ISO27002 Technologies Références Contact Mentions légales Eox Partners

Sont actuellement publiés :

• ISO 27000 (paru en 2009) Vue d'ensemble et vocabulaire
  
• ISO 27001 (paru en 2005) définit les exigences de gestion d’un Système de Management de la Sécurité de l’Information (encore abrégé SMSI)
  
• ISO 27002 (paru en 2005), anciennement 17799) est un guide de bonnes pratiques pour la gestion de la sécurité de l’information C’est sur cette norme que s’appuie notre Audit Flash de Sécurité
  
• ISO 27003 (paru en 2010), guide d’implémentation du SMSI
  
• ISO 27004 (paru en 2009), présente les métriques et métrages pour le mesurage d'un SMSI
• ISO 27005 (paru en 2008), est un code de bonnes pratiques pour les objectifs et mesures de sécurité de l’information;
• ISO 27006 (paru en 2007) définit la norme de certification du SMSI mentionné plus haut.

A venir :

• ISO 27007 (2010/2011) audit du SMSI

ISO 27001
La norme s’appuie sur le processus « PDCA » de la roue de Deming ou de Shewhart que l’on retrouve notamment dans la norme de qualité ISO9001.

ISO 27002
Anciennement ISO 17799, révisée en 2005, ISO 27002 est un guide de bonnes pratiques pour la gestion de la sécurité de l’information qui peut représenter un intérêt pour tout type d’organisation (entreprise, corps gouvernementaux…) quelque soit sa taille ou son secteur d’activité.

Selon ISO, cette norme a pour objectif de :
« Donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations interentreprises. » qui peut représenter un intérêt pour tout type d’organisation (entreprise, corps gouvernementaux…) quelque soit sa taille ou son secteur d’activité.

Concrètement, ISO 27002 se décline en 11 thèmes :

1. La politique de sécurité
2. L’organisation de la sécurité de l’information
3. La gestion des actifs
4. La sécurité des ressources humaines
5. La sécurité physique et environnementale
6. La gestion de la communication et de l’exploitation
7. Les contrôles d’accès
8. L’acquisition, le développement et la maintenance des systèmes d’information
9. La gestion des incidents de sécurité de l’information
10. La gestion de la continuité des affaires
11. La conformité

Contrairement à ISO 27001, ISO 27002 ne peut être utilisée pour une certification formelle, mais constitue en revanche un excellent référentiel pour l’audit et la mise en conformité.

Qu’est-ce qu’un SMSI ?
Le système de management de la sécurité de l’information (SMSI, SGSI ou ISMS en Anglais) est une partie du système de gestion global de l’entreprise. Il repose sur une gestion des risques d’affaires relatifs à l’information.
Le concept phare du SMSI est d’établir, d’implémenter et de maintenir un ensemble de processus de gestion pour une sécurité de l’information effective.

Le SMSI assure la confidentialité, l’intégrité et la disponibilité de l’information grâce à des politiques, des objectifs, des processus et des procédures.

Avant tout enjeu de gestion, avant d’être un enjeu technique ou relatif aux technologies de l’information, il est préférable que le SMSI soit fortement ancré dans l’entreprise et dans sa culture.
Enfin, comme tout processus de gestion, il doit, pour rester efficace et efficient sur le long terme, être évalué et révisé régulièrement. C’est l’objet du modèle PDCA proposé par ISO 27001.