- Ce sujet contient 2 réponses, 2 participants et a été mis à jour pour la dernière fois par
, le il y a 2 années et 2 mois.
-
Messages
-
Bonjour à tous,
qui aurait déjà mis en place une norme ISO 27001?
Nous sommes une (très) grosse entreprise certifiée ISO 9001 depuis….. la nuit des temps… avec un SMQ ultra complet et nous devons aujourd’hui nous faire certifier ISO 27001 sur une partie de nos activités.
La norme demande a priori la mise en place de plusieurs processus dont un processus de gestion des risques et un processus gestion des incidents.
le prestataire nous aidant sur ce sujet nous a sympathiquement créé des documents mais qui ressemblent bien plus à des procédures qu’à une création de processus……
Ma question est donc: comment avec vous fait? avez vous créé des processus au avez-vous répondu à la norme via des procédures?
HELP!!!!
ps: l’option de contredire notre consultant et de lui ré-expliquer ce qu’est un processus est difficilement envisageable pour plusieurs raisons
Hello !
Kleine s’il n’est pas possible de contredire le consultant sur la basse précise des exigences de cette norme et de son vocabulaire ISO, alors il faut en rester à ses propositions (onéreuses)…
A+
(suite en l’absence de réaction de Kleine)
Sinon adopter les exigences de cette norme pour le management de la sécurité de l’information est assez « simple » au fond : faire un audit de la pratique de l’entreprise dans ce domaine en utilisant la norme ISO 27001 comme référentiel d’audit, puis élaborer et mener un plan d’actions pour traiter les NC ainsi identifiées… ou disons plutôt pour :
– entériner la manière dont l’entreprise satisfait déjà bien certaines exigences ISO 27001.
– corriger la manière dont l’entreprise satisfait déjà mais plutôt mal certaines exigences ISO 27001.
– mettre en pratique certaines exigences ISO 27001 que l’entreprise ne satisfait pas du tout.
A+
- Vous devez être connecté pour répondre à ce sujet.