ISO 27001 est une norme rigoureuse, et cela peut être intimidant à aborder si vous obtenez la certification pour la première fois.

Par où commencer ? Quelles politiques et contrôles aurez-vous besoin ? Comment savoir si vous êtes prêt pour un audit ?

Comprendre le processus d'obtention de la certification ISO 27001 peut vous aider à vous préparer pour un audit réussi — et éliminer beaucoup de stress en cours de route.

Dans cet article, nous expliquerons le processus de certification ISO 27001, y compris ce que les organisations doivent faire pour se préparer et ce qui se passe à chaque phase de l'audit de certification.

Phases du processus de certification

Les phases du processus de certification ISO 27001

Pour obtenir la certification ISO 27001, vous devrez subir une série d'audits. Voici à quoi s'attendre pour vous préparer et compléter votre certification.

Phase un : créer un plan de projet

Qui, au sein de votre organisation, supervisera le processus, fixera des attentes et gérera les étapes clés ? Comment obtiendrez-vous l'adhésion de la direction de l'entreprise ? Allez-vous engager un consultant ISO 27001 pour vous aider à naviguer dans le processus ?

S'informer sur les normes ISO 27001 et ses 114 contrôles est une partie essentielle de ce processus. Un excellent point de départ est notre guide approfondi sur l'ISO 27001.

Phase deux : définir la portée de votre SGSI

Chaque entreprise est unique et héberge différents types de données. Avant de construire votre SGSI, vous devrez déterminer exactement quel type d'information vous devez protéger.

Pour certaines entreprises, la portée de leur SGSI inclut toute leur organisation. Pour d'autres, elle n'inclut qu'un département ou un système spécifique.

Votre équipe devra discuter de ce que vous souhaitez voir représenté dans la déclaration de portée de votre certificat ISO 27001.

Commencez par vous poser la question :

« Quel service, produit ou plateforme intéresse le plus nos clients dans le cadre de notre certificat ISO 27001 ? »

Phase trois : effectuer une analyse des risques et des écarts

Une analyse des risques formelle est une exigence pour la conformité ISO 27001. Cela signifie que les données, les analyses et les résultats de votre analyse des risques doivent être documentés.

Pour commencer, considérez votre baseline en matière de sécurité. Quelles obligations légales, réglementaires ou contractuelles votre entreprise doit-elle respecter ?

De nombreuses startups qui n'ont pas d'équipe de conformité dédiée choisissent de faire appel à un consultant ISO pour les aider dans leur analyse des écarts et leur plan de remédiation. Un consultant ayant de l'expérience avec des entreprises comme la vôtre peut fournir des conseils d'experts pour vous aider à respecter les exigences de conformité.

En plus de cela, ils peuvent vous aider à établir des meilleures pratiques qui renforcent votre posture de sécurité globale.

Phase quatre : concevoir et mettre en œuvre des politiques et des contrôles

Maintenant que vous avez identifié les risques, vous devrez décider comment votre organisation y répondra. Quels risques êtes-vous prêt à tolérer et lesquels devez-vous traiter ?

Votre auditeur souhaitera examiner les décisions que vous avez prises concernant chaque risque identifié lors de votre audit de certification ISO 27001. Vous devrez également produire une Déclaration d'applicabilité et un Plan de traitement des risques comme preuves lors de votre audit.

La Déclaration d'applicabilité résume et explique quels contrôles et politiques ISO 27001 sont pertinents pour votre organisation. Ce document est l'un des premiers que votre auditeur externe examinera lors de votre audit de certification.

Le plan de traitement des risques est un autre document essentiel pour la certification ISO 27001. Il enregistre comment votre organisation répondra aux menaces identifiées lors de votre processus d'évaluation des risques.

La norme ISO 27001 décrit quatre actions :

• Modifier le risque en établissant des contrôles qui réduisent la probabilité qu'il se produise
• Éviter le risque en empêchant les circonstances dans lesquelles il pourrait se produire
• Partager le risque avec un tiers (c'est-à-dire externaliser les efforts de sécurité à une autre entreprise, souscrire une assurance, etc.)
• Accepter le risque parce que le coût de son traitement est supérieur aux dommages potentiels

Ensuite, vous mettrez en œuvre des politiques et des contrôles en réponse aux risques identifiés. Vos politiques devraient établir et renforcer les meilleures pratiques de sécurité, comme obliger les employés à utiliser l'authentification à plusieurs facteurs et à verrouiller les appareils chaque fois qu'ils quittent leur poste de travail.

Phase cinq : compléter la formation des employés

ISO 27001 exige que tous les employés soient formés à la sécurité de l'information. Cela garantit que tout le personnel de votre organisation comprend l'importance de la sécurité des données et leur rôle dans la réalisation et le maintien de la conformité.

Phase six : documenter et collecter les preuves

Pour obtenir la certification ISO 27001, vous devrez prouver à votre auditeur que vous avez établi des politiques et des contrôles efficaces et qu'ils fonctionnent conformément à la norme ISO 27001.

La collecte et l'organisation de toutes ces preuves peuvent être extrêmement chronophages. Un logiciel d'automatisation de la conformité pour ISO 27001 peut éliminer des centaines d'heures de travaux fastidieux en recueillant ces preuves pour vous.

Phase sept : passer un audit de certification ISO 27001

À cette phase, un auditeur externe évaluera votre SGSI pour vérifier qu'il répond aux exigences de l'ISO 27001 et délivrera votre certification.

Un audit de certification se déroule en deux étapes. Tout d'abord, l'auditeur effectuera un audit de l'étape 1, où il examinera la documentation de votre SGSI pour s'assurer que vous avez mis en place les bonnes politiques et procédures.

