Skip to main content Skip to search

ISO 27001

Cette étude de cas montre comment la gouvernance informatique a aidé Tribal à obtenir la certification ISO 27001.

Étude de cas : Tribal éducation

Tribal avait besoin de se conformer à la norme ISO 27001 pour soutenir la fourniture de services d’apprentissage et de formation de niveau mondial. Leur grande expertise en matière d’éducation et de technologie et leur partenariat collaboratif en ont fait un nom de confiance. Il était donc important d’adopter les meilleures pratiques de sécurité des informations pour correspondre à cette réputation. Les cadres supérieurs responsables de cette opération ont planifié leur système de gestion de la sécurité des informations sur la base d’une évaluation des risques détaillée avec l’aide de consultants en gouvernance informatique chez Data Proof/ EuRgpd.

Le défi consistait à appliquer les contrôles requis identifiés conformément aux meilleures pratiques ISO 27001 sur plusieurs sites au sein d’une entreprise rentable et en pleine expansion, sans ralentir les opérations. Le maintien de la confidentialité, de l’intégrité et de la disponibilité de l’information fait partie du «statu quo».

Contexte

Tribal soutient la fourniture de services d’éducation, d’apprentissage et de formation dans le monde entier. Ils construisent un logiciel de pointe, soutiennent l’apprentissage, les carrières et le développement professionnel des adultes, et fournissent des services d’inspection et d’amélioration de l’éducation, au Royaume-Uni et à l’étranger. Tribal travaille en partenariat avec un large éventail d’organisations, notamment des écoles, des collèges et des universités, des prisons et des services sociaux, des agences gouvernementales et des employeurs de toutes tailles. Avec 1 300 collaborateurs, leurs travaux couvrent les cinq continents à travers le monde.

Mike, directeur technique architecture et conception et Kathryn, gestionnaire de projet, ont été chargés par Tribal’s Board d’obtenir la certification ISO 27001. Les principales motivations du projet étaient d’abord; obtenir un avantage commercial pour le Groupe en promouvant la conformité et en second lieu; améliorer la cybersécurité conformément aux meilleures pratiques ISO 27001 dans ce qui était déjà, grâce à la nature confidentielle des dossiers des clients qu’ils détiennent.

Les produits et services technologiques de Tribal comprennent des logiciels et des services connexes à la pointe du marché destinés à l’éducation, la formation et l’apprentissage. Protéger la confidentialité des groupes et des individus servis par les clients de Tribal à tout moment – p. Ex. les élèves, les apprentis, les prisonniers – devait être la principale préoccupation de l’équipe; à la fois pour respecter leurs obligations morales et les exigences contractuelles des clients, ainsi que pour éviter toute atteinte à la réputation qui pourrait avoir une incidence sur les parties prenantes de Tribal.

Parmi les autres points abordés avec les consultants Data Proof / EuRgpd en gouvernance informatique, notons l’amélioration de l’efficacité organisationnelle, l’intégration de la sécurité informatique dans les processus de gestion du risque d’entreprise (ERM) de Tribal et l’adoption éventuelle de la norme ISO 27001 dans l’ensemble du groupe Tribal.

Processus
Dès le début, l’équipe tribale a bénéficié du soutien de la haute direction. Mike a déclaré: «L’appui sans réserve et l’approbation du conseil d’administration de Tribal pour l’application de la norme ISO 27001 ont constitué une première étape vitale dans la mise en place du système intégré de gestion de la sécurité. En tant qu’organisation, nous n’étions certainement pas des novices en matière de traitement de données sensibles. Cependant, nous savions qu’un projet d’une telle envergure ne pourrait être réalisé qu’en commençant par le haut. La gouvernance informatique au niveau du conseil est indéniablement l’un des composants critiques de la gouvernance d’entreprise. Grâce à cet important projet de sécurité de l’information, Tribal, en tant qu’organisation, a démontré ses capacités. ”

«L’un des avantages de travailler avec des consultants experts Data Proof / E Eu Rgpd est la rapidité avec laquelle nous avons pu organiser nos efforts en fonction de leur connaissance approfondie de la norme. Cela a simplifié le processus en termes de temps passé à assister à des réunions et à des conférences téléphoniques et à échanger des courriers électroniques longs et détaillés.

Client opinion

«En fait, nous avons pu faire l’essentiel de ce qui était nécessaire pour passer à l’étape de l’audit de certification sans recourir à des communications fréquentes, grâce aux excellents plans de déploiement que la gouvernance informatique nous a aidés à construire. Savoir exactement ce que nous devions faire et accomplir aux différentes étapes nous a vraiment aidés à atteindre le niveau requis. Lorsque vous vous engagez dans une démarche de certification ISO 27001, il vous reste beaucoup à faire: découvrir cela par vous-même, à travers des essais et des erreurs.

La manière dont ISO 27001 cadrerait avec les autres disciplines de gestion prises en charge au sein de l’organisation (par exemple, la planification de la continuité des activités conforme à la norme ISO / IEC 22301 / BS 25999) était une considération clé pour l’équipe lors de la phase de cadrage du projet. Mike a déclaré: «Nous avions besoin de voir comment la norme ISO 27001 s’intégrerait dans l’ensemble des processus opérationnels de Tribal. Dans le même temps, nous savions que BCP faisait partie de la norme ISO 27001. Less consultants en gouvernance informatique chez Data Proof / Eu Rgpd ont été en mesure de nous montrer comment intégrer nos approches de normalisation de manière efficace et en temps voulu – en mappant les politiques, procédures, processus et contrôles pertinents. Nous avons senti que nous savions où nous en étions et où nous allions à chaque étape d’ISO 27001.

Les responsables ont tous deux parlé du niveau d’acceptation et du soutien positif des équipes de direction et du personnel de Tribal dans l’ensemble de l’organisation au cours de la planification et de la mise en œuvre du projet.

Résultat
Après 8 mois intensifs de consultation, de conception, de documentation et de mise en œuvre détaillée du projet, le système ISMS de Tribal, conforme à la norme ISO 27001, a été audité par le Bureau Veritas, organisme de certification accrédité UKAS, et recommandé pour la certification.

Outre l’amélioration de la sécurité, l’équipe Tribal a identifié plusieurs autres avantages découlant de la conformité à la norme ISO 27001. Ceux-ci inclus; amélioration de l’efficacité opérationnelle, confiance dans l’adéquation et l’efficacité des politiques / procédures, et application d’un cadre formel à une sécurité déjà stricte afin de garantir à toutes les personnes travaillant avec des données confidentielles que les contrôles en place fonctionnent.

Mike : «Nous avons tous été extrêmement satisfaits du résultat, sachant à quel point il est difficile pour une grande organisation en pleine croissance telle que Tribal Group d’obtenir la conformité à la norme ISO 27001 en moins d’un an. C’est un domaine complexe et nous sommes heureux de pouvoir compter sur l’aide d’experts. »

Prochaines étapes
L’équipe tribale continuera de tester et de développer son système de gestion de l’information, faisant appel au soutien et à l’assistance lorsque cela est nécessaire. Le bureau Veritas se prépare à des audits externes réguliers. Les consultants peuvent être sollicités pour aider à la maintenance.

Read more