5 conseils pour se préparer à la certification ISO 27001 par de vrais auditeurs

  • April 12, 2023
Author

Anna Fitzgerald

Senior Content Marketing Manager at Secureframe

Reviewer

Cavan Leung

Senior Compliance Manager at Secureframe

La préparation à la certification ISO 27001 implique de nombreux éléments mobiles. Est-ce que toutes vos politiques et documents sont en ordre ? Avez-vous des preuves suffisantes que votre SGSI respecte toutes les exigences de conformité ? Avez-vous abordé tous les aspects nécessaires de la gestion des risques ?

Pour vous aider, nous avons demandé à d'anciens auditeurs principaux ISO leurs idées et pratiques éprouvées pour se préparer et passer le processus de certification ISO 27001.

Vous pouvez les lire ci-dessous ou regarder l'enregistrement du webinaire avec Cavan Leung, responsable de la conformité chez Secureframe, ainsi que Tom Rozen et Elad Motola, directeur des opérations et directeur général de Consilium Labs.

Certification pour ISO 27001

ISO 27001 implique un processus de certification pour devenir officiellement conforme. Le processus de certification comprend un audit qui doit être effectué par une entreprise d'audit accréditée, également appelée organisme de certification.

Les étapes de la certification ISO 27001 sont les suivantes :

  • Année 1 - Audit de certification initiale : C'est la première fois qu'une organisation passe par la certification ISO 27001. Cet audit est divisé en une « Étape 1 » et une « Étape 2 » au sein de la même année et englobe 100 % des exigences de l'ISO 27001. Une fois l'organisation ayant réussi l'audit de l'Étape 2, elle obtient son certificat ISO 27001. Ce certificat est valide pour trois ans, sous réserve d'audits de surveillance annuels.
  • Années 2 et 3 - Audit de surveillance : À ce stade, l'ISO 27001 est déjà bien établi dans l'organisation. Les auditeurs auditeront généralement toutes les exigences du cadre SGSI et un échantillon des contrôles de l'annexe A pour s'assurer que le SGSI est toujours efficace et correctement maintenu.
  • Année 4 - Audit de recertification : C'est lorsque le certificat ISO 27001 est sur le point d'expirer. Lors d'un audit de recertification, les auditeurs évalueront le SGSI et s'assureront que toutes les exigences ISO 27001 sont en place afin de recertifier l'organisation pour trois années supplémentaires.

Étapes du processus d'audit ISO 27001 illustrées dans un organigramme

Comment se préparer pour la certification ISO 27001

Voici des moyens de relever les défis courants et de résoudre les points de douleur que les organisations rencontrent lorsqu'elles se préparent à obtenir la certification ISO 27001 et à la compléter.

1. Préparez-vous à participer au processus d'audit ISO 27001.

Les audits de certification ISO 27001 sont plus interactifs que ne le pensent de nombreuses organisations, surtout si c'est la première fois qu'elles passent l'audit.

Après l'examen de la documentation de la phase 1, l'auditeur ISO 27001 devra valider ses conclusions par une série d'entretiens. Par exemple, le contrôle A de l'annexe A.5 concerne les politiques de sécurité de l'information. Lors de la phase 1, l'auditeur examinera les documents de politique et les preuves de révision/d'acceptation par les employés. Lors de la phase 2, l'auditeur interrogera la direction et d'autres parties prenantes clés pour vérifier qu'il existe un processus régulier de diffusion, de révision et de mise à jour des politiques au sein de l'organisation.

Voici quelques questions courantes que les clients peuvent s'attendre à recevoir de la part de leurs auditeurs lors de ces entretiens.

  • Parties intéressées : Si vous avez soumis une liste générique, l'auditeur vous demandera probablement d'être plus précis en répertoriant les parties intéressées qui sont pertinentes pour le client.
  • Contexte de l'organisation : Si les problèmes internes et externes ne sont pas définis, l'auditeur vous demandera probablement de les définir à l'aide du processus d'évaluation des risques.
  • Étiquetage : Si vous ne classez pas vos politiques et procédures selon une matrice de classification prédéfinie, l'auditeur vous demandera probablement de le faire.

Comment Secureframe peut-il aider ?

Secureframe peut minimiser et faciliter ces interactions entre vous et votre auditeur. Il fournit tous les modèles de politiques ISO 27001 nécessaires que vous pouvez personnaliser pour votre organisation unique. Il vous permet également de réviser, de mettre à jour et de diffuser ces politiques pour que les employés puissent les examiner et les accepter, le tout sur un seul tableau de bord.

Votre gestionnaire de conformité Secureframe dédié peut également vous aider lors du processus de validation, répondre à toutes les questions relatives à la portée ou à d'autres parties du processus, et faciliter toute demande de preuve supplémentaire que votre auditeur pourrait avoir.

