MetaBlog

Restez informé des sujets de formation à la cyber-sensibilisation et atténuez les risques dans votre organisation.

Vos fournisseurs sont-ils vraiment certifiés ISO 27001 ?

Iso20071

sur l auteur

partager c'est prendre soin

La sécurité et la confidentialité sont les mots d'ordre de l'ère l'ère moderne. Avec chaque nouvelle violation très médiatisée, et avec la montée en puissance des lois sur la protection des données au niveau mondial, il incombe à chaque entreprise et organisation de se protéger. protection des données, il incombe à chaque entreprise et organisation de démontrer qu'elle prend des mesures raisonnables pour protéger les informations personnelles. de démontrer qu'elles prennent des mesures raisonnables pour protéger les informations personnelles qu'elles utilisent. C'est là que les normes de sécurité, telles que la norme ISO 27001, jouent un rôle important. rôle important.

Qu'est-ce que l'ISO 27001 ?

La norme ISO 27001 vous permet de montrer que vous avez analysé vos activités, identifié les risques, pris des mesures pour minimiser la probabilité et/ou l'impact de ces risques, et qu'une partie extérieure indépendante a vérifié que tout ce que vous faites est raisonnable. Comme ce contrôle a lieu chaque année, il s'agit d'un engagement permanent en matière de conformité.

Lors de la sélection des fournisseurs, qu'il s'agisse d'un qui traitera vos documents, ou d'un fournisseur SaaS qui traitera les informations dans le informations dans le nuage, ou tout autre service pour lequel vous vous fiez à leurs normes de sécurité pour protéger vos données et votre réputation. leurs normes de sécurité pour protéger vos données et votre réputation, la norme ISO 27001 est une certification précieuse. Mais comment pouvez-vous être sûr que l'entreprise avec laquelle vous traitez a une certification valide ? avec laquelle vous traitez possède une certification valide ?

ISO 27001 conforme et ISO 27001 certifiée

La première chose à faire est de demander une copie du certificat ISO. Il est courant de trouver des fournisseurs qui affirment fièrement qu'ils sont "alignés sur la norme ISO 27001", mais réfléchissez à ce que cela signifie. Aligné et certifié sont des choses très différentes. Si une entreprise fait tout son possible pour "s'aligner" sur la norme ISO, pourquoi ne pas franchir la dernière étape et obtenir la certification ? Ou bien, a-t-elle déjà été certifiée et s'est-elle vue retirer sa certification pour ne pas avoir respecté les normes requises ?

Le site Champ d'application de l'ISO 27001

Une fois que vous avez reçu le certificat, la prochaine chose à vérifier est qu'il est valide et qu'il couvre les domaines pour lesquels vous avez l'intention d'utiliser le fournisseur. La première étape consiste donc à vérifier la date d'expiration du certificat. S'il a expiré, il n'est pas valide. Ensuite, vérifiez que l'organisme qui a délivré le certificat est accrédité. La liste des membres de l'IAF indique clairement qui est autorisé à accréditer les organismes de certification. Par exemple, au Royaume-Uni, il s'agit de l'UKAS. Vérifiez ensuite que l'organisme qui a accrédité le certificat du vendeur figure sur le site du pays concerné.

Nous savons maintenant que le certificat est valide, mais nous n'avons pas encore fini. Ensuite, nous devons vérifier que le certificat couvre les activités que nous voulons que le fournisseur entreprenne sur les sites où le travail sera travail. La norme ISO 27001 vous permet de sélectionner les activités pour lesquelles vous serez certifié et les sites spécifiques auxquels elle s'applique. les sites spécifiques auxquels elle s'applique. C'est le champ d'application de la certification.

Par exemple, supposons qu'une entreprise qui s'occupe de l'élimination sécurisée des documents administratifs étende ses activités à un nouveau site. Elle dispose d'une certification ISO pour son site d'origine. La certification ne couvre pas le nouveau site tant qu'elle n'a pas achevé le processus de certification pour celui-ci. Maintenant, une certification peut couvrir plusieurs sites, mais seulement si cela est explicitement indiqué. Mais que se passe-t-il si la même entreprise décide d'acheter un fournisseur de services de paie en mode SaaS ? Le certificat ISO ne concerne que l'élimination sécurisée des documents administratifs, il ne couvre pas l'opération SaaS.

Enfin, une fois que vous êtes convaincu que le certificat couvre le champ d'application dont vous avez besoin, vous devez vérifier les contrôles que le fournisseur a mis en place pour vous assurer qu'ils répondent à vos exigences et à vos attentes. La certification ISO est un processus continu et évolutif. Au fur et à mesure que la nature des risques et les exigences des clients changent, les contrôles aussi. Vérifiez donc les contrôles de votre fournisseur. Si elles ne répondent pas à vos exigences, insistez pour que d'autres contrôles soient mis en place. d'autres contrôles soient mis en place. Cela vous donnera la tranquillité d'esprit dont vous avez besoin, tout en rendant le renouvellement de la certification plus facile. l'esprit dont vous avez besoin, tout en facilitant le renouvellement de la certification pour le fournisseur, puisqu'il peut démontrer qu'il évalue activement les contrôles. démontrer qu'il évalue activement les contrôles qu'il utilise et les met à jour au besoin. les mettre à jour si nécessaire.

La façon dont vous sélectionnez et évaluez les fournisseurs est un aspect important du maintien de votre propre certification ISO 27001, alors n'oubliez pas ces trois étapes :

Tout d'abord , vérifiez que le certificat du vendeur est valide.

Deuxièmement , vérifiez que le champ d'application est applicable.

Enfin , vérifiez que les contrôles répondent à vos besoins et à vos attentes.

MetaCompliance est fier d'être conforme à la norme ISO 27001. Chez MetaCompliance, nous nous sommes toujours efforcés de fournir à nos clients l'infrastructure de sécurité de l'information la plus solide. Cette certification garantit que nos produits sont conformes aux normes les plus strictes grâce à des processus approuvés et documentés et que nous nous engageons à respecter le plus haut niveau de sécurité de l'information. Pour plus d'informations, contactez-nous

vous pourriez apprécier de lire ces

Demander une démo

Les informations personnelles que vous nous fournissez dans ce formulaire ne seront jamais utilisées par MetaCompliance (en tant que contrôleur des données) qu'aux fins spécifiquement définies ci-dessous :

  • vous envoyer par courrier électronique le contenu que vous nous avez demandé
  • avec votre consentement, vous envoyer occasionnellement par courrier électronique des informations ciblées sur nos offres de services.
  • honorer en permanence toute demande de retrait que vous soumettez à l'avenir
  • se conformer à l'une de nos obligations légales et/ou réglementaires