Inside IT critique la gestion de la sécurité de l’OFSP et son système de sécurité de l’information, pointant des faiblesses et un manque d’uniformité.
Dans un récent article Inside IT pointe du doigt la gestion de la sécurité de l’Office fédéral de la santé publique (OFSP) qui recherche du support de spécialistes pour la création de son système de management de la sécurité de l’information (SMSI).
Pour rappel, la nouvelle loi fédérale de la sécurité de l’information (LSI) demande à toutes les autorités fédérales de respecter certaines normes de sécurité de l’information et en particulier un SMSI.
L’article de Inside IT fait en particulier référence aux faiblesses exposées au travers de son appel d’offres qui met par exemple en évidence que l’OFSP n’a pas de processus uniformes dans le domaine de la sécurité, pas d’objectifs de sécurité clairs et trop de procédures différentes.
L’OFSP a indiqué prévoir d’intégrer les exigences de la norme ISO 27001 d’ici 2025, sans prévoir une certification officielle. Selon cet article, l’OFSP a prévu un budget de 180 000 francs pour la première phase de ce projet et estime à environ 1100 heures la charge de travail.
La certification ISO 27001, une norme internationale à adapter à chaque organisation
Pour rappel, la certification ISO 27001 est une norme internationale qui spécifie les exigences pour la mise en place et la gestion d’un système de management de la sécurité de l’information (SMSI). Le but de cette certification est d’aider les organisations à protéger leurs informations confidentielles et à assurer l’intégrité et la disponibilité des données.
La certification ISO 27001 est obtenue après un processus d’audit conduit par un organisme de certification accrédité. Lors de cet audit, l’organisme évalue si le SMSI de l’entreprise est conforme aux exigences établies par la norme ISO 27001. Le respect de ces exigences implique un engagement envers les bonnes pratiques de sécurité, y compris l’analyse des risques, la mise en œuvre de mesures de sécurité appropriées, et un processus d’amélioration continue.
Cependant, il n’est pas toujours obligatoire de se faire certifier pour bénéficier des avantages de la norme ISO 27001. Les organisations peuvent bien sûr choisir d’appliquer les recommandations de la norme sans passer par le processus de certification.
Il est important de noter, cependant, que bien que la certification ISO 27001 ne soit pas essentielle pour toutes les entreprises, elle peut fournir une valeur ajoutée significative dans certains cas. La certification est souvent perçue comme un gage de confiance par les clients et partenaires commerciaux, et peut être exigée dans certaines industries ou par certaines réglementations.
Pour en savoir plus
Et un éditorial à propos de cette actualité:
(Re)découvrez également:
Des idées de lecture cybersécurité
La cybersécurité pour les Nuls
Pour obtenir toutes les informations sur la cybersécurité, apprendre à protéger ses données sensibles sereinement et à éviter le hacking
Sécurité informatique – Ethical Hacking : Apprendre l’attaque pour mieux se défendre
Ce livre a pour objectif d’initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.
Cyberattaques: Les dessous d’une menace mondiale
Un documentaire captivant et éclairant sur les affrontements entre attaquants et défenseurs du numérique, face à la plus grande menace de la prochaine décennie.