AI - Introduction to the New ISO42001 Standard
Vous souhaitez mettre en oeuvre une gouvernance de la sécurité de l'information mais vous ne savez pas par où commencer ? Téléchargez gratuitement notre livre blanc pour mettre en oeuvre les fondements de votre sécurité.
Téléchargez notre livre blanc
Les normes ISO 27000
Norme internationale portant sur la sécurité de l'information.
ISO27001
Exigences (chapitre 5 à 10)
93 mesures de sécurité de l'annexe A
(en version 2022)
Contenu
Découvrir en vidéo
Norme internationale portant sur la sécurité des données à caractère personnel.
ISO27701
Exigences ISO 27001 + exigences complémentaires
2 annexes pour les mesures de sécurité en tant que responsable de traitement et en tant que sous-traitant
Contenu
Les normes ISO27001 et 27701 s'appuient sur le concept d'amélioration continue, intégré dans son système de management de la sécurité de l'information (SMSI), en suivant une approche Plan-Do-Check-Act (PDCA), aussi connue sous le nom de cycle de Deming.
Plan (Planifier)
Établir les objectifs de sécurité et les processus nécessaires pour délivrer des résultats conformes à la politique de sécurité globale de l'organisation.
Act (Agir)
Prendre des actions pour améliorer continuellement la performance des processus de sécurité.
Do (Faire)
Mettre en œuvre et exploiter les processus.
Check
Monitor and measure processes against security policy, objectives, regulatory requirements and reporting to ensure compliance.
SOC 2
Avec un rapport de type 1, les contrôles de votre organisation sont évalués à un moment précis.
Ce rapport reflète un état instantané de votre environnement pour déterminer et démontrer si les contrôles sont correctement conçus et en place.
Par exemple, l’organisme en charge du rapport prendra un exemple d’employé qui a quitté l’entreprise et confirmera que son accès a été correctement révoqué et documenté via un système de ticketing.
Un rapport de type 1 présente les caractéristiques suivantes :
• Description du système de votre organisation dans son ensemble
• Évalue la conception des contrôles internes de votre organisation
• Teste un moment/évènement précis dans le temps
SOC 2 Type 1
Discover in video
Pour un rapport de type 2, les contrôles de votre organisation sont évalués sur une période de temps (de 3 à 12 mois). Contrairement à un rapport de type 1, un rapport de type 2 agit comme un examen historique de votre environnement pour déterminer et démontrer si les contrôles sont conçus et en place de manière appropriée, ainsi que l’évaluation de leur effectivité au fil
du temps.
Le processus d’audit comprendra des tests d’échantillons au cours de la
période d’audit afin de déterminer si les contrôles de votre organisation
fonctionnent efficacement.
Un rapport de type 2 présente les caractéristiques suivantes :
• Description du système de votre organisation dans son ensemble
• Évalue la conception des contrôles de votre organisation, ainsi que leur
efficacité opérationnelle
• Se concentre sur une période de temps pendant laquelle les mesures de sécurités doivent être opérationnelles
• Comprend des descriptions détaillées des tests de l’auditeur et les résultats de ces tests.
SOC 2 Type 2
The SOC 2 framework is made up of five main common criteria, also called "Trust Services Criteria" (TSC).
The main criterion is called Security: This criterion concerns the security measures put in place to protect data and systems against threats and vulnerabilities. It includes controls related to physical and logical access, vulnerability management, security incident management, systems monitoring, etc.
There are also additional criteria that can be included in the report and which are described below.
Availability
This criterion deals with the availability of systems and services. It encompasses controls such as business continuity planning, system redundancy, outage management, performance monitoring, etc.
Privacy
This criterion relates to the protection of personal data in accordance with applicable regulations, such as GDPR in Europe. It includes controls relating to the collection, storage, management and disclosure of personal data.
Processing Integrity
This criterion focuses on the accuracy and integrity of data processing. It covers controls related to transaction accuracy, data validation, error handling, etc.
Confidentiality
This criterion concerns the protection of sensitive information against unauthorized access. It encompasses controls related to data classification, access rights management, encryption, access monitoring, etc.
Testimonials
Discover our customer testimonials