ISO 27000 et l’ensemble de normes de sécurité de l’information

Qu’est-ce que la norme ISO 27000 ?

Les normes qui composent la série ISO/IEC-27000 sont un ensemble de standards créés et gérés par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC). De nombreux pays participent à ces deux organisations internationales, ce qui garantit leur large diffusion, leur mise en œuvre et leur reconnaissance dans le monde entier.

Les séries 27000 sont orientées vers l’établissement de bonnes pratiques en ce qui concerne la mise en œuvre, la maintenance et la gestion du Système de gestion de la sécurité de l’information (SGSI) ou Information Security Management System (ISMS) en anglais. Ces guides visent à établir les meilleures pratiques concernant différents aspects liés à la gestion de la sécurité de l’information, en mettant l’accent sur l’amélioration continue et l’atténuation des risques.

ISO 27000 : elle fournit la base et le langage commun pour le reste des normes de la série.

Qu’est-ce que la norme ISO 27001 ?

• ISO 27001 : elle spécifie les exigences nécessaires pour mettre en œuvre et gérer un SGSI. Cette norme peut être certifiée.
• ISO 27002 : elle définit un ensemble de bonnes pratiques pour la mise en œuvre du SGSI, à travers 114 contrôles, structurés en 14 domaines et 35 objectifs de contrôle.
• ISO 27003 : elle fournit un guide pour la mise en œuvre correcte d’un SGSI, en se concentrant sur les aspects importants pour une mise en œuvre réussie.
• ISO 27004 : elle fournit des lignes directrices pour la définition et l’établissement corrects de métriques permettant d’évaluer correctement la performance du SGSI.
• ISO 27005