Limites de la certification ISO 27001

• Inhérentes à un processus en phase d'amorçage

  • Volonté commerciale du BSI d'amorcer la pompe quitte à dévaloriser les processus
  • Faible expérience des organismes d'accréditation par rapport aux spécificités des enjeux en sécurité des systèmes d'information
  • Activité nouvelle pour les organismes de certification
  • Inexpérience des auditeurs face à des audités plus aguerris
    • Manque de responsables d'audit (lead auditor)
  • Auditeurs avec compétence sécurité et sans compétence qualité et audit de certification
  • Auditeurs avec compétence qualité sans compétence en sécurité des systèmes d'information
  • Manque de formalisation de la profondeur des vérifications à effectuer