Analyse d'écart
Où vous en êtes aujourd'hui face aux exigences ISO 27001 et aux contrôles de l'Annexe A, avec une liste priorisée de ce qui manque et de l'effort pour le combler.
Conseil et préparation ISO 27001
Conseil et préparation ISO 27001
ISO 27001 est la norme internationale d'un système de management de la sécurité de l'information (SMSI). Être certifié signifie construire ce système, prouver qu'il fonctionne et passer un audit par un organisme de certification accrédité.
CloudKey vous mène d'où vous êtes jusqu'à prêt pour la certification : une analyse d'écart face à la norme, un plan concret pour combler ce qui manque, et un accompagnement pratique pendant l'audit de certification. Nous vous préparons ; un organisme accrédité délivre le certificat.
- Analyse d'écart
- Construction du SMSI
- Audit interne
- Prêt pour la certification
71/93
Annexe A en place
- A.5.1 Politiques de sécurité de l'information Implémenté
- A.5.15 Contrôle d'accès Implémenté
- A.6.3 Sensibilisation à la sécurité En cours
- A.8.8 Gestion des vulnérabilités techniques En cours
Jeu de contrôles illustratif. Le statut se décline en implémenté, en cours et écart ouvert. Votre déclaration d'applicabilité liste les contrôles retenus pour votre organisation.
ISO 27001, selon la norme
Ce que la norme demande réellement
Aperçu
De l'analyse d'écart à prêt pour la certification, sans le théâtre
La certification ISO 27001 ouvre des portes : les acheteurs grands comptes la demandent, et elle signale que la sécurité est gérée, pas improvisée. Mais c'est sur le chemin que la plupart des équipes calent, ensevelies sous des modèles de politiques qui ne collent pas à leur façon de travailler. Le conseil ISO 27001 de CloudKey reste concret.
Nous commençons par une analyse d'écart : où en sont vos contrôles et votre documentation face aux exigences ISO 27001 et aux contrôles de l'Annexe A. Vous obtenez ensuite un plan clair et priorisé pour cadrer votre SMSI, rédiger seulement les politiques nécessaires, mettre en œuvre les contrôles, et mener l'audit interne et la revue de direction exigés par la norme.
Un point à clarifier : CloudKey est un cabinet de conseil, pas un organisme de certification. Nous vous rendons prêt pour la certification et vous accompagnons pendant l'audit. Le certificat lui-même est délivré par un organisme accrédité que vous engagez séparément. Cette séparation est la façon dont la norme doit fonctionner.
Comment nous aidons
Que comprend le conseil ISO 27001 de CloudKey ?
Un accompagnement sur tout le chemin, ou juste sur l'étape qui vous bloque.
Cadrage et documentation du SMSI
Définir le périmètre, la déclaration d'applicabilité et les politiques exigées, rédigées pour coller au fonctionnement réel de votre organisation.
Appui à la mise en œuvre des contrôles
Une aide concrète pour mettre en œuvre les contrôles techniques et organisationnels, en nous appuyant sur nos travaux d'audit et de test quand c'est pertinent.
Audit interne et revue de préparation
Nous menons l'audit interne exigé par la norme et une revue de préparation avant votre audit de certification, sans surprise devant l'auditeur.
Les documents qui passent un audit
Les documents que l'auditeur demandera
La certification repose sur une poignée de documents clés. Nous les construisons avec vous et les tenons à jour. Les panneaux ci-dessous sont des illustrations stylisées, pas des captures d'un vrai SMSI.
Registre des risques
Un relevé vivant des risques de sécurité de l'information, leurs propriétaires, les décisions de traitement et le niveau résiduel. La norme veut un risque géré volontairement, et c'est ici que le SMSI prouve sa valeur.
- Chaque risque évalué et attribué à un propriétaire
- Décision de traitement reliée aux contrôles de l'Annexe A
- Risque résiduel examiné lors de la revue de direction
- Le hameçonnage mène au vol d'identifiants Traiter - élevé
- Service exposé non corrigé exploité Traiter - élevé
- Perte d'un portable exposant des données locales Traiter - moyen
- Violation chez un sous-traitant Traiter - moyen
- Accès privilégié non revu Accepter - faible
Risques illustratifs. Votre registre reflète les actifs et les menaces de votre périmètre.
Déclaration d'applicabilité
La déclaration d'applicabilité recense chaque contrôle de l'Annexe A, indique s'il vous concerne et pourquoi. C'est la colonne vertébrale du SMSI et la première chose que lit l'auditeur.
