Pour obtenir la certification ISO/IEC 27001, une fois votre périmètre défini, vous devez démontrer à votre auditeur que la sécurité de l’information fait partie de la politique de votre entreprise et que la Direction et l’ensemble des salariés et prestataires la comprennent et l’appliquent.
Il est primordial que le projet soit porté par le leadership de l’entreprise, que des ressources et des budgets y soient associés.
Les risques d’entreprise doivent être analysés et les plans de traitement mis en place.
Une politique globale du système de sécurité de l’information doit être définie, surveillée et mesurée.