ISO 27000

Les normes de la famille ISO 27000 permettent d’organiser et structurer la démarche de la gestion de la sécurité des systèmes d’information.

Définition

Les normes internationales de la famille ISO 27000 régissent l’organisation et la gestion de la sécurité des systèmes d’information. Celles-ci sont publiées et maintenues par l’Organisation internationale de normalisation (ISO) et la Commission électronique internationale (CEI). Cette norme est populaire du fait de son universalité.

Cette famille est composée de normes qui évoluent selon l’état de l’art et qui permettent aux entreprises de standardiser, gérer et certifier de bonnes pratiques concernant la gestion de leur système d’information. À l’heure actuelle, seules les normes 27001 et 27002 peuvent être certifiées par des organismes de certification (Certificate Authority) agréés et décrits dans la norme ISO 27007. Parmi les organismes suisses accrédités pour certifier les normes ISO 27001 et 27002 on retrouve l’Association suisse pour Systèmes de Qualité et de Management (SQS) leader du marché ou la société ACTAGIS (www.actagis.ch) qui offre également des cours dispensés dans toutes les langues du pays.

Les normes

Ces normes ISO sont à la fois générales (pour tout type d'industrie) et spécifiques pour certains domaines (Cloud, télécommunication, service financier).

Liste (non exhaustive) des normes ISO de la famille 27000

  • ISO/IEC27000, Systèmes de management de la sécurité de l’information— Vue d’ensemble et vocabulaire
  • ISO/IEC 27001, Systèmes de management de la sécurité de l’information — Exigences
  • ISO/IEC 27002, Code de bonne pratique pour les mesures de sécurité de l’information
  • ISO/IEC 27003, Lignes directrices pour la mise en œuvre du système de management de la sécurité de l’information
  • ISO/IEC 27004, Management de la sécurité de l’information — Mesurage
  • ISO/IEC 27005, Gestion des risques liés à la sécurité de l’information
  • ISO/IEC 27006, Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information
  • ISO/IEC27007, Lignes directrices pour l’audit des systèmes de management de la sécurité de l’information
  • ISO/IEC/TR 27008, Lignes directrices pour les auditeurs des contrôles de sécurité de l’information
  • ISO/IEC 27010, Gestion de la sécurité de l’information des communications intersectorielles et inter organisationnelles
  • ISO/IEC 27011, Lignes directrices du management de la sécurité de l’information pour les organismes de télécommunications sur la base de l’ISO/IEC 27002
  • ISO/IEC 27013, Guide sur la mise en oeuvre intégrée de l’ISO/IEC 27001 et de l’ISO/IEC 20000-1
  • ISO/IEC 27014, Gouvernance de la sécurité de l’information
  • ISO/IEC/TR 27015, Lignes directrices pour le management de la sécurité de l’information pour les services financiers
  • ISO/IEC/TR 27016, Management de la sécurité de l’information — Économie organisationnelle

Pour plus de renseignements concernant le contenu de ces normes il est possible de se rendre sur le site de l’organisme ISO[1] ou sur Wikipedia[2].

[1] https://www.iso.org/fr/isoiec-27001-information-security.html

[2] https://fr.wikipedia.org/wiki/Suite_ISO/CEI_27000

Test rapide de cybersécurité pour PME