L'univers des normes ISO, et de leur mise en oeuvre, fait peur à beaucoup de chefs d'entreprises. Il est vrai qu'il se présente comme très procédurier et que le chemin est jalonné de contrôles (audits) et de sanctions (certifications). On a donc, a priori, un cumul de peurs qui vont de nos souvenirs d'écoliers jusqu'à l’impression que cela coûte cher en passant par la peur de l'échec. Qui plus est, tout le monde connait des entreprises qui ont été forcées, par des partenaires plus puissants qu'elles, de se lancer dans l'aventure.
Une des meilleures façons d'aborder les normes, et d'en faire un atout concurrentiel, est d'adopter une posture positive et l'envie de saisir l'opportunité de préciser, améliorer et sécuriser ses modes de fonctionnement. Le point de départ est alors de se documenter pour objectiver les raisons des peurs et autres angoisses.
Un point inévitable est l'acquisition des textes de normes, dans un premier temps la norme 27001 et la 27002 (principes de mise en oeuvre). Notons que ces textes sont mis à disposition (payante) sous la forme d'une licence d’utilisation individuelle et personnelle. Sans oublier, dans un second temps, les autres normes associées.
On peut aussi utilement se référer à la littérature professionnelle, comme par exemple le livre publié chez Eyrolles "Management de la sécurité de l'information" (isbn 9782212138146) qui constitue un excellent point de départ.
Le Web nous propose également de bons documents de référence, mais il faudra peut-être un peu chercher. On peut toutefois noter le "
Guide de mise en oeuvre de la norme de gestion de la sécurité des informations ISO/CEI 27001 à l'intention des PME" (
https://tinyurl.com/yyt5nloe).
Enfin, on peut aussi faire appel à des spécialistes du domaine...

Je vous souhaite donc un intéressant parcours de découverte...