But what exactly is ISO 27701?

The International Standard Organisation (ISO) published in August 2019 its standard ISO 27701, which is an extension of ISO 27001 and is intended to specify and define the processes, objectives and measures to be implemented for the protection of personal data and privacy.

Creating and maintaining a Privacy Protection Management System

Like ISO 27001 standard (the reference for IT security), which aims to create an Information Security Management System (ISMS), its extension ISO 27701 aspires to create a System of Privacy Protection Management.

To do this, the standard amends and supplements the processes, requirements and security measures of ISO 27001 and ISO 27002 with specific recommendations for the processing of personal data.

However, it does not only expand the ISO 27001 and ISO 27002 but also adds specific new requirements that are well known to privacy stakeholders (consent management, transparency, minimization, etc.).

In this context, being ISO 27001 certified is a prerequisite for obtaining ISO 27701 certification.

This parameter mechanically narrows down potential candidates for certification, and makes the effort to provide more consistent: review of existing documents, necessary collaboration between the initial WSIS teams and the new PIMS actors, etc.

Despite this effort, the application of this standard offers an excellent opportunity for organizations to further intertwine processes and teams related to cybersecurity and privacy (e.g. linking the processes of Security Integration in Projects and Privacy by Design).

ISO 27701 certified does not mean GDPR compliant

It is important to note that an ISO 27701 certification is not synonymous with GDPR compliance. Indeed, the main purpose of the standard is to establish worldwide principles and rules around Privacy, in a common language. That said, it should be recalled that national authorities (such as the CNIL) participated in the development of the standard and welcomed its publication.

But then, what are the adherences between the ISO 27701 content and the GDPR content?

Regarding the fundamental principles of the GDPR (consent, rights, legality, etc.), the new standard develops a set of requirements covering all the GDPR topics. As the standard is intended to be international, it remains by nature less precise than the GDPR on some topics (i.e. no precision of the deadline to be respected for notifying the authority). It is therefore the responsibility of PIMS to carry out a gap analysis in order to understand what adjustments need to be made to comply with applicable laws.

In addition, concerning personal data security, the adaptations of the requirements of ISO 27001 and ISO 27002 provide a comprehensive repository for organizations that can be used as a basis for compliance with article 32 of the GDPR (dedicated to data security).

… but it can become the strongest credibility mark in personal data protection and privacy on the market.

The main stake for a company in seeking ISO 27701 certification is to give credibility to its Privacy management system and give confidence to stakeholders (business partners, customers, suppliers, employees, authorities…) that the fundamental principles of privacy protection are considered.

The 27701 “stamp” could quickly become a known and internationally recognized pledge of trust. Like ISO 27001, this new standard ISO 27701 could become an essential criterion in tendering phases.

In this perspective, Matthieu Grall of the National Commission for Data Protection (CNIL) states that with “(…) the increase in the number of complaints and sanctions related to confidentiality and data protection, it is obvious that such a standard was necessary. In addition, organizations must demonstrate to the authorities, and their partners, customers and collaborators that they are trustworthy. However, this standard will greatly contribute to inspiring this confidence. ”

Concretely, for whom and why?

The publication of this standard represents an opportunity for several types of organizations:

• In a B2B relationship: a strong pledge of trust vis-à-vis business partners in the context of a collaboration involving the processing of personal data (i.e. a company managing payroll or carrying out communication or marketing operations on behalf of large organizations).
• In a B2C relationship: the certification of a key perimeter of a company that processes the personal data of its customers en masse (i.e. a distributor in the context of its loyalty program, an insurer in the context of its contractual activities…) can eventually become a significant vector of trust vis-à-vis the customers themselves but also vis-à-vis the authorities.
• Within companies: the standard represents a new benchmark that companies can use to develop a clear and shared audit framework. ISO 27701 certification can also represent a way for DPOs and Privacy teams to make tangible the efforts made with their top management.

