ISO / IEC 27001 est une norme mondiale conçue pour établir, maintenir et améliorer en permanence un système de gestion de la sécurité de l’information (SGSI) afin de protéger les données de l’entreprise d’une manière globale.
Elle a été élaborée et mise à jour conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI). La première version de la norme (27001: 2005) a été publiée en 2005. La version actuelle est la 27001 : 2013, tandis que la prochaine mise à jour majeure devrait être publiée par l’ISO / CEI en 2021 ou au début de 2022.
Cybersécurité
La norme globale ISO 27001 couvre les personnes, les technologies et les processus au sein de l’organisation concernée et offre une protection multidimensionnelle contre différents types de risques et de menaces. La norme implique également un engagement fort de la direction et un soutien à la sécurité de l’information à tous les niveaux de l’organisation.
Outre les exigences traditionnelles en matière de cybersécurité, la norme ISO 27001 couvre des domaines tels que la continuité des activités et la reprise après sinistre, la gestion des risques humains et la sensibilisation à la sécurité, la protection physique des informations non numériques et la conformité aux réglementations. Elle est considérée comme l’une des normes les plus complètes en matière de protection des données, qui va bien au-delà de la technologie et des processus informatiques.
Les grandes entreprises peuvent passer plusieurs années à mettre en œuvre toutes les exigences avant d’obtenir la certification souhaitée. Il est intéressant de noter que, contrairement à d’autres normes de sécurité bien connues telles que NIST 800-53 ou NIST 800-171, le texte de la norme ISO 27001 n’est pas accessible au public et doit être acheté au format PDF ou papier sur le site web de l’ISO pour une somme modique.
Pour la mise en œuvre du GDPR, contactez un DPO.