Cyberday.ai
Commencez
Login
Thèmes
ISO 27001
NIS2
Pour commencer
Gestion du cadre
Sécurité des produits
Paramètres et avancées
Essai et abonnement
Gestion des utilisateurs
Communauté
Documentation
Lignes directrices pour le personnel
Reporting
Gestion des tâches
GDPR
Audit interne
Sécurité du personnel
Gestion des risques
Travailler en partenariat
Amélioration continue
Collaboration d'équipe
Afficher tous les thèmes
Webinars
NIS2 : Introduction à la directive NIS2 et Cyberday
ISO 27001 : Élaborer un plan de cybersécurité qui vous mette en conformité
Revue mensuelle de mai pour les administrateurs de Cyberday (5/2024)
Afficher tous les webinaires
Vidéos
Documentation sur les actifs
Améliorer en permanence votre SMSI
Cyberday introduction générale
ISO 27001 et les fondamentaux de l'audit de certification
ISO 27001 et sensibilisation du personnel
ISO 27001 et la gestion des risques
Introduction à l'ISO 27001
Introduction au NIS2
Voir toutes les vidéos
Aide
Documentation
Pour les administrateurs
Pour les partenaires
Frameworks
Gestion des lignes directrices
Autres caractéristiques
Reporting
Mise en place et intégrations
Gestion des tâches
Gestion des utilisateurs
Afficher toutes les aides
Blogs
6 façons d'évaluer l'efficacité du travail de sécurité
Contrôle d'accès et MFA (NIS2 21.2) : Construire une base solide avec les meilleures pratiques de l'ISO 27001
Comprendre les bases de la sécurité des RH pour la conformité ISO 27001 et NIS2
Élaborez vos mesures NIS2 pour la continuité des activités et les sauvegardes avec ISO 27001
Meilleures pratiques de la norme ISO 27001 pour l'acquisition et le développement de systèmes sécurisés : Créez vos mesures NIS2
Afficher tous les blogs
Bibliothèque de contenu
Kiitos ! Nous avons déjà fait le tour de la question, mais nous n'avons pas réussi à nous en sortir.
Vous ne pouvez pas vous tromper. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos ! Nous avons déjà fait le tour de la question, mais nous n'avons pas réussi à nous en sortir.
Vous ne pouvez pas vous tromper. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Accueil de l'Académie
Aide
Étapes nécessaires pour la préparation à l'audit de certification ISO 27001

Étapes nécessaires pour la préparation à l'audit de certification ISO 27001

Il s'agit d'une recommandation des priorités de travail sur Cyberday, lorsque l'objectif est d'être prêt pour l'audit de certification ISO 27001.

Toutes les étapes sont nécessaires, vous devez donc vous familiariser avec la liste complète. Toutefois, vous pouvez modifier l'ordre de certaines d'entre elles pour mieux les adapter à vos préférences (par exemple, en fonction de votre niveau de conformité de départ).

1. Activer le framework ISO 27001 (version 2022 ou 2013)

Où trouver cette vue : Tableau de bord -> Nom de l'organisation -> Cadres -> Modifier les cadres

Si vous commencez une nouvelle mise en œuvre de la norme ISO 27001, vous devez utiliser la version 2022 de la norme.

Si votre objectif est d'être prêt pour l'audit, vous devriez commencer immédiatement avec le framework complet (niveau 3). Certains utilisateurs ont souhaité commencer par les niveaux 1 ou 2 pour voir d'abord un ensemble limité de tâches. C'est tout à fait possible, à condition de ne pas oublier de passer au niveau 3 le moment venu.

2. Cartographier l'état de démarrage des tâches critiques, de haute priorité et de priorité normale

Pour avoir une idée du niveau de votre conformité actuelle, vous devez continuer à faire les choses suivantes : 

  • Invitez les utilisateurs que vous souhaitez désigner comme propriétaires de thème
  • Définir les propriétaires de thèmes
  • Chaque propriétaire de thème passe en revue les tâches en suspens, active celles que vous avez mises en œuvre (au moins partiellement) et leur attribue le statut correct.

Conseil : Cela vous permettra de voir l'état de conformité initial du rapport de conformité ISO 27001 (déclaration d'applicabilité) également.

