En tant que l'un des cadres les plus respectés au niveau international, la norme ISO/IEC 27001 est une certification optimale pour les entreprises qui cherchent à renforcer leur sécurité de l'information et à gagner la confiance de leurs clients.

Cependant, obtenir la certification ISO 27001 n'est pas une mince affaire.

De nombreuses heures et semaines vous attendent au début de votre processus de certification. Les choses qui valent la peine d'être obtenues ne sont pas toujours faciles, n'est-ce pas ?

Pour aider à faciliter la préparation à une certification ISO 27001, et donc votre travail, nous avons créé une liste de contrôle interactive étape par étape ISO 27001. Elle comprend toutes les tâches majeures et mineures que vous devrez accomplir pour obtenir la certification.

Liste de contrôle interactive ISO 27001 : Un guide étape par étape

Bien qu'il soit tentant de vouloir obtenir instantanément la certification ISO 27001, le processus de certification demande beaucoup de temps.

La durée de la certification dépendra de la taille de votre entreprise et de la complexité des données que vous détenez.

Une petite ou moyenne entreprise peut s'attendre à être prête pour l'audit en environ quatre mois, puis à passer l'audit en six mois. Les grandes organisations pourraient nécessiter plus d'un an.

Bien que cette liste de contrôle serve de vue d'ensemble des étapes nécessaires pour se conformer à la norme ISO 27001, ce processus sera différent pour chaque entreprise. Des facteurs tels que la taille de l'entreprise ou la maturité de leurs stratégies de gestion des risques peuvent affecter ces étapes.

Prêt à commencer ? Nous vous guiderons pour cocher chaque étape de la liste de contrôle ISO 27001 ci-dessous.

Comment obtenir la certification ISO 27001

Besoin d'un peu plus d'instructions sur la façon de compléter les étapes ci-dessus ? Nous vous guiderons à travers chaque étape du processus de mise en œuvre de la norme ISO 27001 ci-dessous.

1. Désignez une équipe ISO 27001

Tout d'abord, rassemblez une équipe dédiée pour superviser et gérer le processus ISO 27001.

Cette équipe déterminera la portée du processus de certification, créera des pratiques et des politiques de gestion de l'information, obtiendra l'adhésion des parties prenantes et travaillera directement avec l'auditeur.

En fonction de la taille de votre organisation et de la portée des données que vous gérez, vous pourrez peut-être avoir une seule personne pour diriger le projet, ou vous aurez peut-être besoin d'une équipe plus grande. Il peut être utile de désigner un chef de projet principal pour superviser ISO 27001 et de laisser cette personne constituer une équipe autour d'elle.

Voici quelques caractéristiques à rechercher chez le gestionnaire de projet ISO 27001 idéal :

• Compréhension de l'informatique
• Familiarité avec les processus métiers de l'organisation
• Expérience en gestion de projet
• Capacité à communiquer les détails de l'ISO 27001 de manière efficace

2. Construisez votre système de gestion de la sécurité de l'information (SGSI)

Il y a de fortes chances que votre entreprise dispose déjà d'un système de gestion de l'information ad hoc. Cependant, ce type de gestion des actifs ne sera pas suffisant lors d'un audit ISO 27001.

En bref, un système de gestion de la sécurité de l'information, ou SGSI, est le cadre qu'une entreprise utilise pour gérer l'information et les risques. Un SGSI se compose de politiques et de procédures qui définissent exactement comment l'information sera stockée et gérée.

Il y a trois piliers d'un SGSI : les personnes, les processus et la technologie.

ISO 27001 est la norme internationale qui offre des instructions détaillées sur la manière de créer un SGSI de premier ordre et de respecter les exigences de conformité.

