calendrier d'événements
Décembre 2024
L Ma Me J V S D
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

ISO 27001 615x326

Norme ISO/IEC 27001

Systèmes de gestion de la sécurité de l’information

Afin d’assurer la sécurité des informations délicates qu’elles détiennent, comme les données personnelles relatives aux employés ou aux clients, les données financières, les documents de propriété intellectuelle ou toute autre information jugée délicates, les organisations doivent s’engager à protéger les informations de toute perte, de tout vol ou de toute altération, de même que les systèmes informatiques de toute intrusion et de tout sinistre informatique.

Ainsi peuvent-elles y parvenir en respectant les exigences spécifiées dans la norme ISO/IEC 27001 Systèmes de gestion de la sécurité de l’information.

La norme ISO/IEC 27001, issue d’un consensus international, décrit la mise en œuvre, au sein d’une organisation, d’un système de gestion de la sécurité de l’information (SGSI). Cette norme précise les bonnes pratiques internationales et offre aux organisations une démarche méthodique visant à préserver la confidentialité, l’intégrité et la disponibilité de l’information tout en les aidant à atténuer les risques, les couts et les dommages liés à une gestion déficiente de la sécurité de l’information.

Le SGSI est composé de politiques, de procédures et de mesures de sécurité qui doivent être adéquates et proportionnelles aux risques encourus. L’obtention d’une certification ISO/IEC 27001 augmentera la confiance de votre organisation et rassurera vos clients, fournisseurs et employés puisqu’elle démontrera que vous avez mis en œuvre les moyens nécessaires pour protéger les informations délicates en votre possession.

La norme ISO/IEC 27001 présente plusieurs éléments communs à d’autres normes ISO, par exemple, le système de gestion qu’elle permet de mettre en place s’intègre très bien à d’autres systèmes de gestion tels que la gestion de la qualité (ISO 9001).

 

iso 50001

Offre de certification 

Les organismes qui souhaitent faire reconnaitre leur système de gestion de la sécurité de l’information peuvent s’adresser au BNQ, dont le programme de certification des systèmes de gestion de la sécurité de l’information est accrédité par le Conseil canadien des normes (CCN).

Pour obtenir la certification ISO/IEC 27001, une organisation doit démontrer au BNQ qu’elle respecte les exigences de la norme. Ces exigences concernent :

  • le contexte (besoins et attentes des parties intéressées, limites et applicabilité du SGSI, etc.);
  • le leadership (politique de sécurité de l’information, rôles, responsabilités, autorités, etc.); 
  • la planification (actions à mettre en œuvre face aux risques et opportunités, objectifs de sécurité de l’information, plans pour atteindre les objectifs, etc.);
  • le support (ressources, compétences, formation, communication, documentation, etc.);
  • les activités opérationnelles (planification et maitrise opérationnelles, appréciation et traitement des risques en matière de sécurité de l’information, etc.);
  • l’évaluation des performances (surveillance, mesure, analyse et évaluation, audit interne, revue de direction, etc.);
  • l’amélioration du système (non-conformités, actions correctives, amélioration continue, etc.).

 

  • Avis de modification

    2023-06-05

     

    Mise à jour du programme de certification ISO/IEC 27001 en référence à la norme ISO/IEC 27001:2022

  • Étapes de certification

    Au BNQ, le processus de certification des systèmes de gestion de la sécurité de l’information respecte rigoureusement les exigences d’accréditation applicables.

    Le cycle de certification est d’une durée de trois ans au cours de laquelle des audits de maintien sont réalisés à des intervalles de douze mois. Le processus débute par une demande de certification initiale soumise par courriel au moyen du formulaire prévu à cette fin (voir dans la présente page Web la rubrique « Télécharger le document requis pour la certification »).

    Une fois le contrat de service signé entre le BNQ et le client et la documentation relative au système de gestion de la sécurité de l’information du client transmise au BNQ, le nom de l’auditeur responsable de l’audit est communiqué au client.

    D’abord, une évaluation préliminaire visant à mesurer le niveau de préparation du client est réalisée, notamment au moyen de la revue des documents transmis. Les conclusions de cette évaluation préliminaire sont communiquées au client sous la forme d’un rapport écrit dans lequel est établi un premier jugement quant à la conformité du système aux exigences documentaires de la norme de même qu’au niveau de compréhension et de mise en œuvre des exigences de la norme par le client. Advenant une évaluation favorable, l’auditeur responsable prépare un plan d’audit et le transmet au client.

    L’audit de certification initiale sur place a ensuite lieu au cours duquel l’auditeur recueille les renseignements pertinents relatifs aux exigences de la norme, puis les vérifie. Ces renseignements sont recueillis au moyen d’entrevues, d’observation des activités et de l’environnement de travail ainsi qu’au moyen de la consultation de documents sur place. Le client est informé des constats de l’auditeur au fur et à mesure du déroulement de l’audit, lesquels se retrouveront dans le rapport écrit résumant les conclusions de l’auditeur.

    Les écarts, si présents, observés lors de l’audit peuvent faire l’objet de demandes d’actions correctives (DAC) mineures ou majeures, selon l’importance des répercussions de l’écart sur l’atteinte des objectifs de la norme. Les DAC doivent être fermées (résolues) dans un délai de 30 jours suivant l’audit.

    La décision de certifier ou non le système de gestion de la sécurité de l’information s’appuie sur la recommandation de l’auditeur responsable, combinée à la révision du dossier par le BNQ, afin de s’assurer que toutes les conditions de certification sont remplies.

    À la suite d’une décision favorable du BNQ, un certificat de conformité est transmis au client qui consent alors à se soumettre à un premier audit de maintien dans un délai de douze mois à compter du premier jour de l’audit de certification initiale.

  • Pourquoi choisir le BNQ?

    Détenant ses accréditations du Conseil canadien des normes (CCN), le BNQ fait preuve d’une rigueur exemplaire en matière de processus décisionnel et de recommandations de certification. Nos accréditations de calibre international vous garantissent que les procédures et les méthodes du BNQ sont réalisées en conformité avec les règles de l’Organisation internationale de normalisation (ISO), de l’International Accreditation Forum (IAF) et de l’Organisation mondiale du commerce (OMC).

    Choisir le programme de certification ISO/IEC 27001 du BNQ, c’est :

    • choisir une approche transparente, indépendante, impartiale, uniforme et confidentielle;
    • avoir accès à une méthode d’audit structurée, rigoureuse, crédible et éprouvée;
    • augmenter la confiance de vos clients, fournisseurs, actionnaires, employés et autres partenaires à l’égard des processus mis en place;
    • assurer la pérennité et l’amélioration continue de votre système de gestion de la sécurité de l’information.
  • Webinaires
    • 2023-06-21  Protégez vos données et celles de vos clients : un avantage concurrentiel

    Webinaire
    Présentation (PDF)

    • 2022-10-27  L'information en votre possession est-elle traitée de façon sécuritaire?

    Webinaire
    Présentation (PDF)

  • Personne-ressource

    Nancie Carrière
    Technicienne aux ventes
    Bureau de normalisation du Québec
    Tél. : 418 425-1676
    Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.