2. Impliquez la direction.

Les auditeurs doivent valider que les dirigeants ont assumé la responsabilité ultime de construire et maintenir un SGSI efficace. Cela inclut l'allocation de temps et de ressources appropriés pour surveiller et améliorer le SGSI au fil du temps. Cela est une exigence obligatoire de l'ISO 27001.

Comment Secureframe peut-il aider ?

La plateforme Secureframe offre une surveillance continue et des alertes en temps réel sur les non-conformités afin que votre organisation puisse surveiller, mesurer et améliorer votre SGSI au fil du temps et prendre les actions correctives nécessaires. La plateforme vous permet également d'assigner des contrôles et des tests à des individus et de recevoir des notifications lorsque ceux-ci échouent ou doivent être répétés.

Cela vous aidera à respecter l'exigence de révision de la direction de l'ISO 27001, ainsi que d'autres exigences.

3. Comprendre votre stratégie de gestion des risques.

Les organisations doivent comprendre comment la Déclaration d'applicabilité, le registre des risques, l'évaluation des vulnérabilités/pen test et autres documents sont liés entre eux et travaillent ensemble pour former leur stratégie de gestion des risques. Cette stratégie se compose généralement des quatre éléments suivants pour répondre à chacune des questions ci-dessous.

  • Évaluation des risques : Quels risques votre entreprise doit-elle affronter ?
  • Pen test/évaluation des vulnérabilités : Y a-t-il d'autres vulnérabilités qui contribuent à votre profil de risque global ?
  • Registre des risques/Traitement des risques : Comment comptez-vous prioriser et atténuer ces risques ?
  • Déclaration d'applicabilité : À quoi ressemble ce plan en pratique ? Quels contrôles spécifiques allez-vous mettre en œuvre et qui en sera responsable ?

Comment Secureframe peut-il aider ?

La plateforme Secureframe peut vous aider tout au long de l'ensemble du processus de gestion des risques. Un module de gestion des risques est intégré pour vous permettre d'identifier et d'évaluer les risques dans tout votre environnement en répondant à une série de questions.

Une fois que vous avez répondu à ces questions, la plateforme génère un registre des risques qui vous permet de surveiller, gérer et atténuer les risques en un seul endroit. Vous pouvez également assigner des traitements des risques et des étapes d'atténuation aux responsables des risques pour apporter visibilité et responsabilité à l'ensemble de l'organisation.

En outre, la plateforme peut automatiquement générer une Déclaration d'applicabilité basée sur les contrôles applicables que vous sélectionnez, ce qui vous évite d'avoir à en rédiger une de toutes pièces.

4. Comprendre les exigences des audits internes.

Contrairement à l'examen de certification, qui est effectué par un auditeur externe accrédité, l'audit interne ISO peut être réalisé en interne ou par une société de conseil tierce. Les résultats de ces audits internes aident les organisations à améliorer le SGSI au fil du temps et à s'assurer qu'il répond aux exigences pour la certification ISO 27001.

La norme ISO/IEC 27001 définit les exigences d'un audit interne dans la clause 9.2. Cette clause exige que les audits internes :

  • Soient conduits à des intervalles planifiés
  • Déterminent si le SGSI répond aux normes propres de l'organisation ainsi qu'aux exigences ISO 27001
  • Soient documentés dans le cadre d'un programme d'audit formel
  • Soient effectués par un auditeur interne indépendant et impartial (c'est-à-dire quelqu'un qui n'a pas de contrôle opérationnel ou de responsabilité sur le SGSI, ou qui n'a pas participé à son développement)
  • Incluent des résultats d'audit qui sont rapportés à la direction et conservés dans les dossiers de l'organisation

Comment Secureframe peut-il aider ?

La plateforme Secureframe dispose d'un rapport ISO 27001 où vous pouvez voir toutes les exigences du cadre, les contrôles, les tests associés, les politiques et les preuves en un seul endroit. Cette vue centralisée aide votre organisation à avoir un processus d'audit interne fluide, que vous le fassiez en interne ou que vous le sous-traitiez à une tierce partie.

Vous n'aurez pas besoin de fournir des captures d'écran, de configurer des paramètres ou de récupérer manuellement des données et des preuves. Vous devrez simplement intégrer votre fournisseur de services cloud et Secureframe récupèrera automatiquement ces données de configuration et les comparera aux exigences du cadre. Vous verrez ensuite des tests réussis ou échoués sur la plateforme Secureframe avec des tâches de remédiation exploitables. Cela vous montrera à quel point vous êtes proche de la conformité ISO 27001 et comment combler les lacunes.

5. Définir correctement la portée de la certification.

Avant de subir l'audit ISO 27001, la portée doit être définie et le client doit avoir une compréhension claire de la portée de certification qu'il possède. Cela peut être difficile pour les organisations, en particulier pour celles qui essaient d'obtenir la certification pour la première fois.

Les organisations doivent tenir compte de toutes les exigences définies dans les clauses 4-10, y compris les problèmes internes et externes ainsi que les actifs physiques tels que les centres de données. Cela doit être reflété dans leur déclaration de portée du SGSI.

Par exemple, si votre audit inclut un centre de données, il est important que le plan d'audit contienne les contrôles et les questions pertinentes qui seront vérifiés lors de l'audit lui-même. Cela permet de s'assurer que les bonnes preuves sont préparées à l'avance.

Comment Secureframe peut-il aider?

La plateforme Secureframe a la capacité de suivre automatiquement vos actifs de point de terminaison, ressources cloud et dépôts de code pertinents. Elle permet également de filtrer les exigences de conformité massives, telles que les actifs de point de terminaison en scope et le personnel et les ressources cloud pertinents.

La plateforme dispose également de modèles de SGSI qui couvrent toutes les exigences pertinentes des clauses ISO 4-10, y compris les problèmes internes et externes, les parties intéressées et la portée. Votre responsable de la conformité dédié peut vous aider à personnaliser ces modèles et à répondre à toutes vos questions concernant la définition de la portée de votre certification.

Questions fréquemment posées sur le processus d'audit et de certification ISO 27001

Vous trouverez ci-dessous les réponses des principaux auditeurs ISO 27001 aux questions fréquemment posées sur le processus d'audit et de certification ISO 27001.

1. Que doit couvrir la formation à la sensibilisation à la sécurité pour répondre aux exigences d'ISO 27001?

Cavan Leung: Il n'y a pas de sujets prescriptifs définis par l'ISO. Elle exige cependant que tous les personnels concernés par votre SMSI suivent une formation de sensibilisation à la sécurité de manière périodique. Le personnel doit également être conscient des politiques et procédures ISO 27001 en place dans l'organisation.

2. À quel point l'audit interne doit-il être détaillé ? Doit-il évaluer chaque contrôle ?

Elad Motola: Oui, l'audit interne doit couvrir tous les contrôles obligatoires et ceux de l'annexe A. Ceci pour deux raisons. La première est de s'assurer que vous êtes prêt pour l'audit externe. La seconde est parce que la norme ISO 27001 l'exige.

3. Les clients de Secureframe réalisent-ils généralement leurs audits internes en interne ou les externalisent-ils à un tiers ?

Cavan Leung: Cela dépend si l'organisation peut répondre aux exigences des audits internes en termes d'impartialité et de compétence.

Donc, si vous décidez de réaliser un audit interne en interne, vous devez vous assurer que la personne qui le réalise possède un certain niveau de compétence. Elle doit savoir comment auditer et connaître la sécurité de l'information, et de préférence elle possède une certification d'auditeur ISO 27001. Cette personne doit également être impartiale. Elle ne peut donc pas être impliquée dans la mise en œuvre, la maintenance ou tout aspect de la gestion de votre SMSI. Si une organisation ne dispose pas en interne d'une personne répondant à ces critères, elle externalisera généralement les services d'audit interne.

La taille de l'organisation influence également cette décision. Les petites organisations externaliseront généralement cette tâche car leur équipe manque de compétence ou d'impartialité pour réaliser l'audit interne. Les petites et moyennes entreprises et les grandes entreprises le réaliseront souvent en interne en exploitant quelqu'un de leur équipe pour effectuer l'audit interne.

4. Comment un auditeur ISO audite-t-il vos contrôles physiques lorsque vous êtes 100 % basé sur le cloud ?

Elad Motola: Cela dépend si le client a un bureau et si tous les employés travaillent à distance. Si tous travaillent à distance, la plupart des exigences devront être marquées comme non applicables avec une justification pour cette réponse.

Si le client a un bureau mais que tous les employés travaillent à distance, l'auditeur n'est pas obligé de réaliser l'audit sur place. Il doit toutefois examiner certains des critères physiques. Il peut le faire en utilisant un téléphone ou un ordinateur avec une caméra pour examiner certains aspects physiques.

5. Est-il possible qu'en utilisant la plateforme Secureframe, une entreprise puisse mettre en œuvre la norme ISO 27001 sans l'aide d'un consultant ?

Cavan Leung: La réponse courte est oui. En utilisant la plateforme Secureframe, vous disposerez d'un processus étape par étape pour la certification ainsi que de tout ce dont vous avez besoin pour mettre en œuvre tous les contrôles nécessaires afin d'atteindre et de maintenir la conformité sans avoir besoin de payer un consultant.

Comment Secureframe peut vous aider à vous préparer à la certification ISO 27001

Secureframe simplifie la certification ISO 27001 en optimisant les aspects du processus de préparation, y compris la gestion des tâches, la collecte de preuves, la formation de sensibilisation à la sécurité et l'évaluation et la gestion des risques.

Secureframe optimise également les aspects du processus d'audit en fournissant aux partenaires d'audit tels que Consilium Labs une vue de rapport, une exportation de preuves et un tableau de bord simple.

Cela peut vous aider à obtenir et à maintenir la conformité ISO 27001 rapidement et facilement. Planifier une démo pour voir par vous-même.