Liste de contrôle pour la certification ISO 27001 : 80 étapes
Introduction
La préparation à la certification ISO 27001 est un effort de plusieurs mois. Cette liste est organisée en six phases et aide à éviter les lacunes critiques.
Phase 1 : Fondations & périmètre (Semaines 1–4)
Obtenir l'engagement de la direction. Définir le périmètre du SMSI. Nommer un chef de projet. Identifier les parties prenantes. Réaliser une analyse des écarts. Établir le plan de projet. Sélectionner l'organisme de certification.
Phase 2 : Évaluation et traitement des risques (Semaines 4–10)
Définir la méthodologie. Construire l'inventaire des actifs. Identifier menaces et vulnérabilités. Calculer les scores de risque. Sélectionner les options de traitement. Mapper les contrôles Annexe A. Élaborer le Plan de Traitement des Risques. Produire la Déclaration d'Applicabilité.
Phase 3 : Politiques & documentation (Semaines 8–16)
Rédiger la Politique de Sécurité de l'Information. Documenter le périmètre du SMSI. Créer la documentation obligatoire : résultats d'évaluation, plan de traitement, DdA, objectifs, preuves de formation. Développer les politiques et procédures opérationnelles.
Phase 4 : Mise en œuvre des contrôles (Semaines 12–24)
Implémenter les contrôles d'accès basés sur les rôles. Déployer les contrôles techniques : MFA, protection des endpoints, gestion des correctifs. Réaliser la formation de sensibilisation. Établir la gestion de la sécurité des fournisseurs. Implémenter les procédures de gestion des incidents.
Phase 5 : Audit interne & revue de direction (Semaines 20–28)
Planifier et réaliser l'audit interne du SMSI. Documenter les constatations. Mettre en œuvre les actions correctives. Vérifier leur efficacité. Réaliser la revue de direction. Confirmer la préparation à l'audit.
Phase 6 : Audit de certification & au-delà (Semaines 24–36)
Étape 1 (revue documentaire). Étape 2 (audit d'implémentation sur site). Traiter les non-conformités. Recevoir le certificat (valable 3 ans). Établir les opérations SMSI continues.
Points clés
La certification ISO 27001 est accessible à toute organisation qui engage les bonnes ressources. Les points de défaillance courants : évaluation des risques insuffisante, documentation inadéquate et non-conformités non résolues avant l'audit.
Prêt à estimer vos coûts ISO 27001 ?
Utilisez notre calculateur gratuit pour obtenir une estimation personnalisée des coûts, de l'effort et du calendrier basée sur votre profil d'entreprise.