Petit récapitulatif sur une de nos activités historiques : la qualification Prestataire d’Audit de Sécurité des Systèmes d’Information, aussi appelé PASSI.

Habilité par l’ANSSI depuis 2014, LSTI est le premier organisme certificateur (OC) à effectuer des audits selon le référentiel PASSI qui fait partie du Règlement Général de Sécurité (RGS) conçu par l’ANSSI.

Cette qualification s’adresse aux prestataires de service de confiance qui réalisent des audits de sécurité organisationnel et physique ainsi que sur des portées techniques. Cette qualification est devenue nécessaire pour proposer des prestations d’audit à certaines entreprises ou pour répondre à des appels d’offres.

Le processus de qualification est précisé sur notre page dédiée à la qualification PASSI : il est composé d’un audit siège, d’une observation témoin et d’examens écrits et oraux.

Les examens ont pour objectif de valider les connaissances techniques des auditeurs du prestataire mais aussi leur maitrise du référentiel PASSI et le respect d’une certaine éthique.

Pour ce qui concerne le prestataire, la qualification permet de s’assurer du respect par celui-ci de clauses contractuels strictes, du suivi d’un processus de recrutement et de gestion des compétences efficace et de la garantie de la protection des données d’audit au niveau fixé par le référentiel.

La qualification est accordée par l’organisme d’évaluation en conformité (OEC) LSTI au terme de la validation de l’audit et du succès des candidats aux examens, pour 3 ans. Une surveillance a lieu à 18 mois, et un audit de renouvellement permet de déclarer la conformité pour 3 ans.

Pour toute question concernant notre prestation PASSI, contactez-nous avec le sujet « information certification d’entreprise ».

Petit rappel tout d’abord : quel est le sujet de cette norme ?

La norme ISO/CEI 27701 est un complément aux normes ISO/CEI 27001 et ISO/CEI 27002. Elle a été publiée en août 2019, à la suite de la ratification de lois dans différents pays sur la protection des données personnelles (la Loi Informatique et Liberté en France, le RGPD en Union Européenne mais aussi le DPA, Data Protection Act, au Royaume-Uni ou encore le CCPA, California Consumer Protection Act, en Californie, aux États-Unis…).

Cette norme ISO/CEI 27701 a donc pour but la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données à caractère personnel, ainsi que la gestion d’un système de management de la protection de la vie privée (appelé « PIMS » pour Privacy Information Management System) qui se greffe au SMSI. La norme étant éditée par l’ISO et la CEI, cette norme a une portée internationale.

La norme ISO/CEI 27701 est composée de 8 clauses, dont les quatre dernières spécifient les exigences et les extensions supplémentaires à ajouter aux normes ISO/CEI 27001 et 27002.

Elle contient aussi le processus de mise en place d’un PIMS, composés de différentes étapes à respecter pour être certifié conforme.

Nous sommes en Union Européenne, donc soumis au Règlement Général sur la Protection des Données (RGPD). Quelles sont les différences entre les deux textes ?

Même si ces deux référentiels ont un sujet similaire, la conformité à la norme ISO/CEI 27701 n’assure pas la conformité au RGPD, et inversement.

La norme ISO/CEI 27701 a un aspect international, donc plus générique que le RGPD sur le traitement et la protection des données à caractère personnel. Cependant, la mise en place d’un PIMS conforme contribue au respect des articles 42 et 43 du RGPD, sur le principe de responsabilité.

Plus d’informations sur l’article de la CNIL.

Qu’en est-il de la certification Implementer ISO/CEI 27701 ?

La certification Implementer ISO/CEI 27701 s’adressent aux différentes personnes qui supervisent ou gèrent la confidentialité et la gestion de données à caractère personnel, ainsi qu’aux responsables et membres d’une équipe PIMS.

Obtenir cette certification est une garantie de plus pour l’entreprise qui emploient des implementers certifiés, mais également pour leurs clients.

Cette certification peut également complémenter une certification Implementer ISO/CEI 27001 et/ou une certification Délégué·e à la Protection des Données (DPO).

Vous souhaitez passer notre test de certification Implementer ISO/CEI 27701 ? Inscrivez-vous en ligne.