Livre électronique gratuit : Préparer NIS2 en utilisant les meilleures pratiques de l'ISO 27001
Télécharger l'ebook
Accueil de l'Académie
Aide
Étapes nécessaires pour la préparation à l'audit de certification ISO 27001

Il s'agit d'une recommandation des priorités de travail sur Cyberday, lorsque l'objectif est d'être prêt pour l'audit de certification ISO 27001.

Toutes les étapes sont nécessaires, vous devez donc vous familiariser avec la liste complète. Toutefois, vous pouvez modifier l'ordre de certaines d'entre elles pour mieux les adapter à vos préférences (par exemple, en fonction de votre niveau de conformité de départ).

1. Activer le framework ISO 27001 (version 2022 ou 2013)

Où trouver cette vue : Tableau de bord -> Nom de l'organisation -> Cadres -> Modifier les cadres

Si vous commencez une nouvelle mise en œuvre de la norme ISO 27001, vous devez utiliser la version 2022 de la norme.

Si votre objectif est d'être prêt pour l'audit, vous devriez commencer immédiatement avec le framework complet (niveau 3). Certains utilisateurs ont souhaité commencer par les niveaux 1 ou 2 pour voir d'abord un ensemble limité de tâches. C'est tout à fait possible, à condition de ne pas oublier de passer au niveau 3 le moment venu.

2. Cartographier l'état de démarrage des tâches critiques, de haute priorité et de priorité normale

Pour avoir une idée du niveau de votre conformité actuelle, vous devez continuer à faire les choses suivantes : 

  • Invitez les utilisateurs que vous souhaitez désigner comme propriétaires de thème
  • Définir les propriétaires de thèmes
  • Chaque propriétaire de thème passe en revue les tâches en suspens, active celles que vous avez mises en œuvre (au moins partiellement) et leur attribue le statut correct.

Conseil : Cela vous permettra de voir l'état de conformité initial du rapport de conformité ISO 27001 (déclaration d'applicabilité) également.

3. Créer et affecter votre inventaire d'actifs

Les actifs de données les plus importants dans Cyberday sont les suivants :

  • Systèmes de données - les logiciels utilisés pour le traitement et le stockage des données.
  • Magasins de données - différents dépôts de données logiques volumineux (par exemple, données sur les clients ou sur le personnel) où les données peuvent être stockées dans plusieurs formats et emplacements.
  • Ensembles de données - les données, soit dans des systèmes de données, soit dans d'autres formats électroniques/physiques, nécessaires à l'exécution de certaines tâches (par exemple, la facturation, l'authentification).
  • Autres actifs - par exemple, autres équipements critiques, si vous en avez
  • Bureaux - vos locaux physiques

À ce stade, vous devez inviter les utilisateurs en tant que "contributeurs" à qui vous souhaitez attribuer différentes ressources. Vous n'avez pas nécessairement besoin d'envoyer des invitations pour le moment - les utilisateurs peuvent également être ajoutés silencieusement.

4. Créer des directives pour le personnel

La sensibilisation et l'orientation du personnel sont des éléments importants de la sécurité de vos informations.

À ce stade, vous pouvez utiliser vos documents existants ou les exemples de Cyberday pour créer des directives pour les employés sur différents thèmes (par exemple, l'utilisation des appareils mobiles, le travail à distance, l'utilisation des mots de passe, la prévention du phishing). Après avoir activé certaines directives, vous verrez l'aspect de vos directives actuelles dans l'onglet Guidebook.

Vous devez également décider si vous souhaitez activer les extensions de formation dans Cyberday. Vous pouvez les trouver dans le dashboard de l'organisation -> Paramètres -> Paramètres du Guidebook .

Le Guidebook sera ensuite déployé à l'ensemble du personnel dans une étape distincte. À ce stade, vous pouvez utiliser le processus du Guidebook (par exemple, les notifications) avec vos principaux utilisateurs, afin de voir comment votre personnel interagirait avec Cyberday.

5. Créer et réviser les documents / politiques / rapports nécessaires

Vous pouvez créer tous les documents nécessaires, par exemple pour la phase 1 de l'audit ISO 27001, à partir de la section "Reporting" de Cyberday.

Les principaux documents nécessaires à l'audit ISO 27001 de phase 1 sont les suivants :

  • Description et portée de l'ISMS
  • Politique et objectifs de sécurité de l'information
  • Procédure et résultats de la gestion des risques
  • Déclaration d'applicabilité (SoA)
  • Procédure de sensibilisation et d'orientation du personnel
  • Procédure d'audit interne et résultats
  • Procédure de revue de direction et résultats

À ce stade, l'important est de créer ces rapports, de les examiner et de remplir les parties qui portent l'avertissement "needs your input". Il est également important de se familiariser avec le contenu, même si, lorsque vous travaillez avec Cyberday, l'application vous guide principalement pour que votre travail corresponde à ce que disent les documents.