While there is still uncertainty about its widespread adoption (particularly due to the 27001 certification barrier), there is no doubt that it can quickly establish itself as a confidence-building measure as well as a new standard for internal audit and control.

The fact remains that the emergence of this standard is a new leap forward with regard to the protection of personal data, on an international scale.

Cet article ISO 27701: one more compliance text or the long-awaited international framework for privacy protection? est apparu en premier sur RiskInsight.

L’utilisation des standards d’interopérabilité constitue l’une des clés principales pour surmonter ces obstacles. Qu’y-a-t-il derrière  ces standards ? Quels dispositifs sont  mis en œuvre par les acteurs du transport ?

Les standards d’interopérabilité : des outils stratégiques au service des acteurs du transport

Les efforts de standardisation au niveau européen sont nombreux. Ces standards permettent de faciliter les échanges entre partenaires économiques (AOT, opérateurs de transports et acteurs tiers) et in fine de proposer aux voyageurs une information agrégée, tout au long de la chaîne du voyage et en temps réel.

• Il existe deux types de normes dans le domaine de l’information voyageur :
  • Les normes de mise en place du système d’information ;
  • Les normes d’échanges entre systèmes.

Les premières structurent les objets métier du domaine de l’information voyageur en modèles conceptuels de données (MCD). Ainsi, la norme européenne EN12896 Transmodel, dont les premiers travaux ont commencé en 1995, définit le modèle de données de référence de l’offre de transport public. Il permet ainsi de modéliser aussi bien la  topologie du réseau et les horaires planifiés que la  billettique et l’information tarifaire. La norme européenne IFOPT  enrichit quant à elle Transmodel en précisant le modèle de données des points d’arrêts du réseau de transport.

Les secondes formalisent les échanges de données entre systèmes : elles définissent les formats d’échange et reposent souvent sur les modèles de données issus des normes de mise en place du SI. C’est le cas de la norme européenne SIRI, basée sur le modèle Transmodel, qui définit l’échange de données d’IV temps réel. Les échanges de données théoriques entre transporteurs se basent sur la norme française NEPTUNE ou sur le standard européen NeTEx. Le développement de ces normes continue de se faire dans un souci de cohérence d’ensemble qui permet aujourd’hui de concevoir des systèmes d’Information voyageur complets.

Jusqu’à récemment, en l’absence de standard satisfaisant, le pragmatisme prévalait chez les transporteurs. C’est ainsi que des tentatives de rapprochement des informations théoriques et temps réel basées sur des interfaces spécifiques ont pu être menées localement et, bien souvent, à l’initiative des transporteurs afin de proposer une information continue aux usagers. Mais nos récents retours d’expérience montrent les limites de ces solutions en termes de pérennité et l’intérêt grandissant que les transporteurs et les autorités organisatrices portent aux standards au point de les mentionner directement dans les appels d’offres. Désormais, la mise en place de ces standards par les transporteurs devient  de plus en plus systématique. Ils sont notamment inscrits dans les cibles des cahiers des charges des nouveaux systèmes, au fur et à mesure que les anciens sont dé-commissionnés. Les SI actuels font souvent l’objet de refontes, qui constituent autant d’opportunités de normaliser les échanges, même au sein d’un même transporteur.

L’appropriation et l’application des normes demandent cependant aux parties intéressées des efforts conséquents en conception ou adaptation de leur SI. À cela s’ajoute l’effort nécessaire pour l’appropriation des normes qui n’a pas empêché les divergences d’interprétation entre les acteurs. Dans ce cadre, l’État, à travers l’AFIMB, joue un rôle de facilitateur en mettant à disposition des acteurs plusieurs outils leur permettant de se familiariser avec ces normes (Chouette pour la norme Neptune et NeTEx, Irys pour la norme SIRI). D’ici quelques années et avec la maturité des normes, les territoires devraient être équipés de SIM temps réel permettant de diffuser une IV agrégée et multimodale. Les transporteurs (et surtout les voyageurs !) devraient alors récolter les fruits de ces lourds investissements.