- Chaque contrôle de l'Annexe A marqué applicable ou exclu
- Une courte justification consignée pour chaque décision
- Relié à la politique ou à la preuve qui le satisfait
- A.5.1 Politiques de sécurité de l'information Applicable
- A.7.4 Surveillance de la sécurité physique Applicable
- A.8.12 Prévention des fuites de données Applicable
- A.7.9 Sécurité des actifs hors locaux Exclu - aucun actif hors site
Entrées illustratives. L'inclusion ou l'exclusion est justifiée contrôle par contrôle.
Suivi des preuves
Les auditeurs ne vous croient pas sur parole ; ils échantillonnent des preuves. Nous suivons quel document prouve le fonctionnement de chaque contrôle, pour que l'audit Étape 2 soit une revue tranquille plutôt qu'une course.
- Chaque contrôle relié à la preuve qui le démontre
- Propriétaires et dates de revue tenus à jour
- Écarts révélés en revue de préparation, avant que l'auditeur ne les trouve
71 Contrôles avec preuve
14 Preuve en cours
8 Preuve à fournir
- Revues d'accès - export trimestriel À jour
- Test de restauration de sauvegarde - dernier À jour
- Revues fournisseurs - annuelles Bientôt due
- Exercice d'incident - simulation Pas encore mené
Vue de préparation illustrative. Nous tenons le vrai suivi avec vous pendant l'audit.
Pourquoi
Pourquoi viser ISO 27001 ?
Le certificat est la partie visible. Le système géré en dessous est la vraie valeur.
Gagner des contrats grands comptes
Les grands clients exigent de plus en plus ISO 27001 avant de signer. La certification retire un blocage récurrent de votre cycle de vente.
Gérer le risque volontairement
La norme impose un cycle de gestion du risque reproductible, pour des décisions de sécurité délibérées et documentées plutôt qu'au cas par cas.
Réutiliser le travail
Un SMSI ISO 27001 recoupe largement SOC 2 et d'autres cadres, donc l'effort sert plus d'une exigence.
Déroulé
Le chemin vers la certification
Cinq étapes. Nous pouvons rejoindre à n'importe laquelle.
- 01
Analyse d'écart
Mesurer l'état actuel face à la norme et produire un plan de remédiation priorisé.
- 02
Cadrer le SMSI
Définir périmètre, méthodologie de risque et déclaration d'applicabilité des contrôles qui s'appliquent à vous.
- 03
Traitement du risque
Traiter les risques relevés par l'analyse : politiques, contrôles techniques et les preuves qui montrent que chacun fonctionne.
- 04
Audit interne
Mener l'audit interne et la revue de direction exigés, et corriger ce qu'ils révèlent.
- 05
Audit de certification
Vous accompagner pendant les audits Étape 1 et Étape 2 menés par l'organisme accrédité que vous choisissez.
Nous vous préparons. Un organisme accrédité vous certifie.
Cette séparation n'est pas une limite ; c'est ainsi qu'ISO 27001 reste crédible. Le consultant qui construit le SMSI ne peut pas être celui qui le certifie.
- CloudKey mène l'analyse d'écart, construit le SMSI et vous accompagne pendant l'audit.
- Un organisme de certification accrédité, que vous engagez séparément, mène les audits Étape 1 et Étape 2 et délivre le certificat.
- Nous vous expliquons ce que l'auditeur échantillonnera pour que la revue de préparation lève les surprises.
FAQ
ISO 27001, en clair
ISO 27001 est la norme internationale d'un système de management de la sécurité de l'information, ou SMSI. Elle définit comment gérer le risque de sécurité de l'information via un ensemble d'exigences et les contrôles de l'Annexe A, vérifiés par un audit de certification externe.
Non, et c'est voulu. Les certificats ISO 27001 ne sont délivrés que par des organismes de certification accrédités, indépendants des consultants qui aident à se préparer. CloudKey vous rend prêt pour la certification et vous accompagne pendant l'audit ; vous engagez un organisme accrédité pour délivrer le certificat.
Le coût total a deux parties : le travail de préparation pour construire et faire vivre le SMSI, et les frais d'audit de l'organisme de certification, qu'il chiffre séparément selon votre taille et votre périmètre. Nous donnons un prix fixe pour le conseil et la préparation après un court échange de cadrage.
Pour une organisation de taille moyenne partant d'une base raisonnable, généralement trois à neuf mois pour être prêt à la certification, selon le nombre d'écarts trouvés et la vitesse de mise en œuvre des contrôles.
ISO 27001 certifie un système de management face à une norme internationale. SOC 2 est un rapport d'attestation américain sur vos contrôles produit par un cabinet CPA. Ils se recoupent largement, donc une grande partie du travail pour l'un sert l'autre. Le choix dépend souvent de ce que vos clients demandent.
Prochaine étape
Commencez par une analyse d'écart
Un court échange de cadrage, puis une analyse d'écart qui dit exactement votre distance à la certification et l'effort pour y arriver. Prix fixe, sans paperasse inutile.