trarzh-TWenfrdeelitfarues

ISO 27001

Certificat de système de gestion de la sécurité de l'information ISO 27001

Système de gestion de la sécurité de l'information ISO 27001

Qu'est-ce que les données et informations?

Commençons par les concepts de base de l’information. En termes simples, les données brutes sont appelées données. La forme traitée des données est une information. Les données ou l'expression de données est une valeur numérique et logique.

Les principales caractéristiques des informations à protéger sont les suivantes:

  • Confidentialité des informations: La confidentialité des informations est dite inaccessible et inexpliquée par des personnes, organisations, entités et processus non autorisés.
  • Intégrité de la connaissance: elle fait référence à la préservation de l'exactitude, de l'intégrité et des qualités uniques de la connaissance.
  • Accessibilité des informations: C’est la particularité que les informations ne sont accessibles et utilisables à tout moment que par des personnes autorisées.

Les informations peuvent être classées de différentes manières. Cependant, il est fondamentalement possible de classer comme suit:

  • Les informations confidentielles sont essentielles pour les entreprises. Seuls les membres de l'équipe de gestion peuvent accéder à ces informations. L’accès, l’utilisation et le partage de ces informations par des personnes non autorisées constituent un inconvénient pour l’entreprise. En bref, il est essentiel de garder cette information confidentielle.
  • Les informations disponibles au sein de l'entreprise sont des informations privées accessibles uniquement aux employés concernés. Informations que les autres employés et les tiers autres que les employés de l'unité ne doivent ni accéder ni voir. Il est essentiel de garder ces informations confidentielles.
  • Les informations personnelles sont les informations personnelles des employés. Seules les études personnelles liées aux activités commerciales sont couvertes. Conserver et stocker des informations personnelles qui ne sont pas pertinentes pour le travail n'est pas correct. Il est essentiel que les informations personnelles soient accessibles.
  • Les informations mises à la disposition de l'entreprise sont destinées à l'usage exclusif des employés. L'intégrité et l'accessibilité sont essentielles pour de telles informations. Les informations partagées entre les unités entrent dans cette classe.

Qu'est-ce que le système de gestion de la sécurité de l'information ISO / IEC 27001?

Afin de garantir la sécurité de tous types d'informations, la norme ISO / IEC 2005 relative au système de gestion de la sécurité de l'information a été publiée par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI).

En fait, l'historique de cette norme constitue la première partie de la norme BS 1995 publiée par le British Standards Institute dans 7799 et la deuxième partie publiée dans 1998. Ces normes ont été révisées ensemble dans 1999. En l'an 2000, la norme ISO / IEC 17799 était publiée. Dans 2002, la norme BS 7799-2 a été mise à jour et par 2005, les normes suivantes ont été publiées par l'Organisation internationale de normalisation:

  • ISO 7799: norme 2 au lieu de BS 27001-2005
  • ISO 17799: norme 2000 au lieu de ISO 27002: norme 2005

Ces deux normes ont été révisées pour la dernière fois en 2013.

Cette famille de normes a été publiée par l'Institut turc de normalisation dans notre pays comme suit:

  • TS EN ISO / IEC 27000 Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Vue d'ensemble et dictionnaire
  • TS EN ISO / IEC 27001 Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences
  • TS EN ISO / IEC 27002 Technologies de l'information - Techniques de sécurité - Principes d'application pour les contrôles de sécurité de l'information
  • TS ISO / IEC 27003 Technologies de l'information - Techniques de sécurité - Guide d'application du système de management de la sécurité de l'information
  • ISO / IEC 27004 Technologies de l'information - Techniques de sécurité - Gestion de la sécurité de l'information - Mesurage
  • TS ISO / IEC 27005 Technologies de l'information - Techniques de sécurité - Gestion des risques liés à la sécurité de l'information
  • TS ISO / IEC 27006 Technologies de l'information - Techniques de sécurité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information
  • TS ISO / IEC 27007 Technologies de l'information - Techniques de sécurité - Lignes directrices pour l'audit de systèmes de management de la sécurité de l'information
  • TSE ISO / IEC EN 27008 Technologies de l'information - Techniques de sécurité - Guide de contrôle de la sécurité de l'information des auditeurs

Qu'est-ce que le risque, la gestion du risque et la menace?

