ISO 27001
Implementez et maintenez la certification ISO 27001:2022 avec CyberOrigen.
Vue d'Ensemble
ISO 27001 est la norme internationale pour les systemes de management de la securite de l'information (SMSI). Elle fournit une approche systematique pour gerer les informations sensibles de l'entreprise.
Structure
Exigences SMSI (Clauses 4-10)
| Clause | Titre |
|---|---|
| 4 | Contexte de l'Organisation |
| 5 | Leadership |
| 6 | Planification |
| 7 | Support |
| 8 | Fonctionnement |
| 9 | Evaluation de la Performance |
| 10 | Amelioration |
Controles de l'Annexe A
93 controles repartis en 4 themes :
| Theme | Controles |
|---|---|
| Organisationnel | 37 controles |
| Personnel | 8 controles |
| Physique | 14 controles |
| Technologique | 34 controles |
Categories de Controles
A.5 - Controles Organisationnels
| Controle | Titre |
|---|---|
| A.5.1 | Politiques de securite de l'information |
| A.5.2 | Roles de securite de l'information |
| A.5.3 | Separation des taches |
| A.5.7 | Renseignement sur les menaces |
| ... | (37 au total) |
A.6 - Controles du Personnel
| Controle | Titre |
|---|---|
| A.6.1 | Verification des antecedents |
| A.6.2 | Termes et conditions |
| A.6.3 | Sensibilisation, education, formation |
| ... | (8 au total) |
A.7 - Controles Physiques
| Controle | Titre |
|---|---|
| A.7.1 | Perimetres de securite physique |
| A.7.4 | Surveillance de la securite physique |
| A.7.9 | Securite des actifs hors site |
| ... | (14 au total) |
A.8 - Controles Technologiques
| Controle | Titre |
|---|---|
| A.8.1 | Terminaux utilisateur |
| A.8.5 | Authentification securisee |
| A.8.7 | Protection contre les malwares |
| A.8.9 | Gestion de la configuration |
| A.8.12 | Prevention des fuites de donnees |
| A.8.15 | Journalisation |
| A.8.16 | Activites de surveillance |
| A.8.24 | Utilisation de la cryptographie |
| ... | (34 au total) |
Pour Commencer
1. Activer le Referentiel
- Allez dans GRC → Referentiels
- Cliquez sur S'inscrire sur ISO 27001:2022
- Cliquez sur Activer
2. Declaration d'Applicabilite
Definissez quels controles s'appliquent :
- Allez dans GRC → Bibliotheque de Controles
- Filtrez par ISO 27001
- Marquez les controles comme :
- Applicable (a implementer)
- Non Applicable (avec justification)
3. Evaluation des Risques
- Allez dans GRC → Registre des Risques
- Identifiez les risques de securite de l'information
- Evaluez la probabilite et l'impact
- Definissez les plans de traitement
Controles Cles
Controles Techniques
CyberOrigen aide avec :
| Controle | Fonctionnalite CyberOrigen |
|---|---|
| A.8.7 Protection malware | Gestion de quarantaine |
| A.8.8 Gestion vulnerabilites | Analyse en 11 phases |
| A.8.9 Gestion configuration | Verifications de configuration |
| A.8.15 Journalisation | Suivi des logs d'audit |
| A.8.24 Cryptographie | Analyse TLS/chiffrement |
Controles Organisationnels
Gestion documentaire pour :
| Controle | Type de Preuve |
|---|---|
| A.5.1 Politiques | Gestion des politiques |
| A.5.2 Roles | Matrice RACI |
| A.5.23 Tiers | Gestion des fournisseurs |
Processus de Certification
Audit de Phase 1
Revue documentaire :
- Perimetre du SMSI
- Methodologie d'evaluation des risques
- Declaration d'Applicabilite
- Politiques et procedures
Audit de Phase 2
Verification de l'implementation :
- Tests des controles
- Revue des preuves
- Entretiens
- Visites sur site
Audits de Surveillance
Audits annuels pour maintenir la certification :
- Sous-ensemble de controles testes
- Suivi des actions correctives
- Revue de l'amelioration continue
Collecte des Preuves
Preuves Automatisees
- Resultats d'analyse de vulnerabilites
- Evaluations de configuration
- Revues d'acces
- Exports de journaux
Preuves Manuelles
- Politiques et procedures
- Registres d'evaluation des risques
- Registres de formation
- Revues de direction
Mappage des Controles
ISO 27001 se mappe aux autres referentiels :
| ISO 27001 | SOC 2 | PCI-DSS |
|---|---|---|
| A.5.1 | CC1.4 | 12.1 |
| A.8.5 | CC6.1 | 8.1 |
| A.8.8 | CC7.1 | 6.1 |
| A.8.24 | CC6.7 | 3.4 |
Conformite Continue
Maintenance du SMSI
- Mensuel : Revue des metriques et incidents
- Trimestriel : Echantillon d'audit interne
- Annuel : Revue de direction, audit interne complet
- Tous les 3 ans : Audit de recertification
Surveillance CyberOrigen
- Score de conformite en temps reel
- Suivi du statut des controles
- Alertes de fraicheur des preuves
- Mises a jour du registre des risques
Lacunes Courantes
| Controle | Probleme | Solution |
|---|---|---|
| A.5.1 | Politiques obsoletes | Calendrier de revue des politiques |
| A.6.3 | Pas de formation securite | Programme de formation |
| A.8.8 | Retard de remediation | SLA de remediation |
| A.8.15 | Journalisation incomplete | Agregation des logs |