Une telle certification semble bonne et importante, et elle l’est. Mais qu’est-ce que cela signifie en pratique ? Pourquoi est-il sage pour un client de coopérer avec des organisations qui sont en possession d’ISO 27001 ? Que fait-on de la sécurité de l’information dans la pratique quotidienne ? Pour Archive-IT, garantir la confidentialité des données sensibles est bien plus qu’un simple certificat papier….
ISO 27001 est la norme internationale pour la sécurité de l’information. La norme NEN 7510 y est étroitement liée. NEN 7510, la certification ISO 27001 ne s’adresse qu’au secteur de la santé. Archive-IT est en possession des deux certifications et ceci est imbriqué avec tous les processus d’affaires.
Aucun moment de stress annuel
Un organisme externe nous rend visite au moins une fois par an pour vérifier si nous respectons toujours les exigences de la norme ISO 27001. Ce que vous voyez souvent, c’est qu’un mois avant l’arrivée de cet auditeur, toute l’organisation est sens dessus dessous pour tout remettre en ordre. L’auditeur est passé par là et devinez quoi ? Ils continuent de la même façon pendant 11 mois avant que le moment de stress annuel ne recommence. Chez Archive-IT, nous adoptons une approche différente : les audits internes sont effectués par l’équipe d’audit interne tout au long de l’année. Les employés d’Archive-IT testent leurs collègues, annoncés et non annoncés, sur les procédures établies qui sont importantes pour l’ISO. Ça marche !
Preuves à l’appui
Avoir des procédures est une chose, s’y conformer en est une autre. La charge de la preuve est toujours demandée. Par exemple, si un employé indique qu’une plainte en vertu de la procédure devrait être traitée dans les 48 heures, le vérificateur lui demandera : « Fais-moi voir ça. Ce n’est pas pour rien que vous avez ISO 27001 en votre possession… votre organisation doit effectivement s’y conformer.
Sensibilisation et améliorations
En plus de se conformer aux procédures établies, il y a beaucoup d’autres choses qui contribuent à la sécurité de l’information. Il est très important de sensibiliser les employés. En organisant des sessions intéressantes, en fournissant des informations et en soulignant l’importance de la sécurité de l’information pendant les réunions, chaque employé à tous les niveaux de l’organisation est impliqué dans le processus. Quelle que soit la qualité de l’enregistrement des processus, il y a toujours place à l’amélioration. Une amélioration récente est, par exemple, que les employés qui travaillent avec des fichiers sensibles à la vie privée ne sont pas autorisés à utiliser un téléphone mobile sur leur lieu de travail. De cette façon, nous nous améliorons continuellement, l’équipe de vérification interne nous garde sur nos gardes et nous sommes ouverts aux changements.
Chez Archive-IT, il est impossible d’imaginer la vie sans ISO 27001 ; nous respirons la sécurité de l’information sous forme physique et numérique. Non seulement lors de l’audit annuel, mais aussi au quotidien. Choisissez donc judicieusement si vous recherchez un partenaire pour traiter vos données confidentielles. Choisissez ISO 27001.