calendrier d'événements
juillet 2022
D L Ma Me J V S
26 27 28 29 30 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 1 2 3 4 5 6

ISO/IEC 27001

Systèmes de gestion de la sécurité de l’information

Norme ISO/IEC 27001
Systèmes de gestion de la sécurité de l’information

Afin d’assurer la sécurité des informations délicates qu’elles détiennent, comme les données personnelles relatives aux employés ou aux clients, les données financières, les documents de propriété intellectuelle ou toute autre information jugée délicates, les organisations doivent s’engager à protéger les informations de toute perte, de tout vol ou de toute altération, de même que les systèmes informatiques de toute intrusion et de tout sinistre informatique.

Ainsi peuvent-elles y parvenir en respectant les exigences spécifiées dans la norme ISO/IEC 27001 Systèmes de gestion de la sécurité de l’information.

La norme ISO/IEC 27001, issue d’un consensus international, décrit la mise en œuvre, au sein d’une organisation, d’un système de gestion de la sécurité de l’information (SGSI). Cette norme précise les bonnes pratiques internationales et offre aux organisations une démarche méthodique visant à préserver la confidentialité, l’intégrité et la disponibilité de l’information tout en les aidant à atténuer les risques, les couts et les dommages liés à une gestion déficiente de la sécurité de l’information.

Le SGSI est composé de politiques, de procédures et de mesures de sécurité qui doivent être adéquates et proportionnelles aux risques encourus. L’obtention d’une certification ISO/IEC 27001 augmentera la confiance de votre organisation et rassurera vos clients, fournisseurs et employés puisqu’elle démontrera que vous avez mis en œuvre les moyens nécessaires pour protéger les informations délicates en votre possession.

La norme ISO/IEC 27001 présente plusieurs éléments communs à d’autres normes ISO, par exemple, le système de gestion qu’elle permet de mettre en place s’intègre très bien à d’autres systèmes de gestion tels que la gestion de la qualité (ISO 9001) ou la gestion de la corruption (ISO 37001).

Télécharger la norme

  • Cette norme est disponible sur le site de l'ISO.

 

Offre de certification 

iso 50001

Les organismes qui souhaitent faire reconnaitre leur système de gestion de la sécurité de l’information peuvent s’adresser au BNQ, dont le programme de certification des systèmes de gestion de la sécurité de l’information est accrédité par le Conseil canadien des normes (CCN).

Pour obtenir la certification ISO/IEC 27001, une organisation doit démontrer au BNQ qu’elle respecte les exigences de la norme. Ces exigences concernent :

  • le contexte (besoins et attentes des parties intéressées, limites et applicabilité du SGSI, etc.);
  • le leadership (politique de sécurité de l’information, rôles, responsabilités, autorités, etc.); 
  • la planification (actions à mettre en œuvre face aux risques et opportunités, objectifs de sécurité de l’information, plans pour atteindre les objectifs, etc.);
  • le support (ressources, compétences, formation, communication, documentation, etc.);
  • les activités opérationnelles (planification et maitrise opérationnelles, appréciation et traitement des risques en matière de sécurité de l’information, etc.);
  • l’évaluation des performances (surveillance, mesure, analyse et évaluation, audit interne, revue de direction, etc.);
  • l’amélioration du système (non-conformités, actions correctives, amélioration continue, etc.).

 

Pourquoi choisir le BNQ?

Détenant ses accréditations du Conseil canadien des normes (CCN), le BNQ fait preuve d’une rigueur exemplaire en matière de processus décisionnel et de recommandations de certification. Nos accréditations de calibre international vous garantissent que les procédures et les méthodes du BNQ sont réalisées en conformité avec les règles de l’Organisation internationale de normalisation (ISO), de l’International Accreditation Forum (IAF) et de l’Organisation mondiale du commerce (OMC).

Choisir le programme de certification ISO/IEC 27001 du BNQ, c’est :

  • choisir une approche transparente, indépendante, impartiale, uniforme et confidentielle;
  • avoir accès à une méthode d’audit structurée, rigoureuse, crédible et éprouvée;
  • augmenter la confiance de vos clients, fournisseurs, actionnaires, employés et autres partenaires à l’égard des processus mis en place;
  • assurer la pérennité et l’amélioration continue de votre système de gestion de la sécurité de l’information.

Étapes de certification

Au BNQ, le processus de certification des systèmes de gestion de la sécurité de l’information respecte rigoureusement les exigences d’accréditation applicables.

Le cycle de certification est d’une durée de trois ans au cours de laquelle des audits de maintien sont réalisés à des intervalles de douze mois. Le processus débute par une demande de certification initiale soumise par courriel au moyen du formulaire prévu à cette fin (voir dans la présente page Web la rubrique « Télécharger le document requis pour la certification »).

Une fois le contrat de service signé entre le BNQ et le client et la documentation relative au système de gestion de la sécurité de l’information du client transmise au BNQ, le nom de l’auditeur responsable de l’audit est communiqué au client.

D’abord, une évaluation préliminaire visant à mesurer le niveau de préparation du client est réalisée, notamment au moyen de la revue des documents transmis. Les conclusions de cette évaluation préliminaire sont communiquées au client sous la forme d’un rapport écrit dans lequel est établi un premier jugement quant à la conformité du système aux exigences documentaires de la norme de même qu’au niveau de compréhension et de mise en œuvre des exigences de la norme par le client. Advenant une évaluation favorable, l’auditeur responsable prépare un plan d’audit et le transmet au client.

L’audit de certification initiale sur place a ensuite lieu au cours duquel l’auditeur recueille les renseignements pertinents relatifs aux exigences de la norme, puis les vérifie. Ces renseignements sont recueillis au moyen d’entrevues, d’observation des activités et de l’environnement de travail ainsi qu’au moyen de la consultation de documents sur place. Le client est informé des constats de l’auditeur au fur et à mesure du déroulement de l’audit, lesquels se retrouveront dans le rapport écrit résumant les conclusions de l’auditeur.

Les écarts, si présents, observés lors de l’audit peuvent faire l’objet de demandes d’actions correctives (DAC) mineures ou majeures, selon l’importance des répercussions de l’écart sur l’atteinte des objectifs de la norme. Les DAC doivent être fermées (résolues) dans un délai de 30 jours suivant l’audit.

La décision de certifier ou non le système de gestion de la sécurité de l’information s’appuie sur la recommandation de l’auditeur responsable, combinée à la révision du dossier par le BNQ, afin de s’assurer que toutes les conditions de certification sont remplies.

À la suite d’une décision favorable du BNQ, un certificat de conformité est transmis au client qui consent alors à se soumettre à un premier audit de maintien dans un délai de douze mois à compter du premier jour de l’audit de certification initiale.

Télécharger le document requis pour la certification

Demander un devis estimatif

...

Personne-ressource

Francine Girard
Technicienne aux ventes internes
Bureau de normalisation du Québec
Tél. : 418 652-2296 / 1 800 386-5114, poste 2296
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.