Ensuite, un audit de l'étape 2 examinera vos processus commerciaux et vos contrôles de sécurité. Une fois que les audits des étapes 1 et 2 sont terminés, vous recevrez une certification ISO 27001 valable pour trois ans.

Phase huit : maintenir une conformité continue

ISO 27001 concerne l'amélioration continue. Vous devrez continuer à analyser et à revoir votre SGSI pour vous assurer qu'il fonctionne toujours efficacement. Et à mesure que votre entreprise évolue et que de nouveaux risques apparaissent, vous devrez rechercher des opportunités pour améliorer les processus et les contrôles existants.

La norme ISO 27001 exige des audits internes périodiques dans le cadre de cette surveillance continue. Les auditeurs internes examinent les processus et les politiques afin de détecter d'éventuelles faiblesses et des domaines à améliorer avant un audit externe.

Le processus d'audit de certification

Le processus d'audit de certification ISO 27001

• Étape 1 : Examen de la conception du Système de Management de la Sécurité de l'Information (SMSI)
  Examiner la documentation du SMSI pour s'assurer que les politiques et procédures sont correctement conçues.
• Étape 2 : Audit de certification 
  Examiner les processus et contrôles commerciaux pour assurer la conformité aux exigences du SMSI et de l'annexe A.
• Audits de surveillance 
  S'assurer que votre programme de conformité ISO 27001 est toujours efficace et maintenu.
• Audit de recertification
  À la fin de la période de certification de 3 ans, un audit de recertification évalue le SMSI et les contrôles de l'annexe A pour la conformité. La recertification est valide pour une durée supplémentaire de 3 ans. 

Une fois que vous avez construit votre SMSI, effectué une évaluation des écarts, mis en œuvre des contrôles, formé votre personnel et collecté des preuves, vous êtes prêt à commencer le processus d'audit.

Un audit ISO 27001 formel se déroule en plusieurs étapes :

Étape 1 : Examen de la conception du SMSI

Examiner la documentation du SMSI pour s'assurer que les politiques et procédures sont correctement conçues.

À cette étape, votre auditeur vérifiera que votre documentation est conforme aux exigences du SMSI ISO 27001 énumérées dans les clauses 4-10. Il signalera également toute non-conformité ou opportunité d'amélioration de votre SMSI.

Une fois que vous avez mis en œuvre les changements suggérés, vous êtes prêt pour votre audit de l'étape 2.

Étape 2 : Audit de certification

Examiner les processus et contrôles commerciaux pour assurer la conformité aux exigences du SMSI ISO 27001 et de l'annexe A.

C'est ici que votre auditeur complétera une évaluation détaillée pour déterminer si votre organisation satisfait aux exigences ISO 27001.

Une fois les étapes 1 et 2 terminées, votre certification ISO 27001 est valide pour trois ans.

Audits de surveillance

Au cours de votre période de certification de trois ans, vous devrez effectuer des audits continus. Ces audits s'assurent que votre programme de conformité ISO 27001 est toujours efficace et maintenu.

Les audits de surveillance vérifient que les organisations maintiennent correctement leur SMSI et les contrôles de l'annexe A. Les auditeurs de surveillance vérifieront également que toutes les non-conformités ou exceptions notées lors de l'audit de certification ont été traitées.

Audit de recertification

Au cours de la dernière année de la période de certification ISO de trois ans, votre organisation peut subir un audit de recertification.

Similaire à l'étape 2, l'auditeur complétera une évaluation détaillée pour déterminer si votre organisation répond aux exigences ISO 27001 pour la conception des processus/contrôles et l'efficacité opérationnelle.

Après avoir terminé l'audit de recertification, votre certification ISO 27001 est valide pour trois ans supplémentaires. La plupart des organisations passent 6 à 12 mois à préparer et à réaliser un audit de certification ISO 27001.

Le processus de certification ISO 27001 peut sembler intimidant, mais il ne doit pas être si accablant. Ce diagramme de flux vous aidera à visualiser le processus de certification ISO 27001, le décomposer en étapes gérables et suivre vos progrès vers la conformité.

Exigences de preuve pour ISO 27001

Exigences ISO 27001 : preuves du processus

Lors de votre audit de certification, votre auditeur devra évaluer différents aspects de votre SMSI, y compris les politiques, les processus commerciaux et les preuves justificatives.

Voici une base de la documentation que vous devrez fournir à votre auditeur :

• Portée du SMSI
• Politique de sécurité de l'information
• Processus d'évaluation des risques de sécurité de l'information
• Processus de traitement des risques de sécurité de l'information
• Déclaration d'applicabilité
• Objectifs de sécurité de l'information
• Preuve de compétence
• Programme de formation à la sensibilisation à la sécurité et résultats
• Résultats de l'évaluation des risques de sécurité de l'information
• Résultats du traitement des risques de sécurité de l'information
• Preuve de la surveillance et de la mesure des résultats
• Processus d'audit interne documenté
• Preuve des programmes d'audit et des résultats
• Preuve des résultats des revues de direction
• Preuve des non-conformités et des remédiations
• Preuve des résultats des remédiations
• Preuve des activités de contrôle de l'annexe A

Rationalisez le processus avec Secureframe

Une fois que vous avez créé des politiques et compilé des preuves pour votre audit ISO 27001, vous aurez probablement des centaines de documents à collecter, cataloguer et mettre à jour. Et vous devrez vous assurer que toute votre documentation est organisée avec les bons contrôles et exigences afin que votre auditeur puisse tout vérifier.

Secureframe peut simplifier le travail difficile pour rendre le processus de préparation et de maintien de la conformité plus gérable et moins stressant. Nous vous aiderons à construire un SGSI conforme, à surveiller votre pile technologique pour détecter les vulnérabilités et à gérer les risques. Planifiez une démo pour en savoir plus.