3. Créer et affecter votre inventaire d'actifs

Les actifs de données les plus importants dans Cyberday sont les suivants :

  • Systèmes de données - les logiciels utilisés pour le traitement et le stockage des données.
  • Magasins de données - différents dépôts de données logiques volumineux (par exemple, données sur les clients ou sur le personnel) où les données peuvent être stockées dans plusieurs formats et emplacements.
  • Ensembles de données - les données, soit dans des systèmes de données, soit dans d'autres formats électroniques/physiques, nécessaires à l'exécution de certaines tâches (par exemple, la facturation, l'authentification).
  • Autres actifs - par exemple, autres équipements critiques, si vous en avez
  • Bureaux - vos locaux physiques

À ce stade, vous devez inviter les utilisateurs en tant que "contributeurs" à qui vous souhaitez attribuer différentes ressources. Vous n'avez pas nécessairement besoin d'envoyer des invitations pour le moment - les utilisateurs peuvent également être ajoutés silencieusement.

4. Créer des directives pour le personnel

La sensibilisation et l'orientation du personnel sont des éléments importants de la sécurité de vos informations.

À ce stade, vous pouvez utiliser vos documents existants ou les exemples de Cyberday pour créer des directives pour les employés sur différents thèmes (par exemple, l'utilisation des appareils mobiles, le travail à distance, l'utilisation des mots de passe, la prévention du phishing). Après avoir activé certaines directives, vous verrez l'aspect de vos directives actuelles dans l'onglet Guidebook.

Vous devez également décider si vous souhaitez activer les extensions de formation dans Cyberday. Vous pouvez les trouver dans le dashboard de l'organisation -> Paramètres -> Paramètres du Guidebook .

Le Guidebook sera ensuite déployé à l'ensemble du personnel dans une étape distincte. À ce stade, vous pouvez utiliser le processus du Guidebook (par exemple, les notifications) avec vos principaux utilisateurs, afin de voir comment votre personnel interagirait avec Cyberday.

5. Créer et réviser les documents / politiques / rapports nécessaires

Vous pouvez créer tous les documents nécessaires, par exemple pour la phase 1 de l'audit ISO 27001, à partir de la section "Reporting" de Cyberday.

Les principaux documents nécessaires à l'audit ISO 27001 de phase 1 sont les suivants :

  • Description et portée de l'ISMS
  • Politique et objectifs de sécurité de l'information
  • Procédure et résultats de la gestion des risques
  • Déclaration d'applicabilité (SoA)
  • Procédure de sensibilisation et d'orientation du personnel
  • Procédure d'audit interne et résultats
  • Procédure de revue de direction et résultats

À ce stade, l'important est de créer ces rapports, de les examiner et de remplir les parties qui portent l'avertissement "needs your input". Il est également important de se familiariser avec le contenu, même si, lorsque vous travaillez avec Cyberday, l'application vous guide principalement pour que votre travail corresponde à ce que disent les documents.

Dans la capture d'écran ci-dessous, vous pouvez voir un exemple de déclaration d'applicabilité et ce à quoi elle pourrait ressembler au niveau de l'audit. Encore une fois, cela peut varier d'une organisation à l'autre, mais en général, la carte doit être remplie en vert.

6. Remplir les informations relatives à l'assurance des tâches et combler les lacunes

À ce stade, nous vous recommandons de procéder comme suit : 

  • S'assurer que les tâches décrivent correctement votre état de préparation en matière de sécurité, c'est-à-dire remplir les informations d'assurance pour les tâches.
  • Mise en œuvre de tâches importantes, qui ne sont pas encore activées

Cette dernière partie nécessitera des ressources et du temps, et vous devrez donc tenir compte des priorités des tâches, des risques éventuels perçus et de vos propres délais.

À ce stade, vous pouvez également inviter d'autres contributeurs à votre compte, qui connaissent le mieux la mise en œuvre de chaque tâche.

7. Commencer à travailler sur la gestion des risques

Lorsque vous avez mis en œuvre les étapes précédentes, vous avez créé une excellente base pour une gestion des risques efficace et réussie.

Il serait maintenant temps d'aller dans dashboard de l'organisation -> Gestion des risques et leadership -> Risques liés à la cybersécurité et de commencer le travail à cet endroit.

Vous devriez l'être :

  • revoir la liste des risques et ajuster les évaluations si nécessaire
  • l'ajout de tâches / contrôles personnalisés, qui permettent de contrôler certains risques mais qui sont absents de votre ISMS
  • les risques les plus élevés en attente d'un traitement

8. Assurez-vous que vous avez mis en œuvre les spécialités de l'ISO 27001

Les tâches liées aux exigences obligatoires de l'ISO 27001 (au lieu des contrôles de l'ISO 27002) sont celles qui entraîneront des non-conformités majeures lors de l'audit de certification si elles ne sont pas correctement mises en œuvre.

Des exemples de ce type de sujets sont par exemple les audits internes et les revues de direction. Vous devez avoir mis en œuvre et documenté les résultats d'au moins l'un d'entre eux et disposer également du document de procédure définissant clairement votre approche.