Dans la capture d'écran ci-dessous, vous pouvez voir un exemple de déclaration d'applicabilité et ce à quoi elle pourrait ressembler au niveau de l'audit. Encore une fois, cela peut varier d'une organisation à l'autre, mais en général, la carte doit être remplie en vert.

6. Remplir les informations relatives à l'assurance des tâches et combler les lacunes

À ce stade, nous vous recommandons de procéder comme suit : 

  • S'assurer que les tâches décrivent correctement votre état de préparation en matière de sécurité, c'est-à-dire remplir les informations d'assurance pour les tâches.
  • Mise en œuvre de tâches importantes, qui ne sont pas encore activées

Cette dernière partie nécessitera des ressources et du temps, et vous devrez donc tenir compte des priorités des tâches, des risques éventuels perçus et de vos propres délais.

À ce stade, vous pouvez également inviter d'autres contributeurs à votre compte, qui connaissent le mieux la mise en œuvre de chaque tâche.

7. Commencer à travailler sur la gestion des risques

Lorsque vous avez mis en œuvre les étapes précédentes, vous avez créé une excellente base pour une gestion des risques efficace et réussie.

Il serait maintenant temps d'aller dans dashboard de l'organisation -> Gestion des risques et leadership -> Risques liés à la cybersécurité et de commencer le travail à cet endroit.

Vous devriez l'être :

  • revoir la liste des risques et ajuster les évaluations si nécessaire
  • l'ajout de tâches / contrôles personnalisés, qui permettent de contrôler certains risques mais qui sont absents de votre ISMS
  • les risques les plus élevés en attente d'un traitement

8. Assurez-vous que vous avez mis en œuvre les spécialités de l'ISO 27001

Les tâches liées aux exigences obligatoires de l'ISO 27001 (au lieu des contrôles de l'ISO 27002) sont celles qui entraîneront des non-conformités majeures lors de l'audit de certification si elles ne sont pas correctement mises en œuvre.

Des exemples de ce type de sujets sont par exemple les audits internes et les revues de direction. Vous devez avoir mis en œuvre et documenté les résultats d'au moins l'un d'entre eux et disposer également du document de procédure définissant clairement votre approche.

Voici d'autres exemples de non-conformités courantes dans les audits de certification ISO 27001 : 

  • Traitement insuffisant du risque - par exemple, le lien entre l'évaluation du risque et le traitement du risque est rompu (6.1).
  • Liste des exigences de sécurité de l'information manquante - vous devez énumérer, par exemple, les exigences des clients, les autres législations nationales, les autres normes suivies en plus de l'ISO 27001 (A.18.1.1).
  • Les droits d'accès des utilisateurs ne sont pas examinés (A.9.2.5)
  • L'inventaire des actifs n'est pas correctement documenté (A.8.1.1)

9. Déployez Cyberday pour votre personnel

Pour que les processus de sensibilisation des employés soient déployés, vous devrez distribuer l'application Cyberday à tous les employés.

Cela peut se faire facilement à l'aide de nos intégrations Teams ou Slack.

Une fois que vous avez créé une politique de configuration de l'application, vos conseils aux employés seront automatiquement exécutés pour tous les membres de votre locataire Teams.

10. Finalisez votre préparation à l'audit ISO 27001

Enfin, pour commencer la collaboration avec un auditeur, vous devrez prendre quelques mesures pour partager du contenu à son intention.

La méthode par défaut que nous recommandons est d'inviter l'auditeur à votre ISMS en tant qu'utilisateur externe, et de limiter son accès au niveau "contributeur".

Cela vous permettra de partager les rapports nécessaires à l'auditeur et de le diriger directement vers le contenu dont il a besoin. Vous pouvez également utiliser des droits d'accès plus larges pour l'auditeur (par exemple, l'équipe centrale), mais cela n'est généralement ni nécessaire ni utile, car cela représente trop d'informations.

Vous pouvez consulter cet article d'aide sur le partage des rapports avec l'auditeur directement via Teams.

N'hésitez pas à nous demander des conseils supplémentaires !

Cet article devrait vous donner une vue d'ensemble des principales étapes à suivre pour être prêt pour la certification ISO 27001 en utilisant Cyberday.

Il ne s'agit cependant que d'un aperçu, qui peut être adapté à vos préférences. Notre équipe est prête et heureuse de vous aider davantage. Réservez une réunion de 45 minutes avec nous pour en savoir plus !

Contenu

Partager l'article