RGPD contre ISO 27001

Le RGPD exige de vous un traitement correct des données à caractère personnel. Mais en tant qu’organisation, vous disposez de bien d’autres informations essentielles. La norme ISO 27001 en tient également compte.

• Le RGPD (Règlement général sur la protection des données) est une législation européenne qui a pour but une utilisation des données à caractère personnel qui soit non seulement correcte, mais bénéficie également du consentement de la personne. Il s’agit d’une loi, et donc d’une obligation.
   
• ISO 27001 est une norme internationale portant sur un système de gestion. Elle propose un système permettant d’assurer la disponibilité, l’intégrité et la confidentialité de toutes les informations essentielles à votre organisation. Il s’agit d’une norme, et la certification à cette norme n’est pas obligatoire.

Quelles sont les informations visées par la norme ISO 27001 ?

La norme ISO 27001 vise toutes les informations, qu’elles soient numériques ou sur papier, qui nécessitent une protection contre les abus, le vol ou la perte, les failles de sécurité, la négligence, et notamment :

• Informations portant sur le contenu de votre activité principale : documentation, informations relatives aux projets, données des clients, données financières,  compétences uniques, etc.
• Logiciels essentiels
• Informations sur les organisations ou personnes externes
• Données relatives au personnel

Contrôle et confiance

Un système de gestion tel que la norme ISO 27001 permet de maîtriser la gestion et la sécurité de l’information. Il est garant d’exhaustivité et de caractère systématique. Il vous revient de décider si vous voulez mettre en place un tel système de gestion au sein de votre organisation. Cela dit, un certificat de conformité à la norme délivré par un organisme de certification accrédité garantit laconfiance de vos parties prenantes dans la manière dont vous traitez l’information.

Quels sont les avantages de la norme ISO 27001 ?

Évaluation des risques

Piratage, hameçonnage, logiciels non contrôlés, négligence en matière de contrôle des accès, imprimantes non protégées : les menaces viennent de partout. La norme ISO 27001 recense systématiquement tous les risques et les quantifie, pour déterminer au final le « niveau de sécurité » de votre organisation.

Politique de sécurité de l’information

La norme ISO 27001 indique ce que vos directives ou politiques doivent inclure pour permettre à vos employés de savoir comment traiter l’information : contrôle de l’accès aux bâtiments ou aux salles de serveurs, structure et fréquence des mots de passe, utilisation des appareils mobiles et de l’Internet, nouveaux logiciels, mesures à prendre en cas de recrutement ou de départ, etc.

Gestion des systèmes

Avec la norme ISO 27001, vous mettez en place un système de gestion de la sécurité de vos informations. Vous devez maintenir ce système et, pour chaque action à entreprendre, désigner une personne responsable.

• Définition et contrôle des autorisations d’accès aux informations
• Gestion des infrastructures, du matériel et des logiciels

• Définition d’une méthode et d’une fréquence, et désignation d’une personne chargée d’informer vos collaborateurs et de les sensibiliser à la sécurité de l’information
• Mise en œuvre contrôlée des changements, afin d’éviter tout risque nouveau
• Gestion des incidents de sécurité de l’information

Amélioration continue

La norme ISO 27001 garantit une remise en question permanente de votre façon de travailler, ainsi qu’une utilisation systématique de toutes les opportunités d’amélioration. Elle recourt pour ce faire aux moyens suivants :

• Mise à jour annuelle de l’évaluation des risques
• Suivi continu de la politique et des objectifs
• Audits internes à intervalles réguliers
• Évaluation annuelle du système de gestion par la direction

Faites le test

Quelle est la vulnérabilité de votre organisation en matière de sécurité de l’information ? Il n’est pas inutile de se poser la question. N’hésitez pas à faire effectuer un test par rapport à la norme ISO 27001. Vous saurez ainsi immédiatement où vous en êtes. Nous nous ferons un plaisir de vous apporter notre aide. N’hésitez pas à prendre contact avec nous.