La phrase de risque placée dans notre langue à partir du français est définie comme le risque de préjudice. Le risque est la survenance d'un événement imprévu et le fait qu'il soit affecté. Par conséquent, le risque est considéré comme une situation négative, un danger. De cette manière, afin de se protéger contre les effets négatifs des risques et d'éviter tout préjudice, des mesures sont prises en tenant compte de diverses possibilités. La méthode qui inclut ces études et activités de planification s'appelle la gestion des risques.

La gestion des risques consiste à identifier, mesurer, analyser et évaluer un certain nombre de facteurs de risque et à minimiser les pertes éventuelles afin d'éviter toute interruption de la capacité de fonctionnement d'une entreprise et de ne pas nuire à ses activités. Cependant, il n’est pas possible d’éliminer complètement le risque dans les activités de gestion du risque.

Les principaux éléments d’une étude de gestion des risques sont les suivants:

  • Détermination des actifs de l'entreprise avec valeur d'information
  • Identification des dangers internes et externes qui menacent l'entreprise
  • Détection de points faibles et ouverts mettant en danger l'entreprise
  • Détermination de la probabilité de réalisation du risque
  • Détermination des effets des risques sur les activités de l'entreprise et du système

Par actif, nous entendons tout ce qui fait partie du système et a une valeur pour l'entreprise. Par conséquent, les actifs sont précieux pour l'entreprise et doivent être protégés.

En termes de système informatique, les actifs ne signifient pas que des logiciels et du matériel. Les éléments suivants sont inclus dans le concept d'actifs: toutes sortes d'informations, ordinateurs personnels, imprimantes, serveurs et tout matériel similaire, systèmes d'exploitation, applications développées, programmes bureautiques et logiciels similaires, téléphones, câbles, modems de ligne, dispositifs de commutation et tous autres dispositifs de communication. , tous les documents, services produits et bien sûr la réputation et l’image de l’entreprise sur le marché.

Les risques font l’objet d’une classification dans les études de gestion des risques. Par exemple, si l'actif est endommagé dans le groupe à faible risque, le système d'information ne sera pas trop endommagé et le système continuera à fonctionner. Cette situation ne nuit pas à la réputation de l'entreprise. Le système d'information est affecté si l'actif est endommagé dans le groupe à risque moyen. Bien que le système continue à fonctionner, l'actif doit encore être mis en place. Cette situation nuit à la réputation de l’entreprise. Le système d'information est fortement affecté si l'actif est endommagé dans le groupe à haut risque. Près de la moitié du système devient inutilisable. Pour que le système fonctionne, l'actif doit être remplacé. Cette situation affecte de manière significative la réputation de l'entreprise. Dans le groupe à très haut risque, la présence d'informations a été gravement endommagée et, dans ce cas, le bon fonctionnement du système a été grandement affecté. Le système d'information est indisponible. Cette situation affecte très gravement la réputation de l'entreprise sur le marché.

Une menace est le potentiel de toute source de menace, intentionnellement ou à la suite d'un accident, à exploiter une vulnérabilité du système et à endommager des actifs. Les menaces naturelles comprennent les tremblements de terre, les glissements de terrain, les inondations, les éclairs ou les tempêtes. Les menaces environnementales incluent la pollution de l'air, les pannes de courant prolongées et les fuites. Les menaces causées par des êtres humains sont causées par des personnes consciemment ou inconsciemment. Par exemple, saisir des données erronées dans le système, attaquer le réseau externe, installer des logiciels malveillants sur le système, voler les informations d'identification de l'utilisateur ou accéder à des personnes autorisées sur le système.

L'ouverture aux systèmes d'information est une faiblesse, une erreur ou un défaut rencontré dans les procédures de sécurité du système, dans la pratique ou dans les audits internes, qui viole la sécurité de l'information. Ces ouvertures ne sont pas un danger. Il doit y avoir une menace pour leur réalisation.

Quelle est la portée du système de gestion de la sécurité de l'information ISO 27001?

