ISO/IEC 27001:2022
Direct answer
ISO/IEC 27001:2022 est la norme internationale pour un système de management de la sécurité de l’information (SMSI). Elle offre aux organisations un cadre fondé sur les risques, dix clauses et 93 contrôles en Annexe A répartis en quatre thèmes, pour gouverner la confidentialité, l’intégrité et la disponibilité des informations. Des organismes tiers accrédités la certifient. Les certificats sont valables trois ans avec une surveillance annuelle.
Exigences clés
ISO/IEC 27001:2022
Comment Acuna répond
Cartographier les 93 contrôles de l’Annexe A, définir le périmètre et générer la Déclaration d’applicabilité dans le volet Comply.
Assigner la responsabilité des contrôles, collecter les preuves et suivre le statut de mise en œuvre pour chaque contrôle applicable.
Gérer le registre des risques et les plans de traitement, exécuter les contrôles récurrents et maintenir le SMSI à jour pour la surveillance.
Préparer les dossiers d’audit, suivre et clôturer les non-conformités, gérer les actions correctives jusqu’à leur résolution.
Réponses associées
ISO 27001 est la norme internationale pour les systèmes de management de la sécurité de l’information (SMSI). Publiée par l’ISO/IEC, elle définit les exigences pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un SMSI. La révision 2022 inclut 93 contrôles répartis sur quatre thèmes : organisationnel, humain, physique et technologique. La certification requiert un audit externe accrédité démontrant que le SMSI répond à toutes les exigences des clauses et que les contrôles de l’Annexe A sélectionnés sont mis en œuvre et efficaces. Acuna prend en charge l’intégralité du cycle de vie ISO 27001, de la définition du périmètre à la préparation des audits.
La GRC (Gouvernance, Risques et Conformité) est une discipline de management large couvrant la manière dont une organisation dirige sa stratégie, gère ses risques et respecte ses obligations réglementaires dans tous les domaines. Un SMSI (Système de management de la sécurité de l’information) est une mise en œuvre spécifique de la gouvernance et de la gestion des risques centrée sur la sécurité de l’information, se conformant généralement à ISO 27001. Un SMSI est une composante d’un programme GRC plus large. Acuna est une plateforme GRC qui prend en charge la gestion d’un SMSI comme l’un de ses cas d’usage, aux côtés de la protection des données, de la continuité d’activité, du risque fournisseur et de la gestion des risques d’entreprise.
La Déclaration d’applicabilité (DdA) est un document obligatoire dans ISO 27001 qui liste tous les contrôles de l’Annexe A, indique si chacun est applicable ou non applicable au périmètre du SMSI de l’organisation, fournit une justification pour les exclusions, et référence le statut de mise en œuvre de chaque contrôle applicable. La DdA est un artefact clé de l’audit : les auditeurs l’utilisent pour vérifier que la sélection des contrôles est fondée sur les risques et que les contrôles exclus disposent d’une justification documentée. Dans Acuna, la DdA est gérée directement dans le volet Comply avec les marquages d’applicabilité et les champs de justification par contrôle.
Dans Comply, chaque exigence peut être marquée Applicable ou Non applicable avec un champ de justification obligatoire. Pour ISO 27001, cela produit la Déclaration d’applicabilité (DdA). Les décisions d’applicabilité se propagent en aval : lorsqu’une exigence est marquée non applicable, ses mesures et contrôles reliés sont exclus des calculs de couverture. Les auditeurs peuvent filtrer la liste des exigences par statut d’applicabilité et exporter la DdA comme artefact versionné. Les modifications d’applicabilité après le marquage initial sont tracées dans la piste d’audit avec l’utilisateur, l’horodatage et la raison du changement.
Notre équipe vous présentera la mise en œuvre de ISO 27001 dans Acuna.
Demander l’accès