Source: lesnouvelles.net
Auteur: Christophe Elise
A l'occasion d'une conférence, le Clusif posait la question de l'intérêt pour une entreprise de suivre jusqu'à son obtention le processus de certification ISO 27001. Si la mise en place d'un Système de Management de la Sécurité de l'Information s'impose, la certification ne serait pas pour autant obligatoire.
L’ISO 27001 recouvre la notion de Système de Management de la Sécurité de l’Information (SMSI). Un tel système se définit par l’établissement d’une politique de sécurité, d’objectifs, et de moyens mis en œuvre pour les atteindre. Le SMSI vise à l’amélioration continue du niveau de sécurité, dans le contexte des risques métiers d’une entreprise. La démarche conduisant à la certification assure l’orchestration des mesures de sécurité selon un modèle dit PDCA : Plan, Do, Check, Act. Ce modèle en 4 temps revêt un caractère cyclique qui garanti l'amélioration continue du niveau effectif de sécurité. Ces 4 temps peuvent se détailler ainsi:
- Plan: s’engager, planifier, prévoir
- Do : réaliser, mettre en œuvre
- Check : vérifier, évaluer
- Act : agir, réagir, revoir
Commentaires