Finalement, quel apport des normes ?

Les normes permettent aux transporteurs de mettre leurs données temps réel à disposition, sous un même format et simplifie donc la consolidation de données en provenance de plusieurs transporteurs pour un même territoire.

Elles participent même directement à la mise en place de services Information voyageurs multi-transporteurs, multimodaux de manière transparente pour le voyageur. Et ces travaux ont lieu en ce moment même chez les transporteurs, avec des objectifs souvent dans les 3 ans. Bonne nouvelle pour l’Information voyageur et les usagers des transports !

Pour plus d’informations sur le sujet, consultez Transport Shaker, le blog transport des consultants Solucom

Cet article Standards d’interopérabilité dans les transports : la clé de l’information voyageur ? est apparu en premier sur RiskInsight.

 Pourtant, côté application mobiles, cette information est encore trop souvent incomplète. Et s’il est possible d’être informé des perturbations d’une ligne ou d’un transporteur particulier, le réseau d’un territoire se compose quant à lui d’une multitude de lignes, transports et transporteurs… Ainsi, dès qu’il effectue un trajet multimodal ou multi-transporteurs, le voyageur se voit contraint de télécharger plusieurs applications ! Et en cas de perturbation, c’est encore lui qui le plus souvent construit lui-même son nouvel itinéraire, alors que si les données étaient consolidées, les applications pourraient rendre ce service à forte valeur ajoutée.

Pourquoi est-ce si difficile de recevoir et d’accéder à une IV temps réel consolidée sur son territoire ? Est-ce mission impossible ?

Informations théoriques et informations temps réel : les deux visages de l’information voyageur

Il faut en effet distinguer les deux principales familles de l’Information voyageur.

D’un côté, il y a l’offre théorique avec les horaires planifiés, la topologie du réseau ainsi que les tarifs. Pour les usagers, ces données sont les plus accessibles car, du fait notamment de leur stabilité dans le temps, elles sont facilement intégrées dans les Systèmes d’Information Voyageur (SIV).

De l’autre côté, il y a l’information temps réel, le côté plus obscure. De ce côté on retrouve toutes les informations liées à l’exploitation du réseau de transport réalisé à travers les systèmes d’aide à l’exploitation (SAE), telles que les horaires de passage des véhicules aux arrêts, ou encore la gestion des incidents. À l’origine, cette information, associée au métier de l’exploitant, n’était pas destinée aux voyageurs. Malgré les tentatives de démocratisation des SAE-IV dont le périmètre de diffusion reste tout de même très localisé (bornes d’information voyageur, écrans publics, bandeaux lumineux et sonores dans les véhicules), cela continue de se traduire chez les opérateurs de transport par des systèmes d’information temps réel et théorique cloisonnés.

Ce cloisonnement entraîne bien souvent des incohérences. On peut le voir notamment lors de modifications du plan de transport qui sont répercutés en « théorique » mais pas en temps « réel » (ou inversement), ce qui dans le pire des cas conduit à une information fausse sur certains canaux.

Une multimodalité aggravante

Les modes de transports urbains et interurbains proposés sur un même territoire sont de plus en plus variés : train, métro, bus, tramway, trolleybus, etc.  Cette multimodalité cache également bien souvent une multiplicité de SIV voire de SAE (un système dédié au tram et un autre dédié aux bus au sein d’un même transporteur par exemple). Qui plus est, les opérateurs de transport ont également tendance à se multiplier plus qu’à se concentrer dans un même réseau.

Le cloisonnement historique des deux SI (temps réel et théorique) couplé à la démultiplication des opérateurs et des modes de transports rend complexe et coûteuse l’arrivée de nouvelles formes de services aux voyageurs agrégeant toutes les données de transport existantes sur un territoire pour apporter une réelle valeur ajoutée.