Nous expliquons comment déterminer la portée du SGSI en trois étapes :

• Définir la portée : Commencez par vous demander : « Quelles informations doivent être protégées ? » Vous devrez identifier tous les lieux où les informations sont stockées. Cela inclut à la fois les documents physiques et numériques et les systèmes d'information.
• Identifier comment ces informations peuvent être accessibles : Examinez les contrôles d'accès et documentez chaque point d'accès, comme l'ordinateur d'un employé ou un classeur.
• Déterminer ce qui est hors de portée : Une question utile à poser est : « Quelles parties de l'entreprise ont besoin de créer, d'accéder ou de traiter nos actifs d'information précieux ? » Tout département ou parties qui ne relèvent pas de cette catégorie peuvent ne pas avoir besoin d'être inclus dans la portée.

Une fois que vous avez déterminé la portée de votre SGSI, vous devrez créer la déclaration de portée de votre certificat ISO 27001. Vous y décrivez ce qui est inclus et exclu de la portée en ce qui concerne les produits et services, les lieux, les départements et les personnes, la technologie et les réseaux.

Il est important de noter que votre SGSI n'est pas statique. Au fur et à mesure que votre entreprise évolue, de nouveaux processus et départements peuvent être introduits. Lorsque cela se produit, il est important de revoir votre SGSI et de faire des ajustements si nécessaire.

3. Créez et publiez les politiques, documents et enregistrements du SGSI

Deux grandes parties du processus ISO 27001 sont la documentation et le partage interne de ces documents. Cela vous aidera à rester responsable et à établir une base pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue du SGSI.

Voici une liste de documents du SGSI que vous devrez compiler :

• Clause 4.3 : Portée du SGSI
• Clause 5.2 : Politique de sécurité de l'information
• Clause 5.5.1 : Toute information documentée que l'organisation considère comme nécessaire pour soutenir le SGSI
• Clause 6.1.2 : Processus/méthodologie d'évaluation des risques de sécurité de l'information
• Clause 6.1.3 : Plan de traitement des risques de sécurité de l'information et déclaration d'applicabilité (SoA)
• Clause 6.2 : Objectifs de sécurité de l'information
• Clause 7.1.2 et 13.2.4 : Rôles et responsabilités de sécurité définis
• Clause 7.2 : Preuve de la compétence
• Clause 8.1 : Inventaire des actifs, utilisation acceptable des actifs et planification opérationnelle
• Clause 8.2 et 8.3 : Résultats de l'évaluation des risques de sécurité de l'information et traitement des risques de sécurité de l'information
• Clause 9.1 : Politique de contrôle d'accès, preuve de suivi et surveillance du SGSI
• Clause 9.2 : Processus d'audit interne documenté et rapports d'audit internes complets
• Clause 9.3 : Résultats des revues de direction
• Clause 10.1 : Preuve de toute non-conformité et actions correctives prises
• Clause 12.4 : Activité des utilisateurs, exceptions et journaux d'incidents de sécurité

Lors de la création de vos documents, vous pouvez personnaliser les modèles de politiques avec des politiques, des processus et un langage spécifiques à l'organisation.

Inclure des informations ou des références à la documentation de support concernant :

• Objectifs de sécurité de l'information
• Leadership et engagement
• Rôles, responsabilités et autorités
• Approche d'évaluation et de traitement des risques
• Contrôle des informations documentées
• Communication
• Audit interne
• Revue de direction
• Action corrective et amélioration continue
• Violations de la politique

4. Réaliser une évaluation des risques

La prochaine étape de votre liste de contrôle ISO 27001 consiste à réaliser une évaluation des risques interne. Cela permettra d'identifier les risques potentiels pour la sécurité des données et d'évaluer la gravité de ces risques.

Tout comme vous avez identifié où se trouvent toutes vos données sensibles à l'étape deux, vous ferez de même pour les risques auxquels votre organisation est confrontée. Après avoir dressé une liste des risques, déterminez la probabilité que ces risques se produisent.

Ensuite, évaluez l'impact potentiel de tous les risques identifiés. Pensez non seulement en termes de continuité des activités mais aussi à l'impact financier qu'un risque peut poser à votre organisation.

Utiliser une matrice des risques est une façon utile d'identifier les risques les plus importants auxquels votre organisation est confrontée. Voici un exemple de la manière dont ce processus pourrait se dérouler.