Les entreprises produisent certaines informations dans le cadre de leurs activités quels que soient le secteur ou la taille dans lequel elles opèrent et ces informations sont précieuses pour chaque entreprise. Les efforts de protection des informations seront différents d’une entreprise à l’autre, mais le système couvrira généralement les principaux éléments suivants:

  • La direction de l'entreprise aurait dû définir et expliquer une politique à suivre dans le domaine de la sécurité de l'information.
  • Les actifs informationnels de l'entreprise doivent être répertoriés et classés par ordre d'importance.
  • La possibilité que les employés commettent des erreurs devrait être évitée.
  • Le risque d'utilisation abusive des actifs informationnels dans l'entreprise doit être réduit.
  • Les attaques contre les sources d'informations et le risque de corruption ou d'altération de l'information devraient être réduits.
  • Les systèmes informatiques opérationnels doivent être suffisants et fiables.
  • Seules les personnes autorisées doivent avoir accès aux informations.
  • En cas d'atteinte à la sécurité, une réponse rapide et rapide devrait être possible selon la forme de l'événement.
  • Les attaques d’informations ne doivent pas interrompre les activités principales de l’entreprise et doivent pouvoir revenir très rapidement dans l’environnement normal. En d'autres termes, la continuité des activités devrait être assurée.
  • Le système de gestion de la sécurité de l'information doit être d'un niveau suffisant pour satisfaire aux obligations imposées par la réglementation en vigueur.

Bien que le système de gestion de la sécurité de l'information ISO 27001 soit uniquement perçu comme un projet de technologie de l'information dans les entreprises, il s'agit en réalité d'un projet de sécurité de l'information qui concerne l'ensemble de l'entreprise. La haute direction est donc directement responsable de l’établissement et du fonctionnement de la norme ISO 27001. Aujourd'hui, le système de gestion de la sécurité de l'information ISO 27001 est géré dans son ensemble, ce qui comprend l'ensemble des ressources humaines, de la haute direction, des systèmes d'information et des processus opérationnels de l'entreprise.

Les principaux objectifs de la norme ISO 27001 sont les suivants:

  • Pour identifier les vulnérabilités de sécurité des informations, le cas échéant
  • Identifier les risques qui menacent les actifs informationnels
  • Déterminer les méthodes d'audit permettant d'assurer la sécurité des actifs informationnels menacés
  • S'assurer que les contrôles nécessaires sont effectués et maintenir les risques possibles à un niveau acceptable
  • Assurer la continuité des contrôles de sécurité des informations dans l'entreprise

Qu'apporte le système de gestion de la sécurité de l'information ISO 27001?

La norme ISO 27001 permet l'établissement d'une méthodologie d'évaluation des risques, la préparation de rapports d'évaluation des risques et la préparation de plans de traitement des risques.

Au fil du temps, la nature des menaces et des vulnérabilités présentes dans le système peut changer. Ou, à la suite de contrôles effectués avec la norme ISO 27001 appliquée, les risques peuvent être réduits ou la gravité peut être réduite. Par conséquent, les activités de surveillance des risques des entreprises sont importantes. Les entreprises sont tenues de réaliser des études d’évaluation des risques conformément à la méthodologie acceptée dans le délai qu’elles ont déterminé.

La politique de sécurité des informations selon la norme ISO 27001 devrait principalement inclure: la sécurité physique et environnementale, la sécurité des équipements, la sécurité des systèmes d'exploitation et des utilisateurs finaux, la sécurité par mot de passe et la sécurité des serveurs et des systèmes.

La question de la sécurité physique et environnementale concerne la prévention de l'accès non autorisé au système et la protection des informations contre divers risques. Aujourd'hui, la sécurité physique et environnementale est devenue de plus en plus importante. La présence d'équipes de sécurité privées à l'entrée du bâtiment de l'entreprise, le stockage d'environnements d'information importants et l'accès à ces environnements avec des systèmes de sécurité cryptés sont des exemples de telles mesures. Afin de protéger les systèmes d’information, il est courant d’installer des systèmes de sécurité physique similaires et à accès contrôlé. Cette sécurité physique aux frontières est établie en fonction des besoins de sécurité des actifs informationnels et des résultats de l'évaluation des risques. Les environnements contenant des informations très risquées sont protégés des accès non autorisés au moyen de cartes d’authentification ou de la protection par code confidentiel. En outre, des mesures de protection physique devraient être prises et appliquées contre les dommages causés par des catastrophes telles que les incendies, les inondations, les séismes, les explosions ou les troubles sociaux.

Importance du système de gestion de la sécurité de l'information ISO 27001

La sécurité de l'information vise à assurer la continuité du travail dans les entreprises, à minimiser les pertes en cas de danger inévitable et à protéger la confidentialité, l'accessibilité et l'intégrité des ressources dans tous les cas. Aujourd’hui, non seulement avec ses employés, mais également avec ses partenaires commerciaux, ses actionnaires et ses clients, la création d’un environnement de confiance pour la protection et la confidentialité des informations revêt une importance stratégique pour la gestion de l’entreprise.

