Réglementaire
ISO/IEC 27001
Définition
ISO/IEC 27001 est la norme internationale de référence pour un système de management de la sécurité de l'information (SMSI). Sa version en vigueur est ISO/IEC 27001:2022. C'est la seule norme de la famille 27000 qui soit certifiable : un organisme accrédité (COFRAC en France) atteste que l'organisation pilote sa sécurité de façon structurée et améliorée en continu.
Pourquoi c'est important
la norme impose une appréciation des risques, une déclaration d'applicabilité et un cycle d'amélioration continue (approche PDCA). Son annexe A liste 93 mesures depuis la révision de 2022, regroupées en quatre thèmes : organisationnel, humain, physique et technologique. La certification est de plus en plus exigée dans les appels d'offres, sert de socle à d'autres référentiels (HDS, certifications sectorielles) et facilite la démonstration de conformité NIS2 ou DORA. Elle intègre désormais la gouvernance des services cloud et, par extension, des usages d'IA. Le certificat est valable trois ans, avec des audits de surveillance annuels : une organisation certifiée doit donc entretenir son SMSI dans la durée, mesurer sa performance et traiter les non-conformités, sous peine de perdre la certification. C'est précisément cette exigence de continuité qui en fait un signal de confiance fort auprès des donneurs d'ordre.
Comment AOCSI l'adresse
nous vous menons du diagnostic initial à l'audit de certification, en construisant un SMSI proportionné et réellement tenu par vos équipes. Découvrez notre accompagnement à la certification ISO 27001, incluant appréciation des risques, corpus documentaire et préparation à l'audit.
De la définition à la protection.
Nos experts transforment ces concepts en sécurité concrète pour votre organisation.