Pour choisir une autorité de certification (AC), plusieurs facteurs sont à prendre en compte. Demandez-vous notamment comment l’AC s’y prend pour mettre en œuvre ses méthodes de sécurité et faire en sorte qu’elles restent conformes aux bonnes pratiques. L’observation des certifications ISO fournit les premiers éléments de réponse. Dans cet article, nous passerons en revue quatre normes ISO. Nous nous intéresserons à leur signification et aux garanties qu’elles apportent quant à l’application des bonnes pratiques de sécurité IT par l’AC envisagée.
Que sont les normes ISO ?
Approuvées au niveau international par des experts, les normes ISO peuvent être vues comme une formule décrivant la meilleure façon de procéder sur un sujet donné, afin que les organisations disposent des connaissances nécessaires pour intégrer l’excellence à leurs habitudes et inspirer confiance.
De la sécurité routière à la sécurité des jouets en passant par la sécurisation des emballages médicaux, les normes ISO couvrent tous les domaines afin de limiter les défaillances de produits, et contribuer ainsi à rendre le monde plus sûr.
1. ISO/CEI 27001:2013 Système de gestion de la sécurité de l’information (SGSI)
Qu’est-ce qu’un système de gestion de la sécurité de l’information (SGSI) ISO/CEI 27001 ?
Cette norme internationalement reconnue aide les organisations à gérer et à protéger leurs actifs informationnels grâce à un référentiel, afin qu’ils restent sûrs et sécurisés. Elle permet aux entreprises d’examiner et d’ajuster en permanence leur façon de procéder afin de développer leur résilience.
Pourquoi est-ce un critère important pour une AC ?
La certification ISO/CEI 27001:2013 prouve que l’autorité de certification respecte des normes internationales rigoureuses pour garantir la confidentialité, l’intégrité et la disponibilité des ressources et des données qui lui sont confiées.
2. ISO 22301:2019 Système de management de la continuité d’activité
Qu’est-ce qu’un système de management de la continuité d’activité ISO 22301 ?
La norme ISO 22301 est la norme internationale relative au système de management de la continuité d’activité (SMCA). Elle est conçue pour permettre aux entreprises de rester opérationnelles dans les circonstances les plus difficiles et les plus inattendues — notamment en cas de catastrophes naturelles, de pannes informatiques, de perturbations sur la chaîne d’approvisionnement, d’interventions gouvernementales ou d’autres menaces.
Pourquoi est-ce un critère important pour une AC ?
Cette norme montre que l’AC a fait le nécessaire pour instaurer un processus permettant d’assurer la continuité de toutes ses opérations en cas de perturbations — offrant ainsi à ses clients un niveau élevé d’assurance.
3. ISO/CEI 27701:2019 Système de management de la protection de la vie privée (PIMS)
Qu’est-ce qu’un système de management de la protection de la vie privée (PIMS) ISO/CEI 27701 ?
Norme internationale des systèmes de management, la norme ISO/CEI 27701 définit un cadre pour assurer la protection de la vie privée, en indiquant notamment aux organisations comment gérer les informations personnelles. Elle permet aux organismes qui l’adoptent de démontrer leur démarche de conformité aux réglementations sur la protection des données personnelles, partout dans le monde. C’est une extension de la norme ISO/CEI 27001 sur le management de la sécurité de l’information.
Pourquoi est-ce un critère important pour une AC ?
Une AC qui possède une certification ISO/CEI 27701 couplée à un système de gestion de la sécurité de l’information (SGSI) démontre l’extrême efficacité de sa gestion des données personnelles.
4. ISO/CEI 27017:2015 Contrôles de sécurité des informations des services cloud
Que sont les contrôles de sécurité des informations des services cloud ISO/CEI 27017 ?
Utilisée conjointement à la série de normes ISO/CEI 27001, cette norme fournit des contrôles renforcés aux fournisseurs de services cloud et à leurs clients. Avec un certain nombre de contrôles cloud et en clarifiant les rôles et les responsabilités des deux parties, la norme ISO/CEI 27017 peut contribuer à rendre les services cloud aussi sûrs que d’autres données comprises dans un système de gestion de la sécurité de l’information certifié.
Pourquoi est-ce un critère important pour une AC ?
Avec son référentiel normalisé à l’échelle internationale, cette norme permet de réduire le risque de violation des données et de renforcer la confiance des clients en montrant l’engagement de l’AC sur les questions de sécurité de l’information. Elle livre également des conseils d’experts aux clients qui utilisent les services cloud.
Quelles certifications ISO GlobalSign détient-elle ?
GlobalSign est la seule autorité de certification au monde à détenir une quadruple certification ISO, sur les quatre normes ISO listées dans cet article. Nous avons conservé les certifications ISO 27001 (SGSI) et ISO 22301 (SMCA), et avons récemment ajouté les normes ISO 27017 (contrôles de sécurité pour les services cloud) et ISO 27701 (PIMS) à notre actif.
L’association de ces certifications offre aux clients l’assurance que les produits, solutions et services de GlobalSign sont sûrs, fiables et dignes de confiance. En tant qu’AC de confiance, nous sommes attachés à mettre en œuvre les bonnes pratiques de référence et faisons notre maximum pour garantir des résultats de qualité .
