ISO 27001 est une norme internationale sur la sécurité de l’information qui définit les exigences pour la mise en œuvre, le maintien et l’amélioration d’un système de gestion de la sécurité de l’information (SGSI). Un SGSI est un cadre de politiques et de procédures qui inclut les contrôles techniques, juridiques et physiques associés aux processus de gestion des risques informatiques d’une organisation. Les facteurs influençant la mise en œuvre d’un SGSI comprennent les objectifs de l’entreprise, les exigences en matière de sécurité, la taille et la structure de celle-ci. La norme ISO 27001 s’applique à une large gamme d’organisations, telles que les entreprises, les gouvernements, les institutions académiques et les organisations à but non lucratif. Conformément aux meilleures pratiques ISO 27001, les entreprises peuvent gérer les risques de sécurité, protéger les données sensibles et identifier la portée et les limites de leurs programmes de sécurité.
Les exigences clés de la norme ISO 27001 incluent :
- Gestion des actifs : les entreprises doivent protéger adéquatement leurs actifs en identifiant et documentant leurs actifs, et en classifiant les informations en fonction de leur valeur, de leurs exigences juridiques, de leur sensibilité et de leur importance pour l’entreprise
- Sécurité opérationnelle : cet ensemble de contrôles décrit les procédures et responsabilités opérationnelles de base, telles que la séparation des environnements de développement, d’essai et de production, la gestion des modifications et la documentation des procédures opérationnelles
- Contrôle d’accès : cette famille de contrôles fournit des lignes directrices pour gérer l’utilisation des données au sein de l’entreprise et prévenir les accès non autorisés aux systèmes d’exploitation, aux services en réseau, aux installations de traitement de l’information, etc. Cela inclut des règles pour la gestion des accès des utilisateurs, la gestion des droits d’accès privilégiés, les responsabilités des utilisateurs et le contrôle d’accès aux systèmes et applications.
- Gestion des incidents de sécurité de l’information : cette famille de contrôles définit les règles à suivre pour signaler les événements et les faiblesses en matière de sécurité informatique, pour gérer les incidents de sécurité informatique et améliorer ces processus. Les entreprises doivent veiller à ce que les incidents de sécurité soient signalés de manière à permettre une intervention rapide et efficace.
- Sécurité des ressources humaines : cette famille de contrôles exige que les entreprises veillent à ce que les membres du personnel et les sous-traitants soient conscients de leurs responsabilités en matière de sécurité de l’information et les respectent. Les entreprises doivent former le personnel à la sensibilisation et prendre des mesures disciplinaires officielles contre les employés qui enfreignent la sécurité de l’information.
- Continuité des activités : cet ensemble de contrôles décrit les aspects de la sécurité de l’information pour la gestion de la continuité des activités. Les entreprises doivent déterminer les exigences de gestion de la continuité de la sécurité de l’information en cas de situation défavorable, documenter et maintenir les contrôles de sécurité pour garantir le niveau de continuité requis, et vérifier régulièrement ces contrôles.
En suivant les meilleures pratiques énoncées dans la norme ISO 27001, les entreprises peuvent mettre en place des contrôles de sécurité efficaces pour protéger les données de santé des patients contre les accès non autorisés et les incidents de sécurité.
