Le processus traditionnel pour obtenir la certification ISO 27001 peut être assez long et complexe, nécessitant des mois de préparation et plusieurs audits.
Les logiciels d'automatisation de la conformité peuvent réduire ce délai de plusieurs mois à quelques semaines. En surveillant automatiquement votre SGSI et en collectant des preuves, ils réduisent la préparation de l’audit de centaines d’heures.
Quelle que soit l'approche que vous choisissez, la certification ISO 27001 comporte quatre phases : préparation pré-audit, audits de certification des étapes 1 et 2, audits de surveillance et audits de recertification. Dans cet article, nous décrirons combien de temps il faut pour obtenir la certification ISO 27001, avec et sans automatisation.
Chronologie de la certification ISO 27001
Phase de pré-audit : Mois 1 - Mois 4
- Étape 1 : Définir le périmètre du SGSI
- Étape 2 : Effectuer une évaluation des risques et une analyse des écarts
- Étape 3 : Concevoir et mettre en œuvre des politiques et des contrôles
- Étape 4 : Documenter et collecter des preuves
- Étape 5 : Mener un audit interne et remédier si nécessaire
Audit de l'étape 1 : Mois 5
- Étape 6: l'auditeur examine la documentation du SGSI
Audit de l'étape 2 : Mois 6-8
- Étape 7 : L'auditeur évalue les contrôles de sécurité et les processus opérationnels
- Étape 8 : Recevez votre certification ISO 27001, valable trois ans
Surveillance et amélioration continue : Mois 9-12
- Étape 9 : Surveiller l'efficacité opérationnelle du SGSI
- Étape 10 : Effectuer un audit interne pour identifier les opportunités d'amélioration
Recertification : Mois 20-44
- Étape 11 : Subir un audit de surveillance annuel dans les années 1 et 2
- Étape 12 : Subir un audit de recertification à la fin de votre période de certification de trois ans. La recertification est valable trois ans supplémentaires.
Combien de temps faut-il pour obtenir la certification ISO 27001 ?
Cela dépend de la taille de votre entreprise et de la complexité des données que vous gérez.
Une petite ou moyenne entreprise peut s’attendre à être prête pour l’audit en moyenne en quatre mois, puis à traverser le processus d’audit en six mois. Les grandes organisations peuvent nécessiter un an ou plus.
Ces quatre mois de préparation à l’audit consistent généralement à définir le périmètre de votre SGSI, réaliser des évaluations de risques et des analyses des écarts, concevoir et mettre en œuvre des contrôles, former le personnel, préparer la documentation et mener l’audit interne.
Le processus d'audit de certification peut durer 2 à 3 mois et est divisé en deux étapes. Lors des audits de la première étape, l'auditeur examine la documentation du SGSI pour s'assurer que les politiques et procédures sont correctement conçues. Il peut également faire des suggestions sur la façon dont l'organisation peut améliorer son SGSI pour le rendre plus sûr.
Lors d'un audit de la deuxième étape, l'auditeur examine les processus et contrôles commerciaux pour s'assurer qu'ils sont conformes aux exigences du SGSI et de l'annexe A de l'ISO 27001.
Phase pré-audit : Mois 1-4
Pendant cette période, vous définirez la portée de votre SGSI et déciderez quels actifs d'information vous souhaitez voir représentés sur votre certificat ISO 27001.
Ensuite, vous devrez effectuer une évaluation des risques pour identifier les menaces et décider comment traiter chaque risque. Vous pouvez également choisir d'engager un consultant externe pour effectuer une analyse des écarts et fournir des conseils sur la manière de répondre aux exigences de l'ISO 27001.
L'étape de préparation de l'audit est également celle où vous devrez préparer la documentation, y compris la rédaction des politiques de sécurité et de confidentialité, la collecte des preuves de contrôle et la formation de votre personnel.
Phase d'audit : 1-6 mois
Il y a deux étapes dans un audit de certification ISO 27001. Lors de la première étape, l'auditeur examinera la documentation de votre SGSI. Il vérifiera que vous avez mis en place les politiques et procédures adéquates et qu'elles répondent aux exigences de l'ISO 27001.
Une fois que vous avez terminé un audit de la première étape, vous passerez à la deuxième, où l'auditeur examinera vos processus commerciaux et vos pratiques de sécurité.
Une fois que vous avez terminé les deux audits de la première et de la deuxième étape, l'auditeur vous délivrera une certification ISO 27001, valable pour trois ans.
Comment l'automatisation de la conformité simplifie la certification ISO 27001
Les audits ISO 27001 traditionnels nécessitent une tonne de travail préparatoire. Vous devez rédiger plus d'une douzaine de politiques, collecter et organiser des centaines de preuves, rechercher des certificats de sécurité des fournisseurs et effectuer une multitude d'autres tâches fastidieuses et chronophages. C'est un vrai calvaire.
Secureframe rend le processus beaucoup plus efficace. Nous aidons les entreprises à obtenir leur certification ISO 27001 en une fraction du temps — même par rapport à d'autres fournisseurs d'automatisation de la conformité.
Voici comment :
Collecte automatisée des preuves
Notre plateforme collecte automatiquement les preuves pendant votre période d'audit. Elle vous assure également de rester en sécurité en vous alertant de toute vulnérabilité dans votre stack technologique et en vous indiquant comment les corriger.
Modèles de politiques
Au lieu de tenter de rédiger des politiques complexes et spécifiques à partir de zéro, vous pouvez choisir parmi notre bibliothèque de politiques prêtes pour les audits ISO et les personnaliser à partir de là. Elles sont toutes vérifiées et approuvées par d'anciens auditeurs et experts en conformité.
Tableaux de bord de préparation à l'audit
Assignez des tâches aux membres de votre équipe et suivez vos progrès pour être prêt pour l'audit. Vous aurez une vue en temps réel de ce qui fonctionne bien et de ce que vous pouvez améliorer avant de faire appel à un auditeur.
Nos clients se sont préparés avec succès à un audit ISO 27001 en quelques semaines. Voyez ce qu'ils ont à dire sur Secureframe.