Néanmoins, ces freins ne paralysent pas totalement les acteurs des transports publics, à l’instar des plateformes régionales qui se développent sous l’impulsion des collectivités territoriales et des autorités organisatrices des transports. Ces « Systèmes d’information multimodale » (SIM) ont en effet pour but d’agréger les données provenant de plusieurs opérateurs en permettant ainsi de diffuser une information enrichie et cohérente sur l’ensemble du territoire.

La réussite de ces systèmes qui mobilisent l’ensemble des parties prenantes du secteur passe par la formalisation des données à échanger entre acteurs. Il y a ici deux possibilités : formaliser des échanges point à point spécifiques, ou bien se regrouper autour d’un standard commun. Étant donné l’effort nécessaire pour formaliser un domaine aussi complexe que l’Information voyageur, des standards d’interopérabilité ont rapidement été définis.

Aussi, on pourrait imaginer la solution du côté de la normalisation des échanges inter-systèmes, mais cela représente un chantier complexe impliquant des investissements importants de la part de tous les acteurs publics et privés du domaine. Les normes d’interopérabilité et leur implémentation feront l’objet d’une prochaine parution… l’affaire est donc à suivre !

Pour plus d’informations sur le sujet, consultez Transport Shaker, le blog transport des consultants Solucom

Cet article L’Information Voyageur : un enjeu de taille, des obstacles à franchir est apparu en premier sur RiskInsight.

Des évolutions de forme…

La norme se compose dorénavant de 14 chapitres contre 11 dans la version 2005. Les nouveaux chapitres intitulés « Cryptographie », « Relations avec les fournisseurs », « Sécurité des télécommunications » et « Sécurité de l’exploitation » sont issus d’un découpage des chapitres existants.

Les objectifs de sécurité passent de 39 à 35, ils sont formulés de manière plus synthétique, plus souple, augurant plus d’efficacité dans l’implémentation.

Certaines mesures de sécurité ont été modifiées ou supprimées, et finalement peu ont été ajoutées (6 seulement), ce qui diminue le nombre global (133 à 113 mesures).

… et des évolutions de fond

Trois sujets ont réellement fait l’objet d’évolutions structurantes.

Le chapitre « acquisition, développement et maintenance » a été revu en profondeur et prend maintenant en compte la sécurité applicative en incluant des mesures sur « System acceptance testing » (outil d’analyse de code, scanners de vulnérabilités), « System security testing during development », « Secure system engineering principles », « Outsourced developement »… Par ailleurs, les mesures deviennent plus générales, en supprimant l’objectif de sécurité sur « le bon fonctionnement des applications » (validation des données en entrée et en sortie, intégrité des messages, etc.). La gestion des données de tests est traitée dans ce chapitre.

Le chapitre “Information security aspects of business continuity management” traite maintenant de la continuité de la sécurité de l’information et non plus de la continuité business ! Ainsi, une note indique que les informations concernant le business continuity management sont disponibles dans les normes  ISO 22301, 27301, 22313. Seul un objectif de sécurité intitulé « redundancies » concerne la disponibilité des « information processing facilities ». Même si la norme réduit la portée de ces mesures, rien n’empêche de conserver les mesures « historiques » sur le PCA.

Le chapitre « contrôle d’accès » se concentre sur la gestion des accès des utilisateurs et sur l’accès aux applications et aux systèmes : le contrôle d’accès réseau, le contrôle d’accès à l’OS, le télétravail ne font plus partie de ce chapitre. En particulier, les mesures portant sur le cycle de vie des habilitations ont été complétées : depuis l’enregistrement des utilisateurs jusqu’aux revues des droits et la suppression des droits en cas de départ. L’authentification par mot de passe a été élargie aux « secret authentication ». Un focus spécifique est maintenant fait sur l’accès au code source.

Concernant les autres chapitres de la norme, les évolutions sont moins notables. On peut relever les points suivants.

