PLANIFIER (Plan) : cette étape consiste à analyser l’environnement de l’activité de l’entreprise, les informations qu’elle traite, les directives établies et les exigences légales applicables à l’entreprise. Cette dernière devra élaborer une procédure formelle visant à l’identification continue, à l’évaluation des risques, à la sélection des objectifs de contrôles et des contrôles qui lui permettront de gérer ces risques.
METTRE EN ŒUVRE (Do) : cette étape est centrée sur la mise en œuvre et l’implantation d’un plan effectif à moyen et long terme qui évitera ou atténuera les possibles risques en matière de sécurité de l’information. C’est également à cette étape que se déroule la formation du personnel de l’entreprise de manière à garantir la mise en œuvre correcte du SMSI.
VÉRIFIER (Check) : la mise en œuvre un SMSI exige le suivi et la vérification des contrôles et mesures appliquées. Il est, par conséquent, indispensable de réaliser un audit en interne et en externe en vue de vérifier l’efficacité et l’effectivité du SMSI et d’identifier les possibles menaces, vulnérabilités et risques du système.
AGIR (Act) : l’instauration d’un SMSI exige d’agir, de maintenir et d’améliorer en permanence le système. Lorsque la révision (check) du SMSI détecte des menaces, des vulnérabilités et des risques, il est nécessaire d’adopter des mesures correctives et de prévention à même de garantir à tout moment la sécurité et la protection des informations de l’entreprise. Les étapes du projet de mise en œuvre et de certification d’un SMSI sont les suivantes : définition de la portée, analyse et gestion des risques, déclaration d’applicabilité, politiques et procédures, plan directeur de sécurité, plan de continuité de l’activité, plan de formation, gestion des incidents, mise en œuvre du SMSI, audit interne, certification par un organisme accrédité (si nécessaire). Notre fonction consiste à préparer votre entreprise à implanter le système. Après la mise en place de ce système, vous prenez la décision de sa mise en conformité ou non. Cette tâche exige des spécialistes possédant des connaissances approfondies de l’organisation, de la gestion des systèmes d’information et de la technologie actuelle en matière de sécurité de l’information. Pour obtenir la certification, l’option la plus économique, la plus pratique et la plus rapide consiste sans aucun doute à compter sur les services d’un consultant spécialisé, capable de mener à bien cette préparation.