Les problèmes de sécurité rencontrés de diverses manières non seulement interrompent la continuité des activités, mais entraînent également une perte de marché, des difficultés de concurrence et une perte de confiance vis-à-vis des partenaires commerciaux, des actionnaires et des clients. Le coût des dépenses engagées pour récupérer ces chiffres est plus élevé que le coût des mesures prises pour éviter de les perdre.

L'information destinée aux entreprises, à l'instar des autres actifs commerciaux, est un actif qui a de la valeur et doit donc être protégée. L'information revêt une grande importance pour la poursuite des activités de l'entreprise. Pour cette raison, il est important que les actifs informationnels restent confidentiels, que leur intégrité soit maintenue et disponible à tout moment. En bref, la sécurité des informations est assurée. Le système de gestion de la sécurité de l'information ISO / CEI 27001 est le seul système international vérifiable qui définit les besoins des entreprises dans cette direction.

La norme ISO 27001 est particulièrement nécessaire dans les secteurs où le traitement et la protection de l'information revêt une importance primordiale, tels que les secteurs public, financier, de la santé et des technologies de l'information. Cette norme est également importante pour les entreprises qui gèrent des informations pour d'autres personnes et organisations. Ainsi, les entreprises donnent à leurs clients l’assurance que leurs informations sont protégées.

Le système de gestion de la sécurité de l’information ISO 27001 est un système de gestion mis en place par les entreprises dans le but de sécuriser l’information, de l’application de cette norme, de la surveillance, de la révision, de la maintenance et de l’amélioration continue de l’application. Dans ce cadre, des études d’analyse de risque sont réalisées afin de déterminer les ressources de l’entreprise et d’identifier les risques éventuels. Les études d’évaluation des risques consistent à comparer le risque à des critères de risque donnés afin de déterminer l’importance du risque.

Planification du système de gestion de la sécurité de l'information ISO 27001

L'établissement de la norme ISO 27001 dans l'entreprise dépend d'un certain nombre d'étapes. C'est comme

  • Premièrement, les informations sur l'infrastructure de l'entreprise doivent être collectées. Ces informations sont liées aux domaines d’activité de l’entreprise, à la nature du travail effectué, à la mission et au règlement de l’entreprise.
  • Ensuite, les noms de clé qui serviront à la mise en place du système doivent être déterminés. À ce stade, il convient de déterminer les responsables de la gestion des risques et de l’établissement du système.
  • Ensuite, la situation de sécurité de l'entreprise devrait être déterminée par la situation actuelle.
  • Les informations doivent ensuite être collectées, telles que les emplacements, les opérations, les fonctions commerciales et les technologies de l'information, qui détermineront la portée du système.
  • À ce stade, l'objectif et la portée du système de gestion de la sécurité de l'information ISO 27001 doivent être déterminés et un programme de travail établi.
  • Enfin, à la dernière étape, il convient de déterminer les processus nécessaires à la mise en place du système et à la continuité de celui-ci.

Le cycle, qui s’applique traditionnellement à tous les systèmes de gestion de la qualité, est également le cas ici:

  • Plan (établissement d'un système de gestion de la sécurité de l'information)
  • Appliquer (mise en œuvre et fonctionnement du système de gestion de la sécurité de l'information)
  • Vérification (surveillance et révision du système de gestion de la sécurité de l'information)
  • Prendre des précautions (Maintenance et amélioration du système de gestion de la sécurité de l'information)

Naturellement, avec la mise en place d'un tel système, les entreprises obtiennent des avantages énormes. Par exemple,

  • L'entité reconnaît l'existence et l'importance de tous les actifs informationnels.
  • Il protège les informations en les appliquant aux méthodes de contrôle et de protection spécifiées.
  • De cette manière, la continuité des travaux est assurée. En cas de risque, les activités ne peuvent pas être interrompues.
  • Avec ce système, la société gagne la confiance des parties liées car elle protégera les informations des fournisseurs et des clients.
  • La protection de l'information n'est pas laissée au hasard.
  • L'entreprise évalue ses clients de manière plus systématique que ses concurrents.
  • La motivation des employés dans l'entreprise augmente.
  • La réglementation juridique étant assurée, tout suivi juridique éventuel est évité.
  • La réputation de l'entreprise sur le marché augmente et l'entreprise a une longueur d'avance dans la lutte contre ses concurrents.