Le chapitre « gestion des incidents liés à la sécurité de l’information » est complété par quelques précisions : une phase de « assessment of and decision on information security events » permet de déterminer si les évènements sont considérés comme des incidents de sécurité et une phase de « response to information security incidents » décrit la gestion des incidents. La phase d’apprentissage suite à l’analyse des incidents est assouplie : il n’est plus nécessaire d’évaluer le type, le volume et les coûts des incidents.

Le chapitre « sécurité du réseau » agrège maintenant toutes les mesures liées au réseau et reprend également celles issues du chapitre « gestion des télécommunications et de l’exploitation » (« gestion de la sécurité des réseaux » et « échange des informations ») et celles issues du chapitre « Contrôle d’accès » en ne conservant que le contrôle « cloisonnement des réseaux ».

Le chapitre « relation avec les fournisseurs » concentre tous les contrôles liés à la gestion des fournisseurs, en remplaçant la notion de « tiers » par « fournisseur ». Un nouveau contrôle est ajouté sur le report des mesures de sécurité sur la chaine de sous-traitance, tandis que le contrôle sur « l’identification des risques provenant des tiers » a été supprimé.

En synthèse, la version 2013 n’est pas révolutionnaire, mais les évolutions font apparaître plus de cohérence au sein des chapitres, ce qui rend la norme plus lisible pour les acteurs en charge de la mise en œuvre.

Qu’en est-il des sujets liés aux évolutions des usages et des technologies depuis 2005 ?

Certaines thématiques incontournables en termes de sécurité ne sont toujours pas traitées explicitement dans la norme :

• Des mesures basiques ne sont pas prises en compte, en particulier : le durcissement des postes de travail ou des serveurs, les réseaux sans fil, etc.

• Certaines règles restent trop macroscopiques pour réellement constituer de bonnes pratiques, notamment sur la sécurité du réseau : « networks should be managed and controlled to protect information in systems and applications », « groups of information services, users and information systems should be segregated on networks »

• Les nouvelles menaces (cybercriminalité) et les réponses associées ne sont pas développées : on ne parle pas de surveillance et de corrélation des évènements de sécurité (logique SOC), de sécurisation de l’administration, de sécurisation des accès à l’entreprise, notamment depuis Internet, des dispositifs de réaction en cas de cyber-attaques (logique CERT)…

• Les (r)évolutions technologiques ne sont pas non plus explicitement prises en compte : ni le cloud, ni la virtualisation ne sont abordés

On pourra arguer que la famille ISO 27xxx se complète avec des normes spécifiques (cloud computing, surveillance sécurité, etc.), mais il n’en reste pas moins que ce soit gênant si on considère que l’ISO 27002 reste le référentiel le plus générique et le plus utilisé pour la sécurité du SI.

A noter que la norme ISO 27001:2013 appuie sur le fait de compléter la Déclaration d’Applicabilité avec des mesures qui ne sont pas présentes dans l’ISO 27002, ce qui permet de pallier certains manques.

Une norme qui reste « l’esperanto » de la sécurité

La nouvelle version de la norme ISO 27002 reste donc une liste de mesures de sécurité, ne détaillant pas l’ensemble des caractéristiques de mise en œuvre.

Sa stabilité dans le temps et son caractère « indépendant des technologies » devrait, malgré ces quelques défauts, lui garantir le même succès dans la durée.

Cet article ISO 27002 : tour d’horizon des nouveautés est apparu en premier sur RiskInsight.

Une nouvelle publication qui gagne en lisibilité

La première évolution de cette nouvelle version est une réorganisation globale des thématiques. Elles manquaient effectivement de clarté par le passé.

Cela se matérialise par l’adoption d’une structure globale PDCA bien plus affirmée qu’auparavant. Elle reprend la structure dite « haut-niveau » par ISO/IEC qui définit une organisation, une terminologie et des définitions communes afin de garantir une unité entre les différentes normes de système de management. Ceci facilitera la construction de systèmes de management intégrés.

Contrairement à la précédente publication, une progression linéaire apparait plus clairement et permet un découpage en 4 phases.

