Cela semble bon et important, et ça l’est. Mais qu’est-ce que cela signifie en pratique ? Pourquoi est-il judicieux pour un client de travailler avec des organisations qui ont la norme ISO 27001 ? Que fait-on dans la pratique quotidienne en matière de sécurité de l’information ? Pour Archivage-IT, garantir la confidentialité des données sensibles est bien plus qu’un simple certificat papier…
La norme ISO 27001 est la norme internationale pour la sécurité de l’information. La norme NEN 7510 y est étroitement liée. La norme NEN 7510 est la certification ISO 27001 uniquement destinée au secteur des soins de santé. Archivage-IT est en possession des deux certifications et cela est lié à tous les processus d’entreprise.
Pas de moment de stress annuel
Une organisation externe nous rend visite au moins une fois par an pour vérifier si nous répondons toujours aux exigences de la norme ISO 27001. Ce que l’on constate souvent, c’est qu’un mois avant l’arrivée de cet auditeur, toute l’organisation est sens dessus dessous pour mettre de l’ordre. L’auditeur est passé par là et devinez quoi ? Ils continuent sur le même pied pendant encore 11 mois avant que le moment de stress annuel ne recommence. Chez Archivage-IT, nous adoptons une approche différente : les audits internes sont réalisés par l’équipe d’audit interne tout au long de l’année. Les employés d’Archivage-IT vérifient auprès de leurs collègues les procédures, annoncées et non annoncées, qui sont importantes pour l’ISO. Ça marche !
Preuves
Avoir des procédures est une chose, les respecter en est une autre. La charge de la preuve est toujours demandée. Par exemple, si un employé indique qu’une plainte doit être traitée dans les 48 heures selon la procédure, l’auditeur lui demandera : « Laissez-moi voir ça ». La norme ISO 27001 n’est pas en votre possession pour rien… votre organisation doit effectivement s’y conformer.
Sensibilisation et améliorations
Outre le respect des procédures établies, de nombreux autres éléments contribuent à la sécurité de l’information. La sensibilisation des employés est très importante. En organisant des sessions intéressantes, en fournissant des informations et en soulignant l’importance de la sécurité de l’information lors des réunions, chaque employé, à tous les niveaux de l’organisation, est impliqué dans le processus. Quelle que soit la qualité de l’enregistrement des processus, il est toujours possible de les améliorer. Une amélioration récente est, par exemple, que les employés qui travaillent avec des fichiers sensibles au respect de la vie privée ne sont pas autorisés à utiliser un téléphone portable sur leur lieu de travail. De cette façon, nous nous améliorons en permanence, l’équipe d’audit interne nous garde en alerte et nous sommes ouverts au changement.
Il est impossible d’imaginer Archivage-IT sans ISO 27001 ; nous respirons la sécurité de l’information sous forme physique et numérique. Non seulement pendant l’audit annuel, mais aussi jour après jour. Soyez donc malin lorsque vous cherchez un partenaire pour traiter vos données sensibles. Choisissez la norme ISO 27001.