Ressources
ISO 27001 est une norme internationale qui définit comment gérer la sécurité de l’information dans une organisation. Pensez-y comme à un “manuel des bonnes pratiques” pour protéger les informations importantes.
Audit
On peut se faire auditer, que ce soit en interne ou par un organisme certificateur externe, permet de valider objectivement que le système de management de la sécurité de l’information (SMSI) est efficace et conforme aux exigences de la norme. L’audit apporte une réelle valeur ajoutée :
- il identifie les points forts et les axes d’amélioration,
- renforce la confiance des parties prenantes (clients, partenaires, autorités),
- et démontre l’engagement de l’organisation envers la protection des données.
ISO-27001 est donc une norme qui est certifiable.
Qu’est-ce qui est vérifié
-
Gestion des accès utilisateurs
- Processus de création/suppression des comptes
- Vérification des listes d’accès
- Gestion des départs d’employés
Exemple pratique: L’auditeur pourrait demander à voir le processus de désactivation des accès du dernier employé parti.
-
Sécurité physique
- Contrôle d’accès aux locaux
- Registre des visiteurs
- SĂ©curisation des salles serveurs
Exemple pratique: L’auditeur pourrait demander à visiter la salle serveur et vérifier qui peut y accéder.
-
Gestion des mots de passe
- Politique de complexité
- Fréquence de changement
- Stockage sécurisé
Exemple pratique: L’auditeur vérifiera les paramètres de sécurité dans les systèmes.
-
Sauvegarde des données
- Fréquence des sauvegardes
- Tests de restauration
- Stockage sécurisé des sauvegardes
Exemple pratique: L’auditeur demandera les logs des dernières sauvegardes et un rapport de test de restauration.
-
Formation du personnel
- Registre des formations
- Contenu des formations
- Sensibilisation régulière
Exemple pratique: L’auditeur interrogera des employés sur les basiques de la sécurité.