Le système de gestion de la sécurité de l'information ISO 27001 exige que tous les actifs d'information de l'entreprise soient traités et évalués, et une analyse des risques est effectuée en tenant compte des faiblesses et des menaces de ces actifs. Pour ce faire, une entreprise doit choisir une méthode de gestion des risques adaptée à sa structure et planifier ses risques. La norme inclut des objectifs de contrôle et des méthodes de contrôle pour le traitement des risques.

Conformément à la norme ISO 27001, les entreprises sont tenues d'élaborer des plans de gestion et de traitement des risques, d'identifier les tâches et les responsabilités, de préparer des plans de continuité des opérations, de préparer des processus de gestion des urgences et de les conserver lors de leur mise en œuvre.

Les entreprises doivent également émettre une politique de sécurité de l’information couvrant toutes ces activités. Tous les cadres supérieurs et les employés doivent également être conscients de la sécurité de l’information et des menaces. Lors de la mise en œuvre du système de gestion de la sécurité de l'information ISO 27001, il convient de mesurer les objectifs de contrôle choisis et de contrôler en permanence l'adéquation et les performances des contrôles. Ce processus doit être un processus vivant, la gestion de la sécurité de l'information, le soutien actif de la direction et la participation de tous les employés doivent être assurés. Les entreprises requérantes peuvent recevoir des conseils et une expertise en matière de gestion des risques, d’élaboration de politiques, de documentation des processus de sécurité, d’identification et de mise en œuvre de méthodes de contrôle appropriées.

En bref, la norme ISO 27001 est un système qui définit la sécurité totale de l’information et explique comment assurer cette sécurité en tant que processus évolutif. Les étapes de configuration de ce système peuvent être décrites comme suit:

  • Classification des actifs informationnels
  • Évaluation des actifs informationnels selon des critères de confidentialité, d'intégrité et d'accessibilité
  • Analyse de risque
  • Détermination des méthodes de contrôle à appliquer en fonction des résultats de l'analyse de risque
  • Achèvement du travail de documentation
  • Application de méthodes de contrôle déterminées
  • Réalisation d'études d'audit interne
  • Tenue des registres requis par la norme
  • Conduite des réunions de revue de direction
  • Réaliser des études de certification

Menaces et faiblesses liées à la communication électronique

Dans le cadre des réglementations légales applicables, les entreprises doivent prendre certaines mesures pour garantir la sécurité de l'information:

  • Tenir des registres des journaux IP utilisés par les ordinateurs
  • Tenir des registres des employés qui ont des adresses IP pour le passé
  • Tenir un journal de bord des voyages des employés sur Internet
  • Conserver les enregistrements du journal des e-mails envoyés par les employés
  • Garder une trace des pages Internet que les employés ont passées et combien de temps ils ont passé dans le passé
  • Fournir un accès limité à l'accès à Internet en filtrant par contenu
  • Assurer l'intégrité de tous les documents obtenus et prouver qu'ils n'ont pas été altérés

Dans ce cadre, les principales menaces pesant sur la communication électronique des employés sont les suivantes:

  • Employés entrant dans une zone sensible à la sécurité sans autorisation ou dépassant les limites d'autorisation existantes
  • Les employés tentent de perturber la confidentialité, l'intégrité et la continuité des données sans autorisation ou en dépassant les limites d'autorisation existantes en supprimant, ajoutant, modifiant, retardant, sauvegardant sur un autre support ou en divulguant des informations.
  • Tentative d'empêcher, en tout ou en partie, les composants matériels et logiciels de satisfaire aux exigences définies conformément à la réglementation, aux réglementations nationales et étrangères
  • Donner l'impression que la communication électronique est établie avec la bonne partie en induisant l'utilisateur en erreur
  • Surveillance des communications électroniques à l'aide de méthodes illégales
  • Affirmer que ces informations ont été obtenues d'une autre partie en produisant des informations incorrectes ou en envoyant ces informations incorrectes à une autre partie
  • Rendre l'infrastructure de communication électronique partiellement ou totalement inutilisable ou consommer les ressources de cette infrastructure de manière à empêcher la fourniture de services

Entre-temps, quelques points faibles pour la communication électronique peuvent être énumérés comme suit:

  • Menaces futures imprévisibles
  • Erreurs dans la conception d'un système ou d'un protocole
  • Problèmes lors de l'installation d'un système ou d'un protocole
  • Erreurs causées par les développeurs de logiciels
  • Erreurs d'utilisateur
  • Insuffisances ou non-conformités apparues lors de l'utilisation du système

