Famille ISO 27000 / ISMS

La famille ISO 27000 pour des SGSI / ISMS (systèmes de gestion de la sécurité de l'information, sécurité des systèmes d'information) comprend les principales normes ISO suivantes:

- ISO/IEC 27000:2009 : Aperçu général et vocabulaire
- ISO/IEC 27001:2005 : Exigences
- ISO/IEC 27002:2005 : Code de bonne pratique
- ISO/IEC 27003:2010 : Lignes directrices pour la mise en oeuvre du système de management de la sécurité de l'information
- ISO/IEC 27004-2009 : Mesurage
- ISO/IEC 27005:2011 : Gestion des risques de sécurité de l'information
- ISO/IEC 27006:2007 : Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information
- ISO/IEC 27007:11 Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information

ISO/IEC 27001:2005

Selon ISO :
"This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization."

Ce standard propose une approche processus basée sur le modèle PDCA (Plan-Do-Check-Act).

ISO/IEC 27002:2005

Domaine d'application (selon ISO)
"La présente Norme internationale établit des lignes directrices et des principes généraux pour préparer, mettre en oeuvre, entretenir et améliorer la gestion de la sécurité de l’information, sécurité informatique, au sein d’un organisme. Les objectifs esquissés dans la présente Norme internationale fournissent une orientation générale sur les buts acceptés communément dans la gestion de la sécurité de l’information."

"Les objectifs et mesures décrits dans la présente Norme internationale sont destinés à être mis en oeuvre pour répondre aux exigences identifiées par une évaluation du risque. La présente Norme internationale est prévue comme base commune et ligne directrice pratique pour élaborer les référentiels de sécurité de l’organisation, mettre en oeuvre les pratiques efficaces de la gestion de la sécurité, et participer au développement de la confiance dans les activités entre organismes."

Structure de la norme (selon ISO)
"La présente Norme internationale contient 11 articles relatifs aux mesures de sécurité, qui comprennent un total de 39 catégories de sécurité et un article d’introduction sur l’appréciation et le traitement du risque.  Chaque article contient plusieurs catégories de sécurité principales. Les 11 articles (accompagnés du nombre de catégories de sécurité principales incluses dans chaque article) sont les suivants."

  1. Politique de sécurité (1)
  2. Organisation de la sécurité de l’information (2)
  3. Gestion des biens (2)
  4. Sécurité liée aux ressources humaines (3)
  5. Sécurité physique et environnementale (2)
  6. Gestion opérationnelle et gestion de la communication (10)
  7. Contrôle d’accès (7)
  8. Acquisition, développement et maintenance des systèmes d’information (6)
  9. Gestion des incidents liés à la sécurité de l’information (2)
  10. Gestion de la continuité de l’activité (1)
  11. Conformité (3)

Voir la boîte à outils.

--------------------------------------------------------------------------------
Copyright © 2012 Aud-IT Sàrl Geneva All rights reserved

Sites utiles
CERT
SANS
MELANI