Sélectionner une page

ISO 27001 « Sécurité de l’information » : un enjeu stratégique

 Pourquoi sommes-nous tous concernés par la sécurité de l’information?

La sécurité de l’information doit être une préoccupation de toute entreprise : dirigeants, managers, responsables qualité, … Intégrer les exigences de sécurité de l’information dans les processus métiers de l’entreprise permet de disposer d’un Système de Management Intégré (SMI). La sécurité de l’information n’est pas réservée aux seuls informaticiens, même si le système d’information repose en grande partie sur des solutions informatiques.

Profitez pleinement de notre premier livre consacré à la mise en pratique des exigences ISO 27001 : 2013. Retrouvez, ci-après, plusieurs liens vers des articles du blog consacrés à la sécurité de l’information (ISO 27001 : 2013).

Cliquez sur l’image pour accéder à l’espace de vente amazon.fr. Vous aurez accès au format broché et au format numérique.

ISO 9001 : 2013

La sécurité de l’information : Mettre en pratique les exigences ISO 9001 : 2013 de Pascal Weber et Luc Villedieu

La structure unifiée des normes ISO 9001, ISO 14001, ISO 45001 (anciennement OHSAS 18001) est une belle avancée. Les deux premières normes sont publiées depuis septembre 2015. La norme ISO 45001 sera disponible que courant 2016.

Les organismes ne sont pas nécessairement sensibilisées à la sécurité de leurs actifs.

Le premier exemple généralement cité est que le serveur de l’entreprise est un actif qui par ailleurs est bien sauvegardé. Est-ce suffisant? Avez-vous vraiment protégé cet actif?

  • La disponibilité des informations stockées sur le serveur?
  • L’intégrité des informations stockées sur le serveur?
  • La confidentialité des informations stockées sur le serveur?

Seul un système de management vous permettra, à travers une approche de maîtrise des risques, de vous assurer de la performance de votre Système de Management de la Sécurité de l’Information (SMSI).

La sécurité de l’information pour la protection de vos actifs s’appuie sur 3 critères :

  • Disponibilité de l’information
  • Intégrité de l’information
  • Confidentialité de l’information

La norme ISO 9001 : 2015 introduit également la gestion des connaissances en amont des compétences. Sommes-nous en présence d’actifs? Tous les départements de Recherche & Développement doivent se sentir concernés par la sécurité de l’information, mais pas seulement. Un expert dans une entreprise peut, dans la mesure où ses compétences sont « uniques » et difficilement trouvable en dehors de l’entreprise, être identifié en quand « qu’actif ». Il faudra évaluer les risques et mettre en place un plan de traitement des risques afin que les risques résiduels soient acceptable par la direction.

Les normes de systèmes de management ne sont plus cloisonnées depuis la mise en place de la directive ISO/CEI – partie 1 – annexe SL. Pour preuve, vous allez trouver une exigence concernant la maîtrise des informations documentées (paragraphe 7.5.3.1 b) dans les normes ISO 9001 : 2015 et ISO 14001 : 2015.

Je cite : « Les informations documentées … doivent être maîtriser pour assurer qu’elles sont convenablement protégées (par exemple, de toute perte de confidentialité, utilisation appropriée ou perte d’intégrité). »

Cet exemple illustre totalement l’approche de la sécurité de l’information à travers les trois critères : Disponibilité, Intégrité, Confidentialité.

N’hésitez-pas à laisser vos commentaires afin de :

  • poser vos questions
  • créer le débat autour de la norme ISO 27001 : 2013 ou plus largement du SMI (Système de Management Intégré)
  • partager vos propres expériences avec les autres lecteurs

En utilisant le moteur de recherche du blog, vous trouverez d’autres réponses à vos interrogations.

N’hésitez-pas à commenter les articles en fonction de vos propres expériences sur les sujets.

Au plaisir de vous lire.

Pascal Weber

Datacentre

Quelques articles de référence à lire

Le système de management de la sécurité de l’information évoque deux choses importantes qui sont la sécurité (aspect technique mais pas seulement informatique) et le système (aspect organisation).

L’information dans une entreprise regroupe l’ensemble de son savoir-faire. Ne pas protéger son information fait prendre un risque stratégique à l’entreprise si jamais son information était « touchée ».

Les prestations informatiques sont des activités support au service des activités métiers de l’entreprise. Il est important que les prestations informatiques soient appréhendées dans le cadre d’une relation clients – fournisseurs (département/service de l’entreprise ou société informatique).

Pour finir, voici l’article du lancement de notre livre :

Pin It on Pinterest