La Société Nationale de Certification et d'Homologation s.à.r.l. (SNCH) est désormais accréditée selon la norme ISO/CEI 27006:2007 « Requirements for the accreditation of bodies providing certification of ISMS », complémentaires à la norme ISO/CEI 17021:2006. Cette accréditation constitue une garantie de la compétence de la SNCH à certifier des organismes dans le domaine des systèmes de gestion de la sécurité de l’information (ou « Information Security Management System – ISMS ») selon la norme ISO/CEI 27001:2005.

ISO/CEI 27006:2007 a pour but de guider les organismes de certification quant aux exigences nécessaires à atteindre pour être accrédités en tant qu’organisme de certification d’un « ISMS ». ISO/CEI 27001:2005 est à la base de la certification d’un « ISMS », à l’instar de ces « homologues » ISO 9001:2008 pour la qualité, ou encore ISO 14001:2004 pour l’environnement.

Cette récente reconnaissance de la compétence de la SNCH en la matière, par OLAS, prouve que le Grand-Duché de Luxembourg gagne en maturité dans le domaine de la confiance numérique. En effet, cette accréditation confirme un haut niveau de compétence en termes de sécurité de l’information, et une référence supplémentaire visant à rassurer l’ensemble des usagers des technologies de l’information et de la communication, qui pourront mieux encore accorder leur confiance à tout certificat ISO/IEC 27001 délivré par la SNCH, mais aussi envers l’organisme l’ayant obtenu.

Les normes ISO/CEI 27006:2007 et ISO/CEI 27001:2005 émanent des travaux normatifs du sous-comité « ISO/IEC/JTC1/SC27 » (spécifiquement de son “Working Group 1” (WG1)), qui traite de tous les développements techniques et organisationnels de la sécurité de l’information, encadrant et permettant de faire évoluer, entre autres, le standard “ISO/IEC 27001” (le certificat associé étant un des instruments essentiels et actuels de la confiance numérique.

Ces travaux sont actuellement supportés, au Luxembourg, par le comité d’étude national SC27 luxembourgeois, reconnu en tant que tel par ILNAS, et qui compte 13 experts actifs (travail de commentaires, votes, et suivi de l’évolution de ces normes dédiées au domaine de la sécurité de l’information).

A noter, pour rappel, la récente norme ISO/CEI 27000:2009 qui permet d’apporter une vue d’ensemble quant à la thématique des « ISMS », cela en lien avec la famille des normes ISO/CEI 2700x, tout en définissant les termes associés à ce domaine.