L’objectif étant d’une part, d’aider les entreprises à protéger efficacement leurs données de toute perte, vol ou altération. D’autre part, le but est également de sécuriser les systèmes informatiques contre des intrusions et sinistres en mettant en place des processus pour se protéger.

Par ailleurs, cette norme démontre la conformité des entreprises aux exigences réglementaires et contractuelles, en matière de sécurité de données, de confidentialité et de gouvernance informatique.

ISO 27001 fait partie de la famille des normes ISO 27000 relatives à l’information et à la cybersécurité, et donne pour repère les meilleures pratiques en termes de sécurité de l’information.

En effet, les risques de cyberattaque ne concernent pas que les grands groupes, mais toute entreprise, quelle que soit sa structure organisationnelle, sa taille ou son orientation.

Chaque entreprise a une obligation de diligence envers les personnes et les entités dont elle détient les données. Cette obligation de diligence, si elle n’est pas respectée, peut entraîner en cas de problème la non-indemnisation des assurances.

La norme ISO 27001 fait l’objet d’un travail régulier. Ainsi, la certification est valable trois ans, marqué par l’audit initial, les audits de surveillance et l’audit de renouvellement.

Les audits de surveillance s’assurent que le SMSI (système de management de la sécurité de l’information) est toujours valable tout au long des trois années et garantissent ainsi le bon respect des obligations en matière de sécurité des données.

En outre, si l’audit révèle des non-conformités, le certificat sera suspendu, voire annulé.