Étape 1 : Lancement du projet SMSI
• Achetez une copie de la norme ISO 27001
• Obtenir l’engagement de la haute direction pour le projet
• Identifier l’équipe de projet et les autres ressources nécessaires
• Atelier d'une journée pour comprendre le processus de bout en bout

Étape 2 : Définition du projet SMSI
• Atelier exécutif – définir la portée du SMSI, les buts et objectifs de sécurité de l’information
• Comprendre les dépendances sur d’autres systèmes, définir les exclusions
• Relation avec d’autres exigences réglementaires, législatives ou contractuelles

Étape 3 : Préparation de la documentation
• Mettre en œuvre une politique de sécurité de l'information de haut niveau et des politiques de soutien spécifiques (lien)
• Mettre en œuvre d’autres documents et enregistrements requis par la norme ISO 27001
• Définir l’approche, la documentation et les enregistrements pour la mise en œuvre de la gestion des risques (étapes 4 et 5)
• Définir l’approche, la documentation et les enregistrements pour la protection des données (conformité au RGPD)
• Convenir de la documentation et des enregistrements pour garantir la conformité à la sécurité de la chaîne d’approvisionnement

Étape 4 : Activités d’évaluation des risques
• Mise en œuvre d'activités d'évaluation et de traitement des risques pour répondre à la norme ISO 27001
• Options de solution SaaS manuelle ou basée sur le cloud pour réaliser des évaluations des risques
• Fourniture d’une formation détaillée aux propriétaires d’actifs et aux propriétaires de risques sur l’approche choisie
• Atelier d’identification des informations et des ressources de soutien (et de leurs relations)

Étape 5 : Activités de traitement des risques
• Identification des risques inacceptables qui doivent être traités
• Progression des risques inacceptables :
Réduction des risques (par exemple, changement d'approche, application de nouveaux contrôles de sécurité)
Transfert de risque (par exemple, confier l'activité à un prestataire externalisé, une compagnie d'assurance)
Évitement des risques (cessation de l'activité pour éliminer les risques identifiés)
Acceptation des risques (acceptation par la haute direction des risques qui ne peuvent pas être traités)

Étape 6 : Initiatives de formation, d'éducation et de culture
• Préparation de supports de formation à la sécurité de l'information et à la protection des données
• Mise en œuvre d’initiatives éducatives – par exemple, ateliers, webinaires, enquêtes
• Formation des sous-traitants, des tiers et de tout autre personnel concerné par le SMSI
• Évaluation du lieu de travail pour identifier les opportunités/faiblesses en matière de sécurité
• Facultatif : plan pédagogique pour les activités RGPD/protection des données

Étape 7 : Préparation à l'évaluation de certification externe
• Présentation de l'organisation d'audit UKAS avec tarifs/planifications préférentiels
• Produire et valider la déclaration d’applicabilité (manuellement ou automatisée)
• Réalisation d’une évaluation de l’état de préparation à l’audit et correction de toute lacune identifiée
• Réalisation d’audits internes initiaux / formation à l’audit interne pour son propre personnel

Étape 8 : Audit de certification externe
• Évaluation de l'étape 1 – éléments de gestion et conformité à la norme ISO 27001
• (passer à l'étape 2 s'il n'y a pas de non-conformités majeures, sinon répéter l'étape 1)
• Évaluation de l’étape 2 – mise en œuvre de la sécurité de l’information dans les activités opérationnelles
• (progression vers l’obtention de la certification si aucune non-conformité majeure)
• Certification décernée !

... et puis:
• Examen, évaluation et correction de toute non-conformité identifiée
• Atelier pour passer de la préparation à la certification à la maintenance « business as usual »
• Évaluation facultative continue des risques, gestion des fournisseurs et soutien à l’audit interne, etc.


Contactez-nous pour en savoir plus.

​

​

​