• Après avoir identifié les risques, vous pouvez les classer en fonction de la probabilité qu'ils se produisent. Par exemple, vous pouvez créer une échelle de 1 à 5, avec un étant improbable et cinq étant probable.
• Ensuite, vous mesurerez l'impact potentiel de chaque risque. Vous pouvez utiliser une autre échelle de 1 à 5, avec 1 étant un impact insignifiant et 5 étant catastrophique.
• Vous pouvez ensuite calculer le risque total de chaque menace identifiée pour vous aider à prioriser les plus urgentes.

Après avoir classé les risques, créez un plan de traitement des risques pour chacun. Assignez des responsabilités à certains employés et suivez jusqu'à l'achèvement.

5. Compléter un document de Déclaration d'Applicabilité (SoA)

Consultez la documentation ISO 27002 pour mieux vous familiariser avec les 114 contrôles de l'Annexe A. Vous pouvez considérer l'Annexe A comme une collection de tous les contrôles de sécurité possibles afin de trouver ceux qui concernent votre organisation.

Une fois que vous avez sélectionné les mesures de sécurité qui traitent le mieux les risques identifiés, vous pouvez créer une Déclaration d'Applicabilité (SoA).

La SoA indique quels contrôles et politiques ISO 27001 sont appliqués par l'organisation. Ce document décrira les actions qui seront entreprises pour traiter les risques.

6. Mettre en œuvre des politiques et des contrôles SMSI

Après avoir identifié les risques et développé des processus de gestion des risques, vous pouvez commencer à mettre en œuvre la politique de sécurité de l'information. Cette politique est un aperçu général de la manière dont votre organisation aborde la sécurité de l'information. Vous pouvez télécharger un modèle gratuit de politique de sécurité de l'information ici.

L'ISMS est au cœur de la norme ISO 27001. Cette norme offre des instructions étape par étape sur la façon de protéger les données contre les menaces et les vulnérabilités. Les organisations se tournent souvent vers la méthode Plan-Do-Check-Act (PDCA) pour les aider à mettre en place un plan ISMS.

Voici un aperçu de ce à quoi ressemble la méthode PDCA dans la pratique :

• Plan : Revoir les processus actuels de gestion de la cybersécurité et identifier les lacunes par rapport aux exigences de l'ISMS ISO 27001.
• Do : Déployer les nouveaux contrôles et politiques de l'ISMS.
• Check : Surveiller et examiner l'ISMS et apporter les modifications nécessaires.
• Act : Maintenir et améliorer l'ISMS au fil du temps.

Passer en revue les clauses 4 à 10 de la norme ISO 27001 et les contrôles de l'annexe A pour garantir que vous avez satisfait à toutes les exigences. Continuez à surveiller en permanence l'efficacité de votre déploiement ISMS.

C'est également à ce stade que vous devriez commencer à informer les employés de toute nouvelle procédure liée à l'ISMS qui pourrait affecter leurs tâches quotidiennes. Partagez les politiques avec les employés et suivez leur révision.

7. Former les membres de l'équipe sur l'ISO 27001

Organisez des formations régulières pour familiariser les employés avec l'ISO 27001 et le système ISMS de l'entreprise.

Passez en revue les termes liés à l'ISO 27001 qui peuvent leur être nouveaux et soulignez l'importance de la certification.

C'est également le moment de définir les attentes du personnel concernant leur rôle dans la maintenance de l'ISMS. Informez les employés de ce qui peut arriver si l'entreprise ne respecte pas les exigences de sécurité des données.

Cela aidera à souligner l'importance de votre ISMS et à planter la graine de la sensibilisation à la sécurité dans votre équipe.

8. Recueillir la documentation et les preuves

S'il y a un mot que vous entendrez encore et encore lorsqu'il s'agit de l'ISO 27001, c'est celui-ci : documentation. Plus vous faites de documentation avant les étapes d'audit, mieux c'est.

Il est maintenant temps de préparer tous les documents et dossiers requis par l'ISO 27001 pour référence lors des audits.

