Norme ISO/IEC 27001
Systèmes de gestion de la sécurité de l’information
Afin d’assurer la sécurité des informations délicates qu’elles détiennent, comme les données personnelles relatives aux employés ou aux clients, les données financières, les documents de propriété intellectuelle ou toute autre information jugée délicates, les organisations doivent s’engager à protéger les informations de toute perte, de tout vol ou de toute altération, de même que les systèmes informatiques de toute intrusion et de tout sinistre informatique.
Ainsi peuvent-elles y parvenir en respectant les exigences spécifiées dans la norme ISO/IEC 27001 Systèmes de gestion de la sécurité de l’information.
La norme ISO/IEC 27001, issue d’un consensus international, décrit la mise en œuvre, au sein d’une organisation, d’un système de gestion de la sécurité de l’information (SGSI). Cette norme précise les bonnes pratiques internationales et offre aux organisations une démarche méthodique visant à préserver la confidentialité, l’intégrité et la disponibilité de l’information tout en les aidant à atténuer les risques, les couts et les dommages liés à une gestion déficiente de la sécurité de l’information.
Le SGSI est composé de politiques, de procédures et de mesures de sécurité qui doivent être adéquates et proportionnelles aux risques encourus. L’obtention d’une certification ISO/IEC 27001 augmentera la confiance de votre organisation et rassurera vos clients, fournisseurs et employés puisqu’elle démontrera que vous avez mis en œuvre les moyens nécessaires pour protéger les informations délicates en votre possession.
La norme ISO/IEC 27001 présente plusieurs éléments communs à d’autres normes ISO, par exemple, le système de gestion qu’elle permet de mettre en place s’intègre très bien à d’autres systèmes de gestion tels que la gestion de la qualité (ISO 9001).
Offre de certification
Les organismes qui souhaitent faire reconnaitre leur système de gestion de la sécurité de l’information peuvent s’adresser au BNQ, dont le programme de certification des systèmes de gestion de la sécurité de l’information est accrédité par le Conseil canadien des normes (CCN).
Pour obtenir la certification ISO/IEC 27001, une organisation doit démontrer au BNQ qu’elle respecte les exigences de la norme. Ces exigences concernent :
- le contexte (besoins et attentes des parties intéressées, limites et applicabilité du SGSI, etc.);
- le leadership (politique de sécurité de l’information, rôles, responsabilités, autorités, etc.);
- la planification (actions à mettre en œuvre face aux risques et opportunités, objectifs de sécurité de l’information, plans pour atteindre les objectifs, etc.);
- le support (ressources, compétences, formation, communication, documentation, etc.);
- les activités opérationnelles (planification et maitrise opérationnelles, appréciation et traitement des risques en matière de sécurité de l’information, etc.);
- l’évaluation des performances (surveillance, mesure, analyse et évaluation, audit interne, revue de direction, etc.);
- l’amélioration du système (non-conformités, actions correctives, amélioration continue, etc.).
Mise à jour du programme de certification ISO/IEC 27001 en référence à la norme ISO/IEC 27001:2022 Webinaire Webinaire Pour tous renseignements :
Présentation (PDF)
Présentation (PDF)
