ISO 27000

Qu'est-ce que la norme ISO 27000 ?

La série de normes internationales ISO 27000 est un système de management de la sécurité de l'information et de la cybersécurité qui repose sur une analyse des risques adaptée à l'entreprise et où le travail de sécurité suit un processus clair. L'application des normes de cette série facilite le travail de sécurité au sein d'une organisation et améliore les possibilités d'évaluer la sécurité et de la réviser de manière uniforme.

ISO est l'abréviation de International Organization for Standardization (Organisation internationale de normalisation). Elle s'occupe de normalisation industrielle et commerciale et a été fondée en 1947. L'ISO compte plus de 160 instituts nationaux de normalisation parmi ses membres.

Pourquoi normaliser?

Une norme est une façon commune de résoudre un problème commun. C'est un moyen de parvenir à la transparence et d'éviter les malentendus. Vous économisez de l'énergie en ne devant pas penser à tout vous-même. Au lieu de cela, vous pouvez vous appuyer sur quelque chose qui a fait ses preuves. Des normes élaborées et vérifiées par d'éminents experts du monde entier. Pour une organisation, l'utilisation de normes établies comme base pour la sélection et la mise en œuvre des mesures de sécurité présente plusieurs avantages:

  • Il utilise les connaissances accumulées

  • Un label de qualité connu de tous

  • Avantages de la collaboration avec d'autres

  • Facilite les approvisionnements et les exigences des partenaires externes

ISO 27000 - Système de management de la sécurité de l'information

Ce document est une introduction et un aperçu de la série 27000 avec, entre autres, des explications sur la terminologie. Le système de management préconise une approche systématique et peut être appliqué au sein de tous les organismes, quels que soient leur taille, leur secteur d'activité et leurs opérations. Mettre en œuvre un système de sécurité selon la série ISO 27000, c'est appliquer des mesures de sécurité basées sur la gestion des risques afin que les actifs de l'organisation soient protégés de manière adéquate.

La norme ISO 27000 exige que vous fixiez des objectifs de sécurité, que vous identifiiez les risques et que vous gériez les risques constatés. La portée du système de sécurité est définie par ce qui doit être protégé. Ceci est défini par l'organisation elle-même et ses règlements et accords. La direction de l'organisation a la responsabilité principale et doit être impliquée et engagée dans tous les processus du système de gestion. Le travail de gestion systématique selon la norme ISO 27000 est suivi de deux normes d'orientation qui contiennent des mesures concrètes de renforcement de la sécurité. Elles sont appelées ISO 27001 et ISO 27002 et sont les deux principales normes en dessous de l'ISO 27000.

ISO 27001 - Système de management de la sécurité de l'information - Conditions requises

Cette norme exige un système de gestion de la sécurité de l'information (SGSI). En mettant en œuvre les exigences de la norme ISO 27001, vous donnez à votre entreprise les moyens de diriger activement et d'améliorer constamment le besoin de sécurité de l'organisation. Cette norme contient les exigences de base par rapport auxquelles une organisation peut se certifier.

Pour atteindre les objectifs de sécurité, la norme ISO 27001 exige un plan de sécurité détaillé qui a été revu, mis à jour et dont les résultats ont été contrôlés et documentés. Il s'agit de la meilleure preuve de conformité lors d'un audit de la sécurité de l'information

L'annexe A de la norme ISO 27001 (2013) contient 35 objectifs et 114 contrôles (mesures).

Ces mesures de sécurité constituent un bon support pour la protection des actifs informationnels de l'organisation. La manière dont elles peuvent être introduites est décrite dans la norme ISO 27002.

ISO 27002 - Lignes directrices pour le management de la sécurité de l'information

Fournit des conseils pour la mise en œuvre des mesures de sécurité de l'Annexe A de l'ISO 27001.

Les descriptions des objectifs et des contrôles dans l'annexe A sont plutôt vagues. Il existe donc la norme ISO 27002 avec des descriptions plus détaillées des objectifs et des contrôles et de la manière dont ils sont mis en œuvre.

Outre les normes ISO 27000 - ISO 27002, il existe un grand nombre de normes de soutien pour diverses applications des mesures de sécurité dans la série ISO 27000.

Pour plus d'informations sur la série ISO 27000, veuillez vous référer à:

International Organization for Standardization www.iso.org

Avez-vous besoin d'aide pour vous conformer à la norme ISO-27000 ou à toute autre norme ? Contactez nous !