9. Subir un audit interne

Une fois votre ISMS en bon état, planifiez un audit interne pour voir où se situe votre entreprise sur le chemin de la certification.

Choisissez un auditeur indépendant et objectif pour effectuer l'audit interne. Lorsque l'audit est terminé, enregistrez et corrigez les résultats de l'audit interne avant de planifier l'audit de la phase 1.

10. Subir un audit de phase 1

Sélectionnez un auditeur ISO 27001 accrédité pour effectuer un audit de phase 1. Lors de cet audit externe, ils examineront la documentation requise pour la certification ISO 27001.

Une fois qu'ils auront terminé l'examen de toute la documentation, ils identifieront les lacunes ou les endroits où votre ISMS ne répond pas à la norme ISO 27001.

11. Obtenir un audit de phase 2

À ce stade, votre auditeur effectuera des tests sur votre ISMS pour évaluer sa mise en œuvre et sa fonctionnalité. Ils verront également comment votre ISMS se compare aux contrôles de l'annexe A applicables.

Le but de cet audit est de s'assurer que les processus que vous avez commencés lors de l'audit de la phase 1 sont suivis dans toute l'entreprise.

12. Mettre en œuvre les conseils de l'audit de phase 2

Prenez à cœur toutes les recommandations de l'auditeur. Une fois toutes les non-conformités majeures résolues, l'auditeur enverra un projet de certificat de conformité ISO 27001 à l'organisation pour examen.

L'entreprise apporte ensuite les ajustements mineurs avant de le renvoyer à l'auditeur. Ensuite, l'auditeur publiera le certificat, et votre certification ISO 27001 sera officielle.

13. Engagez-vous dans des audits et évaluations ultérieurs

Devenir certifié ISO 27001 n'est pas la dernière étape. Pour maintenir une conformité continue avec la norme ISO 27001, votre organisation doit s'engager dans des audits et évaluations réguliers.

Un certificat ISO 27001 dure trois ans. Pendant ce temps, la norme ISO 27001 exige que les organisations effectuent un audit de surveillance chaque année pour s'assurer qu'un SGSI conforme n'a pas échoué.

Voici quelques étapes supplémentaires à suivre pour assurer la conformité :

• Organisez des revues de direction au moins une fois par an ou sur un cycle de revue trimestriel.
• Préparez-vous pour les audits de surveillance de la première et de la deuxième année.
• Réalisez des évaluations des risques annuelles.
• Préparez-vous pour l'audit de renouvellement de la troisième année.

14. Effectuer des améliorations continues

Votre SGSI subira des changements après la certification ISO 27001. Lorsque vous changez de fournisseurs de logiciels ou travaillez avec de nouveaux fournisseurs, il peut être nécessaire de réviser votre SGSI.

Votre équipe ISO 27001 doit mettre à jour votre SGSI au besoin et documenter chaque changement. De plus, toute menace pour votre SGSI identifiée et corrigée doit être documentée.

Cela facilitera non seulement votre prochain processus de certification, mais mettra également en évidence les non-conformités qui pourraient affecter la sécurité globale de vos données.

Atteindre et maintenir la conformité ISO 27001 avec Secureframe

Si ce processus semble un peu ardu, c'est parce qu'il l'est.

Cependant, des organisations comme Secureframe rendent ce processus beaucoup plus simple. Notre plateforme d'automatisation de la conformité rationalise tout le processus d'audit ISO 27001, vous faisant gagner des centaines d'heures et des milliers de dollars.

Nous avons des partenariats avec des dizaines d'auditeurs et pouvons vous mettre en relation avec une société d'audit déjà bien familiarisée avec votre secteur d'activité. Nous fournissons également un accès à des experts ISO 27001 qui peuvent vous guider à travers toutes les complexités qui piègent de nombreuses entreprises sur le chemin de la certification.

En d'autres termes, Secureframe vous accompagne à chaque étape du processus ISO 27001. Pour savoir comment nous pouvons vous aider, demandez une démonstration dès aujourd'hui.