• La première correspondant au « PLAN » est nommée « Context », « Leadership », et « Planning » (chapitre 4 à 6). Elle décrit l’identification du contexte de l’organisation, la définition de la gouvernance du SMSI, l’identification des risques et la détermination des objectifs de sécurité ainsi que la planification de leur mise en œuvre. Il est à noter l’utilisation d’un vocabulaire plus précis que dans l’ISO 27001:2005 concernant l’énonciation des clauses.

• La seconde phase, « DO » (chapitres 7 « Support » et 8 « Operation »), explique l’identification et l’allocation des moyens supports du SMSI, l’élaboration de la documentation et le déploiement des mesures de traitement du risque.

• Une phase « CHECK » (chapitre 9 « Performance Evaluation ») se dessine et comprend la mise en œuvre des processus de contrôle, d’audit interne et de revue par la direction du SMSI.

• Enfin, une phase « ACT » (chapitre 10 « Improvement ») explique les processus de traitement des non-conformités et d’amélioration du SMSI. Ceux-ci sont simplifiés en réduisant en particulier le contrôle sur les enregistrements.

Des évolutions de forme plus que de fond

Plusieurs concepts sont abordés plus en détail dans la nouvelle version de l’ISO 27001.

L’apparition du terme  « top management »

Un chapitre entier (5.3. Organizational roles, responsabilities and authorities) dans la nouvelle ISO 27001 remplace une simple clause et souligne l’importance de l’assignation des responsabilités par le « top management ». Cette dénomination est également reprise dans les phases de construction du SMSI, de contrôles et de revue de direction.

Les interfaces enfin reconnues en tant que telles

La norme précise enfin le concept d’interface (4.3.c). Très utilisé actuellement, il permet de définir les rôles et responsabilités des différents « fournisseurs » du SMSI, qu’ils soient internes ou externes. Cette précision entérine un concept déjà bien en place. D’autre part, les parties prenantes deviennent un élément déterminant pour identifier les exigences de sécurité  (4.2.a).

Une définition des indicateurs simplifiée

Un chapitre (6.2. Information security objectives and plans to achieve them) énonce la nécessité de documenter des objectifs de sécurité de l’information à des niveaux pertinents. Mais surtout il met en avant le fait que les mesures de sécurité doivent être suivies par des indicateurs seulement si cela est « practicable ». Nous verrons ce que donnera la traduction en français mais il en est terminé de l’obligation de mettre des indicateurs sur l’ensemble des mesures de sécurité.

La déclaration d’applicabilité voit son « ouverture » renforcée

La  nouvelle ISO 27001 renforce la capacité à réaliser une déclaration d’applicabilité qui ne se restreint pas aux mesures de l’ISO 27002 : « l’organisation peut ajouter des objectifs de contrôles et créer les contrôles lorsque cela est nécessaire ou encore les identifier à partir de n’importe quelle source », cependant elle doit vérifier qu’aucune mesure majeure de sécurité de l’ISO 27002 n’a été omise. Ce point clé a fait l’objet de nombreux débats, mais il est essentiel pour conserver une « comparabilité » entre plusieurs certifications, au-delà du simple périmètre.

La communication autour du SMSI, à réfléchir en interne comme en externe

Un nouveau chapitre (7.4 Communication) énonce la nécessité pour chaque organisation, de déterminer dans son cas particulier, le besoin en termes de communication interne ou externe à réaliser concernant le SMSI (sujet, communiquant, cible, procédé).

Une nouvelle publication, mais quels changements pour la mise en place d’un SMSI ou le maintien d’une certification ISO 27001 ?

Par une meilleure cohérence dans l’enchaînement des chapitres et dans la lecture de la logique globale PDCA ainsi qu’une plus grande précision dans la définition de plusieurs concepts,  la nouvelle version de l’ISO 27001 clarifie la mise en œuvre de la norme.

