ISO 27001

ISO/IEC 27001:2022

Direct answer

ISO/IEC 27001:2022 est la norme internationale pour un système de management de la sécurité de l’information (SMSI). Elle offre aux organisations un cadre fondé sur les risques, dix clauses et 93 contrôles en Annexe A répartis en quatre thèmes, pour gouverner la confidentialité, l’intégrité et la disponibilité des informations. Des organismes tiers accrédités la certifient. Les certificats sont valables trois ans avec une surveillance annuelle.

Exigences clés

Ce que requiert ISO 27001.

  • Définir le périmètre et le contexte du SMSI
  • Conduire une évaluation formelle des risques liés à la sécurité de l’information
  • Produire et maintenir une Déclaration d’applicabilité pour les 93 contrôles de l’Annexe A
  • Mettre en œuvre, documenter et opérer les contrôles applicables
  • Conduire des audits internes, des revues de direction et des actions correctives
Système de management de la sécurité de l’information

ISO/IEC 27001:2022

Comment Acuna répond

ISO 27001 dans les quatre volets.

Comply

Cartographier les 93 contrôles de l’Annexe A, définir le périmètre et générer la Déclaration d’applicabilité dans le volet Comply.

Implement

Assigner la responsabilité des contrôles, collecter les preuves et suivre le statut de mise en œuvre pour chaque contrôle applicable.

Operate

Gérer le registre des risques et les plans de traitement, exécuter les contrôles récurrents et maintenir le SMSI à jour pour la surveillance.

Assure

Préparer les dossiers d’audit, suivre et clôturer les non-conformités, gérer les actions correctives jusqu’à leur résolution.

ISO 27001: common questions.

Réponses associées

Questions que les praticiens se posent.

Qu’est-ce qu’ISO 27001 ?

ISO 27001 est la norme internationale pour les systèmes de management de la sécurité de l’information (SMSI). Publiée par l’ISO/IEC, elle définit les exigences pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un SMSI. La révision 2022 inclut 93 contrôles répartis sur quatre thèmes : organisationnel, humain, physique et technologique. La certification requiert un audit externe accrédité démontrant que le SMSI répond à toutes les exigences des clauses et que les contrôles de l’Annexe A sélectionnés sont mis en œuvre et efficaces. Acuna prend en charge l’intégralité du cycle de vie ISO 27001, de la définition du périmètre à la préparation des audits.

Quelle est la différence entre GRC et SMSI ?

La GRC (Gouvernance, Risques et Conformité) est une discipline de management large couvrant la manière dont une organisation dirige sa stratégie, gère ses risques et respecte ses obligations réglementaires dans tous les domaines. Un SMSI (Système de management de la sécurité de l’information) est une mise en œuvre spécifique de la gouvernance et de la gestion des risques centrée sur la sécurité de l’information, se conformant généralement à ISO 27001. Un SMSI est une composante d’un programme GRC plus large. Acuna est une plateforme GRC qui prend en charge la gestion d’un SMSI comme l’un de ses cas d’usage, aux côtés de la protection des données, de la continuité d’activité, du risque fournisseur et de la gestion des risques d’entreprise.

Qu’est-ce qu’une Déclaration d’applicabilité dans ISO 27001 ?

La Déclaration d’applicabilité (DdA) est un document obligatoire dans ISO 27001 qui liste tous les contrôles de l’Annexe A, indique si chacun est applicable ou non applicable au périmètre du SMSI de l’organisation, fournit une justification pour les exclusions, et référence le statut de mise en œuvre de chaque contrôle applicable. La DdA est un artefact clé de l’audit : les auditeurs l’utilisent pour vérifier que la sélection des contrôles est fondée sur les risques et que les contrôles exclus disposent d’une justification documentée. Dans Acuna, la DdA est gérée directement dans le volet Comply avec les marquages d’applicabilité et les champs de justification par contrôle.

Comment fonctionne le marquage d’applicabilité pour les exigences de référentiel ?

Dans Comply, chaque exigence peut être marquée Applicable ou Non applicable avec un champ de justification obligatoire. Pour ISO 27001, cela produit la Déclaration d’applicabilité (DdA). Les décisions d’applicabilité se propagent en aval : lorsqu’une exigence est marquée non applicable, ses mesures et contrôles reliés sont exclus des calculs de couverture. Les auditeurs peuvent filtrer la liste des exigences par statut d’applicabilité et exporter la DdA comme artefact versionné. Les modifications d’applicabilité après le marquage initial sont tracées dans la piste d’audit avec l’utilisateur, l’horodatage et la raison du changement.

Voir comment Acuna gère ISO 27001.

Notre équipe vous présentera la mise en œuvre de ISO 27001 dans Acuna.

Demander l’accès
Conçu pour :RSSIResponsables conformitéMSSP