Le processus classique pour obtenir la certification ISO 27001 peut s'avérer long et complexe, nécessitant plusieurs mois de préparation et de nombreux audits.
Les solutions d'automatisation de la conformité peuvent réduire ce délai de plusieurs mois à quelques semaines.
En surveillant automatiquement votre Système de Management de la Sécurité de l'Information (SMSI) et en collectant des preuves, ces outils diminuent le temps de préparation de l’audit de plusieurs centaines d’heures.
Quelle que soit l'approche choisie, la certification ISO 27001 se déroule en quatre phases : préparation pré-audit, audits de certification des étapes 1 et 2, audits de surveillance et audits de recertification.
Dans cet article, nous examinerons le temps nécessaire pour obtenir la certification ISO 27001, tant avec qu'en l'absence d'automatisation.
Chronologie de la certification ISO 27001
Phase de pré-audit : Mois 1 - Mois 4
- Étape 1 : Définir le périmètre du SGSI
- Étape 2 : Effectuer une évaluation des risques et une analyse des écarts
- Étape 3 : Concevoir et mettre en œuvre des politiques et des contrôles
- Étape 4 : Documenter et collecter des preuves
- Étape 5 : Mener un audit interne et remédier si nécessaire
Audit de l'étape 1 : Mois 5
- Étape 6: l'auditeur examine la documentation du SGSI
Audit de l'étape 2 : Mois 6-8
- Étape 7 : L'auditeur évalue les contrôles de sécurité et les processus opérationnels
- Étape 8 : Recevez votre certification ISO 27001, valable trois ans
Surveillance et amélioration continue : Mois 9-12
- Étape 9 : Surveiller l'efficacité opérationnelle du SGSI
- Étape 10 : Effectuer un audit interne pour identifier les opportunités d'amélioration
Recertification : Mois 20-44
- Étape 11 : Subir un audit de surveillance annuel dans les années 1 et 2
- Étape 12 : Subir un audit de recertification à la fin de votre période de certification de trois ans. La recertification est valable trois ans supplémentaires.
Combien de temps faut-il pour obtenir la certification ISO 27001 ?
La durée de préparation à l'audit dépend de la taille de votre entreprise et de la complexité des données que vous gérez.
Pour une petite ou moyenne entreprise, le délai moyen pour être prête à l'audit est d'environ quatre mois, suivi d'un processus d'audit qui peut durer jusqu'à six mois.
En revanche, les grandes organisations peuvent nécessiter un an ou plus pour se préparer.
Ces quatre mois de préparation à l'audit incluent généralement la définition du périmètre de votre Système de Gestion de la Sécurité de l'Information (SGSI), la réalisation d'évaluations des risques et d'analyses des écarts, la conception et la mise en œuvre de contrôles, la formation du personnel, la préparation de la documentation et la réalisation d'un audit interne.
Le processus d'audit de certification s'étend sur une période de 2 à 3 mois et se divise en deux étapes.
Lors de la première étape, l'auditeur examine la documentation du SGSI pour s'assurer que les politiques et procédures sont correctement établies.
Il peut également proposer des recommandations pour améliorer la sécurité du SGSI de l'organisation.
Lors de la deuxième étape de l'audit, l'auditeur évalue les processus et contrôles opérationnels afin de vérifier leur conformité avec les exigences du SGSI et l'annexe A de la norme ISO 27001.
Phase pré-audit : Mois 1-4
Pendant cette période, vous définirez la portée de votre SGSI et déciderez quels actifs d'information vous souhaitez voir représentés sur votre certificat ISO 27001.
Ensuite, vous devrez effectuer une évaluation des risques pour identifier les menaces et décider comment traiter chaque risque. Vous pouvez également choisir d'engager un consultant externe pour effectuer une analyse des écarts et fournir des conseils sur la manière de répondre aux exigences de l'ISO 27001.
L'étape de préparation de l'audit est également celle où vous devrez préparer la documentation, y compris la rédaction des politiques de sécurité et de confidentialité, la collecte des preuves de contrôle et la formation de votre personnel.