Une fois qu'une organisation a mis en place le système de gestion de la sécurité de l'information ISO 27001, elle voudra naturellement disposer d'un document pour le prouver. Toutefois, au terme d’un effort long et laborieux, la mise en place du système de gestion de la sécurité de l’information n’est pas terminée. Parce que la mise en place de ce système ne devrait pas être le seul document. Le système doit être exécuté et surveillé après l’installation afin que les avantages attendus du système commencent à se manifester à long terme.
Le cycle des systèmes qualité sera toujours là. Selon les principes de contrôle établis, il convient de toujours maîtriser les risques éventuels pour la protection des informations, de les éliminer ou, tout au moins, de prendre les mesures nécessaires pour réduire l'impact, si de nouveaux risques se présentent, ceux-ci doivent être évalués et les risques qui ne peuvent être évités et acceptables doivent être approuvés par la direction. Ce processus existera toujours.
Normes ISO 27001L'organisation qui remplit toutes les exigences peut maintenant s'adresser à un organisme de certification. L'organisme de certification devrait être un organisme agréé. Lorsque cette organisation reçoit une demande, elle lance une révision des documents système qu'elle demandera en premier lieu. Parmi les documents à examiner, il convient de suivre la politique de sécurité de l'information, les rapports d'évaluation des risques, les plans d'action des risques, la déclaration de conformité, les définitions des processus de sécurité et les instructions d'application de l'organisation.
Une fois leurs inspections initiales terminées sur ces documents, les auditeurs de l’organisme de certification doivent procéder aux activités d’inspection sur place en s’adressant à la société requérante. Au cours de cet audit, il est vérifié si les contrôles de sécurité de l'information déterminés par l'entreprise en fonction du domaine d'activité sont réalisés conformément aux normes.
Sur le rapport préparé par les auditeurs, si l'audit est réussi organisme de certification Le certificat de système de gestion de la sécurité de l'information ISO 27001 est préparé et livré à l'entreprise.
À la suite de la publication de ce document, l’organisme de certification renouvelle l’examen une ou deux fois par an, en fonction de la demande de l’entreprise. Certificat de système de gestion de la sécurité de l'information ISO 27001période de validité est de trois ans. À la fin de cette période, les études de certification devraient être répétées et le document devrait être renouvelé.
ISO 27001 Sécurité de l'information Vous pouvez contacter les responsables et employés expérimentés de l’organisme de certification TURCERT pour obtenir des informations sur le processus de certification du système de gestion et même pour établir ce système.