Frameworks/ISO 27001

ISO 27001

ISO/IEC 27001:2022

ISO 27001 est la norme internationale pour le management de la sécurité de l’information. Elle définit les exigences pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un SMSI.

Exigences clés

Ce que requiert ISO 27001.

  • Définir le périmètre et le contexte du SMSI
  • Conduire une évaluation des risques liés à la sécurité de l’information
  • Mettre en œuvre les contrôles de l’Annexe A
  • Maintenir les informations documentées
  • Conduire des audits internes et des revues de direction
Système de management de la sécurité de l’information

ISO/IEC 27001:2022

Comment Acuna répond

ISO 27001 dans les quatre volets.

Comply

Cartographier les 93 contrôles de l’Annexe A et la Déclaration d’applicabilité dans le volet Comply.

Implement

Assigner la responsabilité des contrôles, joindre des preuves et suivre le statut de mise en œuvre par contrôle.

Operate

Exécuter les contrôles récurrents, gérer les risques et les plans de traitement, maintenir le registre des risques.

Assure

Préparer les dossiers d’audit, suivre les non-conformités, gérer les actions correctives.

FAQ

Questions fréquentes sur ISO 27001.

Comment Acuna soutient-il la certification ISO 27001 ?

Acuna couvre l’intégralité du cycle de vie ISO 27001, depuis la définition du périmètre et la cartographie des contrôles dans Comply, jusqu’à la mise en œuvre et la collecte de preuves dans Implement, la gestion opérationnelle des risques dans Operate, et la préparation des audits dans Assure.

Acuna peut-il cartographier les contrôles ISO 27001 vers d’autres référentiels ?

Oui. La cartographie inter-référentiels d’Acuna élimine le travail dupliqué. Les contrôles communs à ISO 27001, SOC 2, NIS2 et d’autres référentiels sont cartographiés une seule fois et réutilisés.

Acuna prend-il en charge la révision 2022 d’ISO 27001 ?

Oui. Acuna est conçu pour ISO/IEC 27001:2022, incluant le jeu de contrôles mis à jour de l’Annexe A avec 93 contrôles répartis sur 4 thèmes.

Comment Acuna gère-t-il la Déclaration d’applicabilité ?

La Déclaration d’applicabilité est gérée directement dans le volet Comply. Chaque contrôle de l’Annexe A peut être marqué applicable ou non applicable avec une justification documentée.

Qu’est-ce qu’un SMSI et comment Acuna aide-t-il à le gérer ?

Un Système de management de la sécurité de l’information (SMSI) est l’ensemble des politiques, procédures et contrôles qui gèrent les risques liés à la sécurité de l’information. Acuna fournit la plateforme opérationnelle pour piloter votre SMSI au quotidien.

Réponses associées

Questions que les praticiens se posent.

Qu’est-ce qu’ISO 27001 ?

ISO 27001 est la norme internationale pour les systèmes de management de la sécurité de l’information (SMSI). Publiée par l’ISO/IEC, elle définit les exigences pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un SMSI. La révision 2022 inclut 93 contrôles répartis sur quatre thèmes : organisationnel, humain, physique et technologique. La certification requiert un audit externe accrédité démontrant que le SMSI répond à toutes les exigences des clauses et que les contrôles de l’Annexe A sélectionnés sont mis en œuvre et efficaces. Acuna prend en charge l’intégralité du cycle de vie ISO 27001, de la définition du périmètre à la préparation des audits.

Quelle est la différence entre GRC et SMSI ?

La GRC (Gouvernance, Risques et Conformité) est une discipline de management large couvrant la manière dont une organisation dirige sa stratégie, gère ses risques et respecte ses obligations réglementaires dans tous les domaines. Un SMSI (Système de management de la sécurité de l’information) est une mise en œuvre spécifique de la gouvernance et de la gestion des risques centrée sur la sécurité de l’information, se conformant généralement à ISO 27001. Un SMSI est une composante d’un programme GRC plus large. Acuna est une plateforme GRC qui prend en charge la gestion d’un SMSI comme l’un de ses cas d’usage, aux côtés de la protection des données, de la continuité d’activité, du risque fournisseur et de la gestion des risques d’entreprise.

Qu’est-ce qu’une Déclaration d’applicabilité dans ISO 27001 ?

La Déclaration d’applicabilité (DdA) est un document obligatoire dans ISO 27001 qui liste tous les contrôles de l’Annexe A, indique si chacun est applicable ou non applicable au périmètre du SMSI de l’organisation, fournit une justification pour les exclusions, et référence le statut de mise en œuvre de chaque contrôle applicable. La DdA est un artefact clé de l’audit : les auditeurs l’utilisent pour vérifier que la sélection des contrôles est fondée sur les risques et que les contrôles exclus disposent d’une justification documentée. Dans Acuna, la DdA est gérée directement dans le volet Comply avec les marquages d’applicabilité et les champs de justification par contrôle.

Comment fonctionne le marquage d’applicabilité pour les exigences de référentiel ?

Dans Comply, chaque exigence peut être marquée Applicable ou Non applicable avec un champ de justification obligatoire. Pour ISO 27001, cela produit la Déclaration d’applicabilité (DdA). Les décisions d’applicabilité se propagent en aval : lorsqu’une exigence est marquée non applicable, ses mesures et contrôles reliés sont exclus des calculs de couverture. Les auditeurs peuvent filtrer la liste des exigences par statut d’applicabilité et exporter la DdA comme artefact versionné. Les modifications d’applicabilité après le marquage initial sont tracées dans la piste d’audit avec l’utilisateur, l’horodatage et la raison du changement.

Conçu pour :RSSIResponsables conformitéMSSP

Voir comment Acuna gère ISO 27001.

Notre équipe vous présentera la mise en œuvre de ISO 27001 dans Acuna.

Demander l’accès