Structure standard du système de gestion de la sécurité de l'information ISO 27001

La norme ISO 27001 a récemment été révisée dans 2013. Dans cette version, les clauses de la norme sont les suivantes:

  1. portée
  2. Normes et documents cités
  3. Termes et recettes
  4. Le contexte de l'organisation
  • Comprendre l'organisation et son contexte
  • Comprendre les besoins et les attentes des parties intéressées
  • Détermination de la portée du système de gestion de la sécurité de l'information
  • Système de gestion de la sécurité de l'information
  1. leadership
  • Leadership et engagement
  • Politika
  • Rôles, responsabilités et pouvoirs de l'entreprise
  1. Planlama
  • Activités traitant des risques et des opportunités
  • Objectifs de sécurité de l'information et planification pour atteindre ces objectifs
  1. Destek
  • ressources
  • qualifications
  • conscience
  • Communication
  • Informations écrites
  1. d'exploitation
  • Planification et contrôle opérationnels
  • Évaluation des risques pour la sécurité de l'information
  • Traitement des risques de sécurité de l'information
  1. Évaluation de la performance
  • Surveillance, mesure, analyse et évaluation
  • Audit interne
  • Revue de direction
  1. réhabilitation
  • Non-conformité et action corrective
  • Amélioration continue

Certification du système de gestion de la sécurité de l'information ISO 27001

Après avoir mis en place le système de gestion de la sécurité de l'information ISO 27001, les entreprises voudront obtenir le certificat ISO 27001 afin de prouver cette situation à leurs clients, leurs concurrents et les organisations officielles et privées associées. Toutefois, l’installation de ce système ne doit pas uniquement consister en un document. Sinon, on ne peut pas s'attendre à ce que le système offre les avantages décrits ci-dessus.

Selon les méthodes de contrôle déterminées au cours du processus de mise en œuvre, protection des actifs informationnels, contrôle des risques qui menacent les actifs informationnels, mesures pour éliminer ou réduire les risques, évaluation des nouveaux risques survenant au fil du temps et évaluation de ces risques s'il est impossible de prévenir les risques, mais de les accepter. pour ceux-ci, les approbations de la direction sont nécessaires. Ce processus se poursuivra tant que l'entreprise existe.

Les entreprises qui répondent aux exigences de la norme ISO 27001 et implémentent le système de gestion de la sécurité de l'information peuvent désormais demander un certificat ISO 27001 en s'adressant à un organisme de certification. À ce stade, il est extrêmement important que l'organisme de certification soit accrédité par un organisme d'accréditation local ou étranger. Autrement, les rapports et les documents à émettre ne peuvent être valables.

La première étape du travail de certification se fait à travers le travail de documentation existant. À ce stade, la politique de sécurité de l'information, les rapports d'évaluation des risques, les plans d'action contre les risques, la déclaration de conformité, les procédures de sécurité et les instructions d'application préparées par l'entreprise sont gérées individuellement. Si une non-conformité est détectée dans ces documents, ils devraient être terminés avant de passer à la deuxième étape.

À la fin de la première étape, l’organisme de certification nomme un ou plusieurs auditeurs et lance les travaux d’audit dans l’environnement de travail de l’entreprise. Lors de ces audits sur site, il est vérifié si les contrôles de sécurité de l'information déterminés par l'entité en fonction du domaine d'activité sont conformes aux exigences du standard ISO 27001. Une fois les audits de la deuxième étape terminés, les auditeurs établissent un rapport et le soumettent à l'organisme de certification.

L'organisme de certification effectue des études d'évaluation sur la base de ce rapport et prépare le certificat de système de gestion de la sécurité de l'information ISO 27001, s'il le juge nécessaire, et le transmet à l'entreprise. La durée de validité du certificat est de trois ans. Toutefois, après la publication de ce document, des audits intermédiaires sont effectués une ou deux fois par an conformément à la demande de l'entreprise. Après trois ans, les études de certification doivent être effectuées à nouveau.

 

Belgelendirme

Le cabinet, qui fournit des services d’audit, de supervision et de certification conformes aux normes internationalement reconnues, fournit également des services d’inspection, de test et de contrôle périodiques.

Contactez-Nous

Adresse:

Mahmutbey Mh, Dilmenler Cd, No 2 
Bagcilar - Istanbul, TURQUIE

Telefon:

+ 90 (212) 702 00 00

Whatsapp:

+ 90 (532) 281 01 42

Courriel :

[email protected]

gali