Sécurisez votre entreprise : Ce que vous devez savoir sur la révision de la norme ISO/IEC 27001:2022 !

Nous disposons à l’heure actuelle d’un système de management de la sécurité de l’information (SMSI) certifié selon la norme ISO/CEI 27001:2013.

 

1.     Jusqu’à quand avons-nous pour modifier notre SMSI et nous mettre ainsi en conformité avec la nouvelle norme ISO/CEI 27001:2022

Les audits concernés doivent être passés avec succès avant le mois de septembre 2025 au plus tard, c’est pourquoi nous vous invitons à vous rapprocher de votre responsable d’audit et à planifier cette étape en temps utile (idéalement dans le cadre d’audits d’ores et déjà planifiés).

2.     Jusqu’à quand notre certificat actuel conservera-t-il sa validité

Les certificats actuels et à venir établis selon la norme ISO/CEI 27001:2013 resteront valables jusqu’au 31.10.2025 au plus tard.

3.     La durée de validité de notre certificat est-elle modifiée

Non, même après un audit de transition réussi, la durée initiale de trois ans du certificat reste valable. 

4.     Quand pourrons-nous, au plus tôt, être recertifiés selon la nouvelle norme

La demande d’accréditation SQS sera examinée par le Service d’accréditation suisse SAS à partir du 30 avril 2023 au plus tôt. Nous estimons que le SAS statuera sur l’accréditation de la SQS au cours du deuxième trimestre 2023. Veuillez vous informer sur cette page web ou par l’intermédiaire du responsable d’audit.

5.     Si nous sommes contraints de modifier notre SMSI, la SQS procédera-t-elle à un audit de surveillance normal ou bien à une recertification anticipée

L’audit de transition peut se dérouler dans le cadre d’une recertification, d’un audit de maintien ou d’un rendez-vous d’audit planifié séparément. Une recertification supplémentaire n’est pas requise. Là encore, votre responsable d’audit se fera un plaisir de vous fournir de plus amples informations.

6.     Cela entraînera-t-il des coûts supplémentaires?

Si la transition est effectuée dans le cadre d'une recertification régulière (ou anticipée), les coûts supplémentaires s'élèvent à au moins 4 heures, dans tous les autres cas cela prendra au moins 8 heures. Votre responsable d’audit vous soumettra volontiers une offre. En outre, les frais normaux pour l'établissement d'un nouveau certificat s'appliquent dans tous les cas.

7.     Que devient notre certificat si nous continuons d’être recertifiés selon la norme ISO/IEC27001:2013 jusqu’au 30 avril 2024

La date butoir pour une recertification selon la norme ISO/CEI 27001:2013 est fixée au 30 avril 2024. L’audit doit être réalisé avant le mois de mars 2024 au plus tard. Si, par la suite, vous passez l’audit de transition avec succès avant le mois de septembre 2025 au plus tard, vous recevrez un nouveau certificat établi selon la norme ISO/CEI 27001:2022. La durée de validité du nouveau certificat sera la même que celle qui figure sur l’ancien certificat. Nous vous invitons par conséquent à vous rapprocher de votre responsable d’audit et de planifier cette étape en temps utile (idéalement dans le cadre d’audits d’ores et déjà planifiés). 

8.     Sur quoi porte la vérification par les auditeurs avant l’audit de transition proprement dit

Effectuez une analyse GAP de la modification de votre SMSI au sein de votre entreprise, soumettez ces résultats ainsi que votre déclaration d’applicabilité (SoA) à jour et le plan de traitement des risques actualisé à votre responsable d’audit en amont de l’audit de transition à proprement parler. Ce dernier est tenu de consulter préalablement les preuves afin d’être en mesure de consigner dans l’offre la complexité et, partant, la durée de l’audit de transition.

9.     Sur quoi porte la vérification par les auditeurs pendant l’audit de transition

La vérification porte sur: 

  • la modification de votre SMSI, c’est-à-dire sur les modifications des exigences de la norme ISO 27001:2022 visées aux chapitres 4 à 10, de même que sur
  • la preuve de l’implémentation et de l’efficacité des nouveaux contrôles ou des contrôles modifiés de l’annexe A qui ont été déclarés comme applicables dans votre SMSI. 

 

Nous souhaitons faire certifier un SMSI par la SQS.
 

1.      Quand pourrons-nous, au plus tôt, passer la certification selon ISO/CEI 27001:2022?

Notre demande d’accréditation sera examinée par le Service d’accréditation suisse (SAS) à partir du 30 avril 2023 au plus tôt. Nous estimons que le SAS statuera sur l’accréditation de la SQS au cours du deuxième trimestre 2023. Veuillez vous tenir informé sur cette page Internet ou par l’intermédiaire de votre responsable d’audit.

2.      Quels sont les coûts du nouveau certificat?

Les coûts resteront dans l’ordre de grandeur actuel. Nous vous invitons à nous contacter pour que nous puissions vous établir une offre.

3.      Jusqu’à quand la SQS va-t-elle continuer d’effectuer les certifications selon la norme ISO/CEI 27001:2013?

La date butoir pour une certification selon la norme ISO/CEI 27001:2013 est fixée au 30 avril 2024. L’audit doit être réalisé avant le mois de mars 2024 au plus tard.

4.      Jusqu’à quand un certificat établi selon la norme ISO/CEI 27001:2013 conservera-t-il sa validité?

Tout nouveau certificat établi selon la norme ISO/CEI 27001:2013 sera valable jusqu’au 31 octobre 2025 au plus tard. 

5.      Jusqu’à quand avons-nous pour modifier notre SMSI actuellement régie par la norme ISO/CEI 27001:2013 et nous mettre ainsi en conformité avec la nouvelle norme ISO/CEI 27001:2022?
 

Les audits concernés doivent être réalisés au plus tard en septembre 2025, c’est pourquoi nous vous invitons à vous rapprocher de votre responsable d’audit et à planifier cette étape en temps utile (idéalement dans le cadre d’audits d’ores et déjà planifiés). Veuillez également vous reporter aux réponses aux questions no 1 à 9. 

6.      Que devient notre certificat si nous sommes actuellement toujours certifiés selon la norme ISO/CEI 27001:2013 et que nous sommes ensuite certifiés avec un audit de transition selon la norme ISO/CEI 27001:2022?

Si vous passez avec succès l’audit de transition avant le mois de septembre 2025 au plus tard, vous recevrez un nouveau certificat selon la norme ISO/CEI 27001:2022. La durée de validité du nouveau certificat restera la même que celle qui figure sur l’ancien certificat. Nous vous invitons à vous rapprocher de votre responsable d’audit et de planifier cette étape en temps utile (idéalement dans le cadre d’audits d’ores et déjà planifiés). 

Simon Maurer
Souhaitez-vous

(*) sont obligatoires