18 janvier 2024 - Général
La certification ISO27001 est une marque d'honneur qui montre à quel point votre organisation se préoccupe de la gestion et de la protection des informations sensibles.
La norme définit un cadre pour la gestion de la sécurité, y compris un engagement en faveur de la sensibilisation et de la formation des employés.
Mais il peut être difficile de comprendre exactement ce que l'on attend de votre organisation. La directive ISO27001 est un texte volumineux. Et même après l'avoir lue plusieurs fois, il se peut que vous ayez encore des questions à poser.
Dans cet article, nous expliquerons ce que la norme ISO27001 dit à propos de security awareness et comment vous pouvez mettre en œuvre la formation ISO27001 security awareness au sein de votre organisation.
En bref : qu'est-ce que la norme ISO27001 ?
ISO27001 est une norme pour les systèmes de gestion de la sécurité de l'information (souvent appelés ISMS). L'objectif de cette norme est de fournir une approche pour gérer et protéger les informations sensibles.
Les principaux éléments de la norme ISO27001 sont les suivants
- Évaluation des risques
- Développement de la politique
- Des rôles et des responsabilités clairs
- Formation de sensibilisation
Les organisations qui choisissent d'adhérer à cette norme sont souvent des agences gouvernementales, des organisations de soins de santé, des institutions financières et toute autre organisation qui traite des informations sensibles.
Obtenir la certification n'est pas un jeu d'enfant. Elle implique un processus d'audit rigoureux pour vérifier que votre organisation respecte la norme.
Que dit la norme ISO27001 à propos de security awareness?
La norme ISO27001 mentionne l'importance de security awareness dans plusieurs clauses.
- Clause 7.2 - Compétence: La norme exige des organismes qu'ils déterminent les compétences nécessaires des employés impliqués dans la sécurité de l'information.
- Clause 7.3 - Sensibilisation: Les organisations doivent veiller à ce que les employés soient conscients de la politique de sécurité de l'information, des objectifs pertinents et de leurs rôles et responsabilités dans la réalisation de ces objectifs.
- Clause 8.2 - Communication: La norme ISO 27001 souligne l'importance de la communication interne concernant le système de gestion de la sécurité de l'information, y compris la promotion de la sensibilisation à la sécurité de l'information.
- Clause 8.2.2 - Information Security Awareness, éducation et formation: Les organisations doivent veiller à ce que le personnel connaisse la politique de sécurité de l'information et soit compétent dans les domaines de son travail liés à la sécurité de l'information.
Comment mettre en œuvre la formation ISO27001 security awareness
La norme ISO27001 fournit un cadre clair pour aider les organisations à gérer la sécurité de l'information. Cependant, elle n'indique pas explicitement comment mettre en œuvre ces programmes security awareness au sein de votre organisation.
Comment savoir si votre programme de formation ISO27001 security awareness est à la hauteur ?
Nous pouvons tout d'abord examiner ce que les auditeurs d'ISO27001 examinent. Au cours des audits, la conformité de l'organisation aux exigences de la norme ISO27001 est évaluée, y compris celles liées à security awareness.
Les auditeurs recherchent souvent les éléments suivants :
- La documentation : Avez-vous documenté votre politique de sécurité, vos objectifs, vos rôles et les exigences spécifiques liées à la sensibilisation et à la formation ?
- La communication : Pouvez-vous prouver que vos employés sont conscients de votre politique de sécurité, de vos objectifs et de leur rôle spécifique dans la réalisation de ces derniers ?
- Programmes de formation : Pouvez-vous prouver que votre organisation a mis en place des programmes de formation ?
- Suivi et mesure : Pouvez-vous démontrer que vous contrôlez et mesurez l'efficacité de vos programmes security awareness ?
Vous pouvez décider de mettre en place votre propre programme de formation ou d'utiliser une plateforme de formation security awareness telle que Guardey.
Avec Guardey, vos employés relèvent des défis hebdomadaires sur cyber security qui durent jusqu'à trois minutes. Les défis couvrent tous les sujets pertinents tels que le spear phishing, la fraude des PDG, la sécurité des mots de passe, et bien plus encore. En apprenant de petits éléments d'information chaque semaine, les employés acquièrent lentement des connaissances et security awareness peaks.
Dans la section des rapports, vous pouvez suivre les performances des employés et les sujets de sécurité qui méritent plus d'attention. Guardey est donc parfaitement adapté à la formation security awareness conforme à la norme ISO27001.
→ Planifiez une démonstration avec l'un des spécialistes de Guardey cyber security .
Comment introduire la formation ISO27001 security awareness auprès de vos employés ?
Une fois que vous avez choisi une solution de formation ISO27001 security awareness , il est temps de la présenter à vos employés. Cette tâche n'est pas toujours aisée. Tout le monde ne saisit pas forcément tout de suite l'importance de la formation security awareness , c'est pourquoi il ne suffit pas de leur envoyer leurs identifiants de connexion.
C'est pourquoi vous avez besoin d'une introduction solide. Nous avons ajouté deux exemples ci-dessous.
EyeOn a organisé une semaine cyber security pour lancer son processus de certification ISO27001. Au cours de cette semaine, les employés ont commencé chaque jour par un entretien de 15 minutes, qu'ils ont appelé "safety catch-up". Chaque jour avait un thème spécifique cyber security , et pendant les défis (à la fois dans Guardey et dans la vie réelle), les employés pouvaient marquer des points. À la fin de la semaine, les employés les plus performants ont été récompensés par un trophée et un petit cadeau.
Delta Wines a d'abord organisé une simulation phishing . Au cours de cette simulation, les employés ont reçu un courriel phishing afin de tester s'ils cliqueraient sur le lien et laisseraient des informations personnelles. Il s'est avéré qu'un grand nombre d'employés l'ont fait. Le responsable informatique a communiqué les résultats finaux du test phishing lors d'une réunion trimestrielle, ce qui a choqué bon nombre de ses collègues. Cela a facilité l'introduction de Guardey comme solution de formation pour security awareness .
Comment Fendix obtient la certification ISO27001 avec l'aide de Guardey
Fendix aide les entreprises à obtenir la certification ISO27001. Killian Houthuijzen, consultant en sécurité de l'information chez Fendix, explique le rôle que joue la solution security awareness de Guardey dans ce processus : "Une partie importante de l'obtention d'une certification ISO27001 consiste à investir dans le site security awareness de vos employés. Il y a quelque temps, nous avons essayé de mettre en place notre propre version d'une formation security awareness en vue de cette certification. Mais la création de tout ce nouveau contenu nous aurait pris au moins 8 heures chaque mois. Ce n'est tout simplement pas efficace.
Il poursuit : "Avec Guardey, la formation security awareness devient abordable et vous n'avez pas besoin d'investir du temps pour la mettre en place. Il vous suffit de suivre les performances de votre équipe, ce qui est facile grâce au système de gestion de l'apprentissage de Guardey. C'est pourquoi nous conseillons souvent à nos clients d'utiliser Guardey au lieu de se charger eux-mêmes de la mise en place de leur formation.
Essayez la solution de formation ISO27001 security awareness de Guardey
Security awareness joue un rôle important dans la protection de votre organisation contre les cyberattaques et la conformité à la norme ISO27001. Si vous êtes à la recherche d'une solution de formation mise en œuvre en quelques heures, envisagez de faire appel à Guardey.
Grâce au processus d'apprentissage gamifié de Guardey, vos employés recevront des micro-apprentissages de 3 minutes chaque semaine. Au fil du temps, ils apprennent à reconnaître les cybermenaces et à agir en conséquence.