certification ISO 27001 : pour économiser du temps et de l'argent #OSD13


Voir directement cette vidéo sur Dailymotion.

comment rassurer ses clients sur ces compétences ?

Légitimement inquiets ou obligés par la réglementation, clients et prospects demandent souvent de remplir des questionnaires de 40 à... 2 000 questions ! Questionnaires élaborés à grand coûts par des consultants, pas toujours adaptés au contexte, mais toujours basés sur les bonnes pratiques de sécurité communes à tous les référentiels à la mode. La belle affaire !

Avec son catalogue de 133 mesures de sécurité, et une mise en œuvre attestée par des auditeurs compétents et indépendants, la certification ISO 27 001 et sa Déclaration d’Applicabilité (DdA alias SoA) sont une bonne base de départ. Le client pourra se limiter à poser des questions spécifiques à son contexte au-delà des mesures génériques mises en oeuvre. Bref, une économie de temps et d’argent !

attention ceci dit... certification ne veut pas dire Saint Graal !

S'il est vrai qu'une certification ISO 27 001 est très intéressante, il ne faut pas non plus être aveugle : les garanties d'un monde 100% parfait sont des mensonges. Mais je ne vais pas répéter ce que Jean-François nous a raconté dans son billet sur ce sujet : je ne vais pas le plagier, voici le billet original !

Bonne lecture,

Eric

Eric Wiatrowski

Je suis Chief Security Officer pour Orange Business et adore les systèmes de management de la sécurité de l'information et autres boucles PDCA. Mon but est d'obtenir le meilleur cocktaïl d'humains, process et outils pour faire tourner de l'oeil les hackers. Je donnerais ma main droite pour une Déclaration d’Applicabilité de la certification ISO 27 001 avec les bons controles et justificatifs.