer la conformité. Règlement Général sur la Protection des Données, normes industrielles, lois et règlementations nationales et internationales. Une mise en œuvre adaptée d’un SMSI permet l’obtention de la conformité et d’éviter une amende ou sanction éventuelle.
- Inspirer confiance à ses partenaires. C’est un signal d’engagement clair vers les différentes parties prenantes.
- Réduire les coûts. La norme instaure le rôle central de la gestion des risques en relation avec la sélection des mesures de sécurité. Gérer ses risques de sécurité, c’est les identifier, les évaluer de manière répétable et répétée, décider du traitement à y apporte et sélectionner ensuite des mesures de sécurité mises en adéquation avec les risques identifiés.
- Créer un avantage compétitif, se différencier dans le contexte des affaires. Une certification peut très vite se transformer en une arme commerciale redoutable.