Système de management de la sécurité de l’information

Normes ISO 27001

ISO/IEC 27001

Management de la sécurité de l’information

Pour assurer la sécurité de leurs informations sensibles, les organisations peuvent s’appuyer sur la famille de normes ISO/IEC 27000.

ISO/IEC 27001 est la norme la plus connue de cette famille qui n’en compte pas moins d’une douzaine. Elle spécifie les exigences relatives aux systèmes de management de la sécurité des informations (SMSI). La mise en œuvre des normes de cette famille par tout type d’organisation facilite le management de la sécurité d’actifs sensibles tels que les données financières, les documents de propriété intellectuelle, les données relatives au personnel ou les informations confiées par des tiers.

Certification à ISO/IEC 27001

Comme toutes les autres normes de systèmes de management de l’ISO, la certification selon ISO/IEC 27001 est une possibilité, mais pas une obligation. Certains utilisateurs décident de mettre en œuvre la norme simplement pour les avantages directs que procurent les meilleures pratiques. D’autres font le choix de la certification pour prouver à leurs clients qu’ils suivent les recommandations de la norme. L’ISO ne fournit pas de services de certification.

Prévisualiser

https://www.iso.org/obp/ui/#iso:std:iso:30401:ed-1:v1:fr

ISO/IEC 27000:2018

Technologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information — Vue d’ensemble et vocabulaire

La version électronique de cette Norme internationale peut être téléchargée à partir du site Web du Groupe de travail ISO/CEI sur les technologies de l’information (ITTF).

Résumé 

ISO/IEC 27000:2018 offre une vue d’ensemble des systèmes de management de la sécurité de l’information (SMSI). Il comprend également les termes et définitions d’usage courant dans la famille de normes du SMSI. Le présent document est applicable à tous les types et à toutes les tailles d’organismes (par exemple: les entreprises commerciales, les organismes publics, les organismes à but non lucratif).

Les termes et les définitions fournis dans le présent document:

– couvrent les termes et les définitions d’usage courant dans la famille de normes du SMSI;

– ne couvrent pas l’ensemble des termes et des définitions utilisés dans la famille de normes du SMSI;

– ne limitent pas la famille de normes du SMSI en définissant de nouveaux termes à utiliser.

Prévisualiser

https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:fr

ISO/IEC 27001:2013

Technologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information — Exigences

Le dernier examen de cette norme date de 2019. Cette édition reste donc d’actualité.

Résumé 

L’ISO/CEI 27001:2013 spécifie les exigences relatives à l’établissement, à la mise en œuvre, à la mise à jour et à l’amélioration continue d’un système de management de la sécurité de l’information dans le contexte d’une organisation. Elle comporte également des exigences sur l’appréciation et le traitement des risques de sécurité de l’information, adaptées aux besoins de l’organisation. Les exigences fixées dans l’ISO/CEI 27001:2013 sont génériques et prévues pour s’appliquer à toute organisation, quels que soient son type, sa taille et sa nature. Il n’est pas admis qu’une organisation s’affranchisse de l’une des exigences spécifiées aux Articles 4 à 10 lorsqu’elle revendique la conformité à l’ISO/CEI 27001:2013.

Prévisualiser

https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:fr

ISO/IEC 27002:2013

Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information

Résumé 

L’ISO 27002:2013 donne des lignes directrices en matière de normes organisationnelles relatives à la sécurité de l’information et des bonnes pratiques de management de la sécurité de l’information, incluant la sélection, la mise en ?œuvre et la gestion de mesures de sécurité prenant en compte le ou les environnement(s) de risques de sécurité de l’information de l’organisation.

L’ISO 27002:2013 est élaborée à l’intention des organisations désireuses de sélectionner les mesures nécessaires dans le cadre du processus de mise en œuvre d’un système de management de la sécurité de l’information (SMSI) selon l’ISO/CEI 27001; de mettre en œuvre des mesures de sécurité de l’information largement reconnues; et d’élaborer leurs propres lignes directrices de management de la sécurité de l’information.