Voici d'autres exemples de non-conformités courantes dans les audits de certification ISO 27001 : 

  • Traitement insuffisant du risque - par exemple, le lien entre l'évaluation du risque et le traitement du risque est rompu (6.1).
  • Liste des exigences de sécurité de l'information manquante - vous devez énumérer, par exemple, les exigences des clients, les autres législations nationales, les autres normes suivies en plus de l'ISO 27001 (A.18.1.1).
  • Les droits d'accès des utilisateurs ne sont pas examinés (A.9.2.5)
  • L'inventaire des actifs n'est pas correctement documenté (A.8.1.1)

9. Déployez Cyberday pour votre personnel

Pour que les processus de sensibilisation des employés soient déployés, vous devrez distribuer l'application Cyberday à tous les employés.

Cela peut se faire facilement à l'aide de nos intégrations Teams ou Slack.

Une fois que vous avez créé une politique de configuration de l'application, vos conseils aux employés seront automatiquement exécutés pour tous les membres de votre locataire Teams.

10. Finalisez votre préparation à l'audit ISO 27001

Enfin, pour commencer la collaboration avec un auditeur, vous devrez prendre quelques mesures pour partager du contenu à son intention.

La méthode par défaut que nous recommandons est d'inviter l'auditeur à votre ISMS en tant qu'utilisateur externe, et de limiter son accès au niveau "contributeur".

Cela vous permettra de partager les rapports nécessaires à l'auditeur et de le diriger directement vers le contenu dont il a besoin. Vous pouvez également utiliser des droits d'accès plus larges pour l'auditeur (par exemple, l'équipe centrale), mais cela n'est généralement ni nécessaire ni utile, car cela représente trop d'informations.

Vous pouvez consulter cet article d'aide sur le partage des rapports avec l'auditeur directement via Teams.

N'hésitez pas à nous demander des conseils supplémentaires !

Cet article devrait vous donner une vue d'ensemble des principales étapes à suivre pour être prêt pour la certification ISO 27001 en utilisant Cyberday.

Il ne s'agit cependant que d'un aperçu, qui peut être adapté à vos préférences. Notre équipe est prête et heureuse de vous aider davantage. Réservez une réunion de 45 minutes avec nous pour en savoir plus !

Contenu

Partager l'article

Autres contenus similaires de Academy

Articles d'aide

Cadres disponibles sur Cyberday et vote/souhait pour de nouveaux cadres
Démarrer en Cyberday
Étapes nécessaires pour la préparation à l'audit de certification ISO 27001
Quels types de frameworks sont disponibles ?

S'abonner à l'Académie aujourd'hui

Améliorez vos connaissances grâce à un accès exclusif aux webinaires hebdomadaires, aux cours vidéo, aux articles d'aide et aux blogs.

Kiitos ! Nous avons déjà fait le tour de la question, mais nous n'avons pas réussi à nous en sortir.
Vous ne pouvez pas vous tromper. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Thèmes
Travailler en partenariat
Documentation
Gestion du cadre
ISO 27001
Communauté
Afficher tous
Webinars
NIS2 : Introduction à la directive NIS2 et Cyberday
ISO 27001 : Élaborer un plan de cybersécurité qui vous mette en conformité
Revue mensuelle de mai pour les administrateurs de Cyberday (5/2024)
Afficher tous
Vidéos
Introduction à l'ISO 27001
Introduction au NIS2
ISO 27001 et les fondamentaux de l'audit de certification
Documentation sur les actifs
ISO 27001 et sensibilisation du personnel
Afficher tous
Aide
Documentation
Pour les partenaires
Autres caractéristiques
Reporting
Gestion des lignes directrices
Afficher tous
Blogs
6 façons d'évaluer l'efficacité du travail de sécurité
Contrôle d'accès et MFA (NIS2 21.2) : Construire une base solide avec les meilleures pratiques de l'ISO 27001
Comprendre les bases de la sécurité des RH pour la conformité ISO 27001 et NIS2
Élaborez vos mesures NIS2 pour la continuité des activités et les sauvegardes avec ISO 27001
Meilleures pratiques de la norme ISO 27001 pour l'acquisition et le développement de systèmes sécurisés : Créez vos mesures NIS2
Afficher tous
Bibliothèque de contenu
Bibliothèque de contenu ouverteLaboratoires
Kiitos ! Nous avons déjà fait le tour de la question, mais nous n'avons pas réussi à nous en sortir.
Vous ne pouvez pas vous tromper. Voit olla yhteydessä tiimi@tietosuojamalli.fi.