Il ne s’agit donc pas d’une révolution, les concepts restent les mêmes. Cependant, la norme gagne en clarté et en efficacité. La migration des SMSI existants ne posera pas de problèmes fondamentaux et pourra même être l’occasion de simplifier certains processus comme ceux des indicateurs ou encore le suivi des non-conformités. De plus, la structure unifiée avec les autres normes de systèmes de management (ISO 9001…) facilitera la mise en œuvre de systèmes de management intégrés.

Les annexes de l’ISO 27001, basées sur la norme ISO 27002, ont également été revues en profondeur.

Une nouvelle mouture qui facilitera le quotidien de nombreux RSSI !

Cet article Mise à jour de l’ISO 27001 : quels impacts opérationnels ? est apparu en premier sur RiskInsight.

Si de prime abord les deux sujets peuvent paraître disjoints, ces interrogations semblent justifiées au regard des certifications relatives à la norme BS 25999 : plusieurs d’entre elles avaient combiné les deux référentiels. Et pour cause, il existe plusieurs points communs entre les deux normes…

D’indéniables axes de mutualisation

Les bases de tout système de management, qu’il concerne la qualité (9001), les services IT (20000) ou d’autres, sont communes – les normes  27001 et 22301 ne dérogent pas à la règle. On y retrouve ainsi les notions de construction par processus, d’amélioration continue, d’implication du management, …

En outre, elles concourent toutes deux à un même objectif : gérer les risques d’une organisation. Les risques liés, respectivement à la sécurité ou à la continuité, doivent être identifiés et priorisés, les traitements définis, … Elles se rejoignent donc sur une étape importante de la phase « Plan » : l’analyse de risques.

Par ailleurs, la continuité ou la disponibilité en tant que critère de sécurité est clairement abordée dans l’annexe de la 27001. En effet, cette dernière exige que l’organisme mette en place un Plan de Continuité d’Activité (PCA) et qu’il soit testé.

Pour autant, passer d’un SMSI à un Système de Management intégrant l’ISO 22301 n’est pas immédiat.

Des différences majeures à ne pas perdre de vue

L’ISO 22301 est une norme qui s’inscrit dans les réflexions autour de la sécurité sociétale. Elle traite de cas de sinistres majeurs : la problématique de la gestion de crise y est prégnante. Au vu de la dimension des sinistres envisagés, les exigences en termes de communication font l’objet d’un chapitre spécifique. Il s’agit aussi bien de la communication interne qu’externe envers les autorités, les médias, les familles des collaborateurs…

S’agissant de Système de Management de Continuité d’Activité, la notion de besoin de continuité est plus développée dans la norme ISO 22301. Un BIA (Bilan d’Impacts sur Activité ou Business Impact Analysis) doit être conduit. Ce BIA est à réaliser lors des premières étapes de mise en œuvre, identifiant, a minima, les activités critiques, et exprimant pour chacune d’entre elles les délais d’interruption maximale admissible, le « calendrier » de reprise progressive de l’activité, … Par ailleurs, la norme exige clairement que les dépendances soient identifiées, notamment avec les fournisseurs de services, lesquels doivent préciser leurs PCA existants. Cette précision vient directement faire écho à la notion de prestataires de services essentiels externalisés (ou PSEE).

Passer d’un SMSI à Système de management intégrant les exigences de la 22301 nécessite donc d’inscrire ces points dans les processus du Système de Management Intégré.

Un pas intéressant à franchir ?

Intégrer les exigences de l’ISO 22301 peut clairement donner un nouveau souffle à son système de management en effectuant un focus particulier sur la continuité d’activité. Mais redonner un nouveau souffle ne peut pas être une fin en soi, l’objectif est bien de répondre à un réel enjeu de sécurité de l’information et de continuité à la fois, avec une rationalisation de l’effort consacré à la gestion de deux risques !

Cet article De la 27001 à la 22301, juste un pas à franchir ? est apparu en premier sur RiskInsight.