Pourquoi faisons-nous confiance aux organisations que le certificat ISO 27001?

Croyez-vous en ISO/IEC 27001? Acceptez-vous qu'une entreprise qui met en œuvre et le maintien d'un système de gestion basée sur l'ISO/IEC 27001 disposera de processus de gestion de la sécurité de l'information efficaces?

Si vous ne le faites pas, alors son inutile de savoir comment nous pouvons faire confiance aux organes de certification, comme BSI. Beaucoup de gens ne comprennent pas la norme en premier lieu - pensant que c'est tout à propos de cela, sinon s'il y a un incident de sécurité majeur, l'organisme standard, ou la certification, a échoué en quelque sorte.

En fait, le plus gros problème, à mon avis, est dans la mise en œuvre et autour de la portée inappropriée de l'ISMS - le plus souvent, c'est l'inclusion du service informatique aux dépens de tout le reste appelé "Affaires réelles"! Une vraie recette pour perdre du temps et de l'argent et celui que j'espère être moins rencontré avec la sortie de la version de la norme 2013.

Mettre une autre solution, la certification ISO/IEC 27001 ne signifie pas que vous avez une bonne sécurité d'informations, comme cela dépendra de nombreux facteurs. Ce que cela signifie signifie, c'est que l'organisation a mis en place une ISMS, met en œuvre et maintient ce ISMS, et que l'ISMS est examiné et amélioré de manière continue. Le rôle de l'auditeur est principalement de 1) vérifier la conformité aux exigences, et 2) d'évaluer l'efficacité de l'ISMS - c'est-à-dire la réalisation de ses objectifs de politique.

En certification, vous mettez votre foi dans les capacités des auditeurs individuels qui effectuent les audits pour le compte de l'organisme de certification. Si deux vérificateurs différents et compétents planifient et comportent le même audit, les deux apparaîtront à différentes conclusions. Pour avoir confiance dans ce processus, vous devez également comprendre comment cela fonctionne, sa valeur et ses faiblesses.

Comme cela a été mentionné précédemment, les organismes d'accréditation nationaux tels que l'Ukas aident à nous donner cette confiance en audit les organes de certification, essentiellement en notre nom et en supprimant l'accréditation si l'organe de certification ne remplit pas ses propres exigences du système de gestion et se conformer aux normes telles que l'ISO/CEI 17021 (exigences d'évaluation de la conformité) - qui, par exemple, exige que les organes de certification et leurs auditeurs soient indépendants dans la réalisation de l'audit. Combien de sociétés de certification voyez-vous également fournir des services de conseil? Les consultations et les audits sont deux contraires complètes et inviteront des biais dans le résultat de l'audit. Des sociétés accréditées telles que BSI ne sont pas autorisées à fournir des services de conseil.

Une autre exigence importante est que les organes de certification doivent avoir un processus efficace en place pour la sélection et la formation des auditeurs qui garantissent la compétence nécessaire - très importante comme je l'ai mentionnée depuis que nous sommes audités par des personnes, et toutes sont différentes. De bons organismes de certification garantissent autant que possible la cohérence et à une norme élevée.

Donc, pour répondre à la question, nous avons confiance en organes de certification "accrédités", car nous comprenons qu'ils sont surveillés par une tierce partie compétente et indépendante et doivent conserver certaines normes pour rester accréditées.

Y a-t-il de bons et de mauvais organes de certification? Y a-t-il de bons et de mauvais auditeurs? Oui aux deux! Son gris, et comme mentionné précédemment par une autre affiche, sa convention de confiance. En fin de compte, je pense que c'est la réputation de l'organisme de certification que nous cherchons à cette confiance et est la principale raison pour laquelle le certificat d'affiche original (OP) est perçu comme étant sans valeur que le certificat de l'organisation de certification connue.

Une note de plus sur ce point, il n'y a pas de "exigence" pour la certification dans la norme. C'est un choix qu'une entreprise crée [principalement] la confiance de l'extérieur de l'extérieur qu'elles sont engagées dans le processus - pourquoi j'ai demandé au début, croyez-vous au processus?

De même, quiconque (moi, vous et l'OP) peut effectuer et certifier qu'une entreprise est conforme à la norme ISO/CEI 27001 - rien de mal à cela, en fonction des avantages que l'organisation recherchent. Certes, un certificat "non crédité" de l'OP ne tiendra pas beaucoup de poids dans la vision de la communauté, mais nuire à ce que tout dépend de l'auditeur, et il n'y a aucune raison pour que l'OP ou toute autre personne ne puisse pas être suffisamment compétente. et expérimenté dans la conduite des audits ISO/CEI 27001 et être en mesure de fournir une grande valeur à un client d'audit en offrant un avis indépendant.

Pourquoi faire confiance aux organisations qui certifient ISO/IEC 27001? Peut-être pour les mêmes raisons que nous avons confiance dans les autorités de certification SSL - réputation.

Juste un avis ..

En fin de compte, c'est en fin de compte. Qui vous fait confiance à l'audit contre ISO27001?

Dans le cas de BSI, ils se sont établis comme faisant partie du processus (en effet BS7799 qui était un BSI développé Norme ISO27001 et IIRC ont été efficacement transformés en ISO27001 lorsqu'il a été créé pour la première fois).

Ainsi, dans le cadre de la création d'une norme, vous devez créer et gérer un processus d'audit pour gérer la certification, ils étaient donc/sont confiés par des groupes comme le gouvernement britannique pour le faire.

Théoriquement, quiconque pourrait proposer sa propre norme de conformité de sécurité sur la base de l'ISO27001, mais le problème est que "Pourquoi leur feriez-vous confiance?"

L'ISO27001 est une norme contre laquelle une organisation est auditée. Ce n'est pas un test de stylo ou un examen de code, il est principalement axé sur la gestion, les politiques, etc. C'est une tierce partie qui assure une assurance raisonnable sur l'efficacité opérationnelle, les contrôles, etc. de la société. par exemple. Si un org a été certifié, vous auriez toujours des accords légaux, des contrats, etc. pour gérer les risques. La confiance n'est pas la même chose qu'une garantie.

L'organisation qui veut être certifiée choisit également qui les auditera. Ils pourraient embaucher une société de démarrage sans nom de quelqu'un, mais généralement, ils engageront un nom de marque qui a de confiance et de respect sur le marché pour tout ça vaut la peine. Les entreprises de vérification et de certification ont la réputation. Si vous souhaitez que votre fournisseur soit certifié, vous pouvez leur dire d'utiliser une liste approuvée de fournisseurs ou pourriez dire que nous ne nous soucions pas de votre cert parce que nous n'avons aucune raison d'avoir confiance ou confiance dans la tierce partie qui a fait l'examen? La tierce partie effectuant la certification peut également être vérifiée pour les informations d'identification, par exemple Auditeur principal ISO/IEC 27001 .

Le point de tout type d'examen des tiers (SOC1/SSAE16, SOC2, ISO27001, etc.) est de gagner une assurance raisonnable à un coût inférieur, puis d'entrer et d'effectuer une vérification complète vous-même. L'organisation peut être examinée une fois par une tierce partie de confiance utilisant des critères communs - sinon, chaque client devrait auditer ou examiner indépendamment la société: cela gaspille le temps de la société et est probablement beaucoup plus coûteux pour le client. Il n'y a pas aucune exigence Faire confiance à la certification ISO27001 de quelqu'un. Si c'est cet important, vous pouvez toujours négocier pour avoir votre propre examen indépendant effectué à l'aide de vos propres critères.