Qualité et sécurité vont de pair

L’information est une des ressources les plus importantes qu’un organisme a à sa disposition. Il est donc primordial que tout système contenant cette information soit protégé contre les dommages, les pertes et le vol. Une des manières d’avoir cette protection est de se servir d’un système de la gestion de la sécurité de l’information (SGSI).

ISO/IEC 27001:2005 (anciennement BS7799) est une norme internationale qui donne des spécifications et des conseils au sujet de l’implantation et du maintien d’un SGSI. Il offre une approche processus, roue de Deming (PDCA), qui reflète les principes des lignes directrices de l’OCDE (Organisation de coopération et de développement économiques) qui couvrent la sécurité des systèmes et des réseaux d’information. ISO/IEC 27001:2005 est composé de deux parties qui portent le nom de Technologies de l’information –
Techniques de sécurité – Systèmes de gestion de sécurité de l’information :

ISO/IEC 17799:2005 (partie 1) est un « code d’usage » qui décrit les meilleures pratiques pour un système de la gestion de la sécurité de l’information dans la portée de la deuxième partie d’ISO/IEC 27001.

ISO/IEC 17799:2005 (partie 2) est fait d’une quantité de spécifications pour des systèmes de la gestion de la sécurité de l’information. Il fournit les moyens d’évaluer, de surveiller et de contrôler la gestion de sécurité avec une approche en cascade. Il couvre, entre autres, la gouvernance, le contrôle d’accès, l’évaluation des risques, la classification, la complaisance et planification continuelle. ISO/IEC 27001:2005 spécifie l’approche dans les paragraphes suivant en se servant de la méthodologie de la roue de Deming (PDCA) :

1. Principes de sécurité et de gestion. Les principales composantes de gestion des risques, de politique de sécurité de l’information, des procédures, des normes, des lignes directives, des lignes de base, de la classification, de l’éducation et de l’organisation de la sécurité servent de bases à la sécurité de l’information. Des contrôles de sécurité sont mis en œuvre et maintenus pour suivre les trois principes interdépendants présents dans tous les programmes : Confidentialité, Intégrité et Disponibilité, aussi connus sous le nom de CIA triad.

2. Responsabilités de la gestion de sécurité. Ceci comprend les ressources, le financement et la représentation stratégique nécessaire pour participer dans un programme de sécurité. Les responsabilités désignées font décoller le SGSI et le font performer et évoluer avec l’environnement. Le soutien de la gestion est un des plus importants facteurs du succès d’un programme de sécurité.

3. Approche en cascade. L’approche en cascade indique que le la direction est en charge du support et des directives, qui sont ensuite transmis aux cadres moyens, et par la suite au personnel.

4. Gestion des risques. La gestion des risques est le processus d’identifier, d’analyser, d’examiner, d’évaluer et de réduire les risques à un niveau acceptable et de mettre en œuvre les mécanismes de défense adéquats pour maintenir ce niveau de risque.

5. Sensibilisation à la sécurité. Ceci sert à obtenir les résultats attendus du programme de sécurité, un organisme doit informer ses employés des « quoi, comment et pourquoi » de la sécurité. Cette sensibilisation devrait être détaillée, sur mesure et faite à la grandeur de l’organisme.

6. Continuité de l’entreprise et gestion des catastrophes. Ceci sert à assurer la continuité, la récupération et la restauration de l’entreprise en cas de désastre. Dans un cas d’urgence, cela impliquerait de transférer les systèmes primordiaux dans un autre endroit pendant la réparation des autres installations.

7. Conformité légale. Ceci comprend le respect de diverses lois civiles, criminelles et administratives (règlementaires) telles que les lois sur la propriété intellectuelle, les secrets commerciaux, les droits d’auteur, les marques de commerce, les brevets d’invention et la protection des données.

Enregistrement ISO/IEC 27001:2005
Intertek est accrédité par le RvA (Dutch Accreditation Council) à fournir des services d’enregistrement et de certification ISO/IEC 27001:2005 (anciennement BS 7799). Un organisme qui cherche à être formellement enregistré doit être évalué par un tiers organisme de certification tel qu’Intertek. Nous utiliserons notre savoir, notre expertise, notre expérience et notre connaissance de l’industrie pour vous aider à obtenir votre certification de manière efficace et rentable.

Intertek Testing Services India Private Limited est accrédité par le RvA