Prévisualiser

https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-2:v1:fr

ISO/IEC 27003:2017

Technologies de l’information — Techniques de sécurité —Systèmes de management de la sécurité de l’information — Lignes directrices

Indisponible en français

Résumé 

ISO/IEC 27003:2017 provides explanation and guidance on ISO/IEC 27001:2013.

Prévisualiser

https://www.iso.org/obp/ui/fr/#iso:std:iso-iec:27003:ed-2:v1:en

ISO/IEC 27004:2016

Technologies de l’information — Techniques de sécurité — Management de la sécurité de l’information — Surveillance, mesurage, analyse et évaluation

Indisponible en français

Résumé 

ISO/IEC 27004:2016 provides guidelines intended to assist organizations in evaluating the information security performance and the effectiveness of an information security management system in order to fulfil the requirements of ISO/IEC 27001:2013, 9.1. It establishes:

  1. a) the monitoring and measurement of information security performance;
  2. b) the monitoring and measurement of the effectiveness of an information security management system (ISMS) including its processes and controls;
  3. c) the analysis and evaluation of the results of monitoring and measurement.

ISO/IEC 27004:2016 is applicable to all types and sizes of organizations.

Prévisualiser

https://www.iso.org/obp/ui/fr/#iso:std:iso-iec:27004:ed-2:v1:en

ISO/IEC 27005:2018

Technologies de l’information — Techniques de sécurité — Gestion des risques liés à la sécurité de l’information

Résumé 

Le présent document contient des lignes directrices relatives à la gestion des risques en sécurité de l’information.

Le présent document appuie les concepts généraux énoncés dans l’ISO/IEC 27001; il est conçu pour aider à la mise en place de la sécurité de l’information basée sur une approche de gestion des risques.

Il est important de connaître les concepts, les modèles, les processus et les terminologies décrites dans l’ISO/IEC 27001 et l’ISO/IEC 27002 afin de bien comprendre le présent document.

Le présent document est applicable à tous types d’organismes (par exemple les entreprises commerciales, les agences gouvernementales, les organisations à but non lucratif) qui ont l’intention de gérer des risques susceptibles de compromettre la sécurité des informations de l’organisme.

Prévisualiser

https://www.iso.org/obp/ui/#iso:std:iso-iec:27005:ed-3:v1:fr

ISO 31000

Management du risque

Le succès à long terme d’une organisation dépend de nombreuses choses, et notamment de l’évaluation et de la mise à jour en continu de son offre ainsi que de l’optimisation de ses processus. Mais cela ne suffit pas. Une organisation doit aussi se préparer à tous les imprévus en mettant en œuvre un management du risque. ISO 31000 a été élaborée dans ce but.

Outre le fait de traiter du problème de continuité opérationnelle, ISO  31000 permet aux organisations d’être rassurées quant à leur résilience économique, leur réputation professionnelle et leur impact sur l’environnement ainsi qu’au niveau de leurs résultats en matière de sécurité. Dans un monde d’incertitude, ISO 31000 est faite sur mesure pour toute organisation recherchant des lignes directrices claires en matière de management du risque.

Comment utiliser ISO 31000 et est-il possible d’obtenir une certification ?

ISO 31000, Management du risque – Lignes directrices, fournit des principes, un cadre et des lignes directrices pour gérer toute forme de risque. Cette norme peut être utilisée par tout type d’organisme sans distinction de taille, d’activité ou de secteur.

Les organisations qui ont recours à ISO 31000 augmentent leurs chances d’atteindre leurs objectifs. Elles sont également mieux à même de cerner les opportunités et les menaces et d’allouer et d’utiliser efficacement les ressources pour le management des risques.

ISO  31000 ne se prête pas à des fins de certification. Elle donne des orientations pour les programmes d’audit internes ou externes. Les organisations qui l’utilisent peuvent évaluer leurs pratiques en matière de management du risque au regard d’un référentiel reconnu au niveau international, qui offre des principes rigoureux pour un management et une gouvernance efficaces.

Télcharger gratuitement

https://www.iso.org/files/live/sites/isoorg/files/store/fr/PUB100426_fr.pdf