logo_FEDER español
gss-logo-header
FR
ESENPT
DémoDemander une démo
Sécurité

ISO 27000 y el conjunto de estándares de Seguridad de la Información

César Alonso
🕑 7 minutes read

Table of contents

¿Qué es ISO 27000?

Las normas que forman la serie ISO/IEC-27000 son un conjunto de estándares creados y gestionados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrónica Internacional (IEC). Ambas organizaciones internacionales están participadas por multitud de países, lo que garantiza su amplia difusión, implantación y reconocimiento en todo el mundo.

Aujourd’hui, l’information est l’un des actifs les plus importants d’une entreprise, il est donc nécessaire qu’elle soit dûment protégée. Les normes de la famille ISO 27000 traitent de la gestion de la sécurité de l’information et peuvent être combinées pour fournir un cadre reconnu au niveau mondial.

Ces normes sont orientées vers l’établissement de bonnes pratiques en matière de mise en œuvre, de maintenance et de gestion du Système de Gestion de la Sécurité de l’Information (SGSI) ou, en anglais, Information Security Management System (ISMS). Estas guías tienen como objetivo establecer las mejores prácticas en relación con diferentes aspectos vinculados a la gestión de la seguridad de la información, con una fuerte orientación a la mejora continua y la mitigación de riesgos. Il convient de noter que les recommandations présentées dans ces normes sont applicables à tout type d’organisation, qu’il s’agisse de grandes, petites, publiques, privées, etc.

La norme ISO 27000 en particulier facilite les bases et le langage commun pour le reste des normes de la série.

Ensemble de normes de la famille ISO 27000

  • ISO 27001: Especifica los requerimientos necesarios para implantar y gestionar un SGSI. C’est la norme la plus importante de la famille et elle est certifiable.
  • ISO 27002 : en soutien au processus de gestion des risques de la norme ISO/IEC-27001, elle définit un ensemble de bonnes pratiques pour la mise en œuvre du SGSI, à travers 93 contrôles, structurés en 4 grands domaines.
  • ISO 27003 : fournit un guide pour la mise en œuvre correcte d’un SGSI, en se concentrant sur les aspects importants pour la réussite de ce processus.
  • ISO 27004 : fournit des directives orientées vers la définition et l’établissement corrects de mesures permettant d’évaluer correctement les performances du SGSI.
  • ISO 27005 : définit comment réaliser la gestion des risques liés aux systèmes de gestion de l’information, en se concentrant sur la manière d’établir la méthodologie à employer.
  • ISO 27006 : établit les exigences que doivent remplir les organisations qui souhaitent être accréditées pour certifier d’autres organisations dans le respect de la norme ISO/IEC-27001.
  • ISO 27007 : est un guide qui établit les procédures pour réaliser des audits internes ou externes dans le but de vérifier et de certifier les mises en œuvre de la norme ISO/IEC-27001.
  • ISO 27008: define cómo se deben evaluar los controles del SGSI con el fin de revisar la adecuación técnica de los mismos, de forma que sean eficaces para la mitigación de riesgos.
  • ISO 27009 : complète la norme ISO/IEC-27001 pour inclure des exigences et de nouveaux contrôles ajoutés qui sont applicables dans des secteurs spécifiques, dans le but de rendre sa mise en œuvre plus efficace.
  • ISO 27010: indica cómo debe ser tratada la información cuando es compartida entre varias organizaciones, qué riesgos pueden aparecer y los controles que se deben emplear para mitigarlos, especialmente cuando están relacionados con la gestión de la seguridad en infraestructuras críticas.
  • ISO 27011: establece los principios para implantar, mantener y gestionar un SGSI en organizaciones de telecomunicaciones, indicando como implantar los controles de manera eficiente.
  • ISO 27013 : établit un guide pour l’intégration des normes ISO/IEC-27001 (SGSI) et ISO/IEC-20000 Système de Gestion des Services (SGS) dans les organisations qui mettent en œuvre les deux.
  • ISO 27014 : établit des principes pour la gouvernance de la sécurité de l’information.
  • ISO 27015 : facilite les principes de mise en œuvre d’un SGSI dans les entreprises qui fournissent des services financiers et d’assurance.
  • ISO 27016: proporciona una guía para la toma de decisiones económicas vinculadas a la gestión de la seguridad de la información, como apoyo a la dirección de las organizaciones.
  • ISO 27017 : fournit un guide pour les services Cloud, avec des contrôles basés sur la norme ISO/IEC-27002.
  • ISO 27018 : complète les normes ISO/IEC-27001 et ISO/IEC-27002 dans la mise en œuvre de procédures et de contrôles pour protéger les données personnelles dans les organisations qui fournissent des services dans le Cloud pour des tiers.
  • ISO 27019 : facilite un guide basé sur la norme ISO/IEC-27002 à appliquer aux industries liées au secteur de l’énergie, afin qu’elles puissent mettre en œuvre un SGSI.
  • ISO 27021 : établit les exigences de compétence pour les professionnels du SGSI qui dirigent ou participent à l’établissement, à la mise en œuvre, à la maintenance et à l’amélioration continue d’un ou plusieurs processus du SGSI.
  • ISO 27022 : fournit un modèle de référence de processus pour le SGSI.
  • ISO 27023 : facilite un guide de correspondances entre les normes ISO/IEC-27001 et ISO/IEC-27002.
  • ISO 27031 : fournit un soutien pour l’adéquation des technologies de l’information et de la communication.
  • ISO 27032 : facilite l’identification des lignes générales pour renforcer l’état de la cybersécurité dans une entreprise.
  • ISO 27033 : établit les directives de sécurité de l’administration, de l’exploitation et de l’utilisation des réseaux.
  • ISO 27034 : fournit une orientation dans le domaine de la technologie de l’information, des techniques de sécurité et de la sécurité de l’application.
  • ISO 27035 : définit un ensemble de meilleures pratiques liées à la gestion des incidents de sécurité, en mettant l’accent sur la détection, le signalement et l’évaluation des incidents de sécurité.
  • ISO 27036 : relative à la sécurité de l’information pour les relations avec les fournisseurs, elle offre une orientation sur l’évaluation et le traitement des risques d’information impliqués dans l’acquisition de biens et de services auprès de fournisseurs.
  • ISO 27037 : offre des directives pour l’identification, la collecte, l’acquisition et la préservation des preuves numériques.
  • ISO 27038 : spécifie les caractéristiques des techniques pour la rédaction numérique.
  • ISO 27039 : fournit un guide pour aider les entreprises à sélectionner, déployer et exploiter des systèmes de détection et de prévention d’intrusion.
  • ISO 27040 : facilite des directives pour protéger la sécurité des systèmes de stockage, ainsi que pour la protection des données contenues dans ceux-ci.
  • ISO 27041 : offre un guide et des directives pour garantir la pertinence et l’adéquation des méthodes d’enquête sur les incidents.
  • ISO 27042 : définit les directives pour une analyse et une interprétation correctes des preuves numériques.
  • ISO 27043 : fournit un guide des principes et des processus pour la collecte de preuves numériques et l’enquête sur les incidents.
  • ISO 27050 : il s’agit d’une norme développée en quatre parties qui traite des informations stockées dans des dispositifs électroniques.
  • ISO 27070 : définit des exigences de sécurité qui ont pour objectif d’établir des racines de confiance pour la fourniture d’environnements informatiques fiables.
  • ISO 27099 : offre des exigences pour gérer la sécurité de l’information pour les fournisseurs de services de confiance d’infrastructure de clé publique (PKI).
  • ISO 27100 : facilite une vue d’ensemble de la cybersécurité et définit des concepts pertinents qui y sont liés.
  • ISO 27102 : décrit des directives de gestion pour lorsqu’on envisage l’acquisition d’assurances cybernétiques comme une option de traitement des risques.
  • ISO 27103 : offre un guide sur l’exploitation des normes et des règles existantes dans un cadre de cybersécurité.
  • ISO 27110 : basée sur les principes de flexibilité, de compatibilité et d’interopérabilité, cette norme fournit des directives pour standardiser les mesures de sécurité.
  • ISO 27400 : fournit un guide basé sur des directives sur les risques, les principes et les contrôles pour la sécurité et la confidentialité des solutions de l’Internet des objets (IoT).
  • ISO 27550 : offre des directives d’ingénierie de la confidentialité orientées vers l’aide aux organisations pour intégrer dans leurs processus du système les avancées en matière d’ingénierie de la confidentialité.
  • ISO 27555 : facilite des directives pour le développement et la mise en œuvre de politiques et de procédures pour la suppression des informations d’identification personnelle (PII) dans les organisations.
  • ISO 27570 : fournit une orientation sur la protection de la confidentialité dans le développement des écosystèmes des villes intelligentes.
  • ISO 27701 : développée comme un guide d’extension aux exigences et aux contrôles de la norme ISO 27001, elle apporte aux organisations les exigences pour administrer, gérer les données et protéger la confidentialité des informations d’identification personnelle (PII).
  • ISO 27799 : définit des directives pour la mise en œuvre de la norme ISO/IEC-27002 dans l’industrie de la santé.

Il convient de souligner, parmi l’ensemble mentionné, la norme ISO/IEC-27001 qui est considérée comme la principale norme de la famille ISO 27000 et où sont spécifiées les exigences nécessaires pour mettre en œuvre, maintenir et gérer un SGSI, dans le cadre du processus d’amélioration continue connu sous le nom de Cycle Deming ou PDCA, acronyme de Plan-Do-Check-Act, en relation avec les phases de Planifier, Faire, Vérifier et Agir. D’autre part, la norme ISO/IEC-27002 est un ensemble de 93 contrôles, regroupés en 4 domaines, qui ont pour objectif de faciliter les bonnes pratiques en matière de gestion du SGSI.

¿Cómo abordar ISO 27001 a través de un software?

Desde GlobalSuite Solutions disponemos de un software de sistema de seguridad. Una herramienta que permite la implantación, gestión y mantenimiento de Sistemas de Gestión de Seguridad de la Información basados en la norma ISO 27001. Una herramienta que ayuda a las empresas y equipos de trabajo en la gestión integral de la norma y cumple con el ciclo completo de la misma, desde el inicio y planificación del proyecto hasta el mantenimiento y su mejora continua.

Share:

César Alonso
. Director del departamento de Consultoría de GlobalSuite Solutions. Ingeniero industrial por la Universidad Politécnica de Madrid (UPM), CISA, CISM, PMP, Lead Auditor ISO 27001, ISO 20000 e ISO 22301, ITIL Foundations v3 y cuenta con la certificación GlobalSuite® Expert.

More articles