Comment se préparer à la certification ISO 27001

Se préparer à la certification ISO 27001 implique de nombreux éléments en mouvement. Tous vos politiques et documents sont-ils en ordre ? Disposez-vous des preuves appropriées que votre SGSI répond à toutes les exigences de conformité ? Avez-vous abordé tous les aspects nécessaires de la gestion des risques ?

Pour vous aider, nous avons demandé à d'anciens auditeurs principaux ISO leurs idées et meilleures pratiques éprouvées pour se préparer et suivre le processus de certification ISO 27001.

Vous pouvez les lire ci-dessous ou regarder l'enregistrement du webinaire avec Cavan Leung, responsable de la conformité chez Secureframe, Tom Rozen et Elad Motola, le CRO et le COO de Consilium Labs.

Certification pour ISO 27001

ISO 27001 implique un processus de certification pour devenir officiellement conforme. Le processus de certification comprend un audit qui doit être réalisé par une entreprise d'audit accréditée, également connue sous le nom d'organisme de certification.

Les étapes de la certification ISO 27001 sont les suivantes :

• Année 1 - Audit initial de certification : C'est la première fois qu'une organisation passe la certification ISO 27001. Cet audit est divisé en "Étape 1" et "Étape 2" au cours de la même année et englobe 100% des exigences ISO 27001. Une fois que l'organisation réussit l'audit de l'Étape 2, elle obtient son certificat ISO 27001. Ce certificat est valable trois ans, sous réserve de audits de surveillance annuels.
• Années 2 et 3 - Audit de surveillance : À ce stade, ISO 27001 est déjà établi dans l'organisation. Les auditeurs auditeront généralement toutes les exigences du cadre du SGSI et un échantillon de contrôles de l'Annexe A pour s'assurer que le SGSI est toujours efficace et bien maintenu.
• Année 4 - Audit de recertification : C'est à ce moment-là que le certificat ISO 27001 est sur le point d'expirer. Lors d'un audit de recertification, les auditeurs évalueront le SGSI et s'assureront que toutes les exigences ISO 27001 sont en place afin de recertifier l'organisation pour trois années supplémentaires.

Comment se préparer à la certification ISO 27001

Voici des moyens de surmonter les défis courants et les points problématiques rencontrés par les organisations lors de la préparation et de la réalisation du processus de certification ISO 27001.

1. Attendez-vous à participer au processus d'audit ISO 27001.

Les audits de certification ISO 27001 sont plus interactifs que ce à quoi s'attendent de nombreuses organisations, surtout s'il s'agit de leur première fois.

Après l'examen de la documentation de l'étape 1, l'auditeur ISO 27001 devra valider ses constatations par une série d'entretiens. Par exemple, le contrôle A.5 de l'annexe A concerne les politiques de sécurité de l'information. Lors de l'étape 1, l'auditeur examinera les documents de politique et les preuves de revue et d'acceptation par les employés. Lors de l'étape 2, l'auditeur interrogera la direction et d'autres parties prenantes clés pour vérifier qu'un processus régulier est en place pour diffuser, examiner et mettre à jour les politiques au sein de l'organisation.

Voici quelques questions courantes que les clients peuvent s'attendre à recevoir de leurs auditeurs lors de ces entretiens.

• Parties intéressées : Si vous avez soumis une liste générique, l'auditeur vous demandera probablement d'être plus précis lors de l'inscription des parties intéressées pertinentes pour le client.
• Contexte de l'organisation : Si les problèmes internes et externes ne sont pas définis, l'auditeur vous demandera probablement de les définir à l'aide du processus d'évaluation des risques.
• Étiquetage : Si vous n'étiquetez pas vos politiques et procédures selon une matrice de classification prédéfinie, l'auditeur vous demandera probablement de le faire.

Comment Secureframe peut-il aider ?

Secureframe peut aider à minimiser et à faciliter ces interactions entre vous et votre auditeur. Il fournit tous les modèles de politiques ISO 27001 nécessaires que vous pouvez personnaliser pour votre organisation unique. Il vous permet également de revoir, mettre à jour et diffuser ces politiques pour que les employés les examinent et les acceptent, le tout dans un seul tableau de bord.

Votre responsable de conformité dédié de Secureframe peut également vous aider dans le processus de validation, répondre à toutes les questions concernant la portée ou d'autres parties du processus, et faciliter toute demande de preuve supplémentaire que votre auditeur pourrait avoir.

2. Impliquez la direction.

Les auditeurs doivent valider que la direction a pris la responsabilité ultime de construire et maintenir un SMSI efficace. Cela inclut l'allocation du temps et des ressources appropriés pour surveiller et améliorer le SMSI au fil du temps. Ceci est une exigence obligatoire de l'ISO 27001.

Comment Secureframe peut-il aider ?

La plateforme Secureframe offre une surveillance continue et des alertes en temps réel sur les non-conformités afin que votre organisation puisse surveiller, mesurer et améliorer votre SMSI au fil du temps et prendre les mesures correctives nécessaires. La plateforme vous permet également d'attribuer des contrôles et des tests à des individus et de recevoir des notifications quand ceux-ci échouent ou doivent être répétés.

Cela vous aidera à répondre à la norme ISO 27001 pour la revue de direction, ainsi qu'à d'autres exigences.

3. Comprendre votre stratégie de gestion des risques.

Les organisations doivent comprendre comment la Déclaration d'applicabilité, le registre des risques, l'évaluation des vulnérabilités/test d'intrusion, et d'autres documents se rapportent les uns aux autres et travaillent ensemble pour former leur stratégie de gestion des risques. Cette stratégie est généralement composée des quatre éléments suivants pour répondre à chacune des questions ci-dessous.

• Évaluation des risques : Quels risques votre entreprise rencontre-t-elle ?
• Test d'intrusion/évaluation des vulnérabilités : Existe-t-il d'autres vulnérabilités qui contribuent à votre profil global de risques ?
• Registre des risques/Traitement des risques : Comment envisagez-vous de prioriser et de minimiser ces risques ?
• Déclaration d'applicabilité : À quoi ressemble ce plan en pratique ? Quels contrôles spécifiques allez-vous mettre en œuvre et qui sera responsable de leur application ?

Comment Secureframe peut-il vous aider ?

La plateforme Secureframe peut vous aider tout au long du processus de gestion des risques. Un module de gestion des risques est intégré pour vous permettre d'identifier et d'évaluer les risques dans toute votre organisation en répondant à une série de questions.

Une fois que vous avez répondu à ces questions, la plateforme génère un registre de risques qui vous permet de surveiller, gérer et atténuer les risques en un seul endroit. Vous pouvez également assigner des traitements et des étapes d'atténuation des risques aux responsables des risques pour apporter visibilité et responsabilité à l'ensemble de l'organisation.

De plus, la plateforme peut générer automatiquement une Déclaration d'applicabilité basée sur les contrôles applicables que vous sélectionnez afin que vous n'ayez pas à en rédiger une à partir de zéro.

4. Comprendre les exigences des audits internes.

Contrairement à la revue de certification, qui est réalisée par un auditeur externe accrédité, l’audit interne ISO peut être effectué en interne ou par une société de conseil externe. Les résultats de ces audits internes aident les organisations à améliorer le SGSI au fil du temps et à s'assurer qu'il répond aux exigences pour la certification ISO 27001.

La norme ISO/CEI 27001 énonce les exigences pour un audit interne dans la clause 9.2. Cette clause exige que les audits internes :

• Soient effectués à intervalles planifiés
• Déterminent si le SGSI répond aux normes de l'organisation ainsi qu'aux exigences de l'ISO 27001
• Soient documentés comme faisant partie d'un programme d'audit formel
• Soient réalisés par un auditeur interne indépendant et impartial (c'est-à-dire non par une personne ayant un contrôle opérationnel ou une responsabilité sur le SGSI, ou qui a été impliquée dans son développement)
• Inclure les résultats de l'audit qui sont rapportés à la direction et conservés comme partie des archives de l'organisation

Comment Secureframe peut-il aider ?

La plateforme Secureframe possède un rapport ISO 27001 où vous pouvez voir toutes les exigences du cadre, les contrôles, les tests associés, les politiques et les preuves en un seul endroit. Cette vue centralisée aide votre organisation à avoir un processus d'audit interne fluide, que vous le fassiez en interne ou que vous le déléguiez à un tiers.

Vous n'aurez pas besoin de fournir des captures d'écran, de configurer des paramètres ou de collecter manuellement des données et des preuves. Vous aurez juste besoin d'intégrer votre fournisseur de services cloud et Secureframe extraira automatiquement ces données de configuration et les comparera aux exigences du cadre. Vous verrez ensuite les tests réussis ou échoués sur la plateforme Secureframe avec des tâches de remédiation actionnables. Cela vous montrera à quel point vous êtes proche de la conformité ISO 27001 et comment combler les lacunes.

5. Définir correctement la certification.

Avant de passer l'audit ISO 27001, le périmètre doit être défini et le client doit avoir une compréhension claire de la portée de la certification. Cela peut être un défi pour les organisations, notamment pour celles essayant d'obtenir la certification pour la première fois.

Les organisations doivent tenir compte de toutes les exigences définies dans les clauses 4-10, y compris les problèmes internes et externes ainsi que les actifs physiques tels que les centres de données. Cela doit être reflété dans leur déclaration de portée du SGSI.

Par exemple, si votre audit inclut un centre de données, il est important que le plan d'audit contienne les contrôles et questions pertinents qui seront vérifiés au cours de l'audit lui-même. Cela aide à s'assurer que les bonnes preuves sont préparées à l'avance.

Comment Secureframe peut-il aider ?

La plateforme Secureframe a la capacité de suivre automatiquement vos actifs terminaux, ressources cloud et dépôts de code pertinents. Elle permet également de filtrer les exigences de conformité de masse, telles que les actifs terminaux concernés et le personnel et les ressources cloud pertinents.

La plateforme propose également des modèles de SGSI qui couvrent toutes les exigences pertinentes des clauses ISO 4-10, y compris les problèmes internes et externes, les parties intéressées et le périmètre. Votre responsable de conformité dédié peut vous aider à personnaliser ces modèles et répondre à toutes les questions concernant la définition de la portée de votre certification.

Questions fréquemment posées sur le processus d'audit et de certification ISO 27001

Vous trouverez ci-dessous les réponses des principaux auditeurs ISO 27001 aux questions fréquemment posées sur le processus d'audit et de certification ISO 27001.

1. Que doit couvrir la formation à la sensibilisation à la sécurité pour répondre aux exigences ISO 27001 ?

Cavan Leung : Il n'y a pas de sujets prescriptifs que l'ISO a définis. Elle exige que tout le personnel concerné par votre Système de Management de la Sécurité de l'Information (SMSI) suive une formation de sensibilisation à la sécurité de façon périodique. Le personnel doit également être informé des politiques et procédures ISO 27001 en place dans l'organisation.

2. Quel niveau de détail l'audit interne doit-il atteindre ? Doit-il évaluer chaque contrôle ?

Elad Motola : Oui, l'audit interne doit couvrir tous les contrôles obligatoires et ceux de l'annexe A. Cela pour deux raisons. La première est de vous assurer que vous êtes prêt pour l'audit externe. La seconde est que la norme ISO 27001 l'exige.

3. Les clients de Secureframe effectuent-ils généralement les audits internes eux-mêmes ou les confient-ils à un tiers ?

Cavan Leung : Cela dépend si l'organisation peut répondre aux exigences des audits internes en termes d'impartialité et de compétence.

Donc, si vous décidez de faire un audit interne en interne, vous devez vous assurer que la personne qui le fait possède un certain niveau de compétence. Elle doit savoir comment auditer, connaître la sécurité de l'information, et de préférence avoir une certification d'auditeur ISO 27001. Cette personne doit également être impartiale. Elle ne peut donc pas être impliquée dans la mise en œuvre, la maintenance ou tout aspect de la gestion de votre SMSI. Si une organisation n'a pas de personne qui répond à ces critères en interne, elle externalisera généralement les services d'audit interne.

La taille de l'organisation influence également cette décision. Les petites organisations externaliseront généralement cela car leur équipe n'a pas la compétence ou l'impartialité pour réaliser un audit interne. Les petites et moyennes entreprises et les grandes entreprises font généralement appel à quelqu'un de leur équipe pour réaliser l'audit interne.

4. Comment un auditeur ISO évalue-t-il vos contrôles physiques lorsque vous êtes à 100 % dans le cloud ?

Elad Motola : Cela dépend si le client a un bureau et si tous les employés travaillent à distance. S'ils travaillent tous à distance, la plupart des exigences devront être marquées comme non applicables avec une justification pour cette réponse.

Si le client a effectivement un bureau mais que tous les employés travaillent à distance, l'auditeur n'est pas obligé de réaliser l'audit sur site. Cependant, il doit examiner certaines des exigences physiques. Il peut le faire en utilisant un téléphone ou un ordinateur avec une caméra pour examiner certains aspects physiques.

5. Est-il possible qu'en utilisant la plateforme Secureframe, une entreprise puisse mettre en œuvre la norme ISO 27001 sans l'aide d'un consultant ?

Cavan Leung : La réponse courte est oui. En profitant de la plateforme Secureframe, vous obtiendrez un processus étape par étape pour la certification ainsi que tout ce dont vous avez besoin pour mettre en œuvre tous les contrôles nécessaires pour atteindre et maintenir la conformité sans avoir besoin de payer un consultant.

Comment Secureframe peut vous aider à vous préparer à la certification ISO 27001

Secureframe simplifie la certification ISO 27001 en optimisant les aspects du processus de préparation, y compris la gestion des tâches, la collecte de preuves, la formation de sensibilisation à la sécurité, et l'évaluation et la gestion des risques.

Secureframe optimise également des aspects du processus d'audit en fournissant aux partenaires d'audit comme Consilium Labs une vue de rapport, une exportation de preuves, et un tableau de bord simple.

Cela peut vous aider à obtenir et à maintenir la conformité ISO 27001 avec rapidité et facilité. Planifiez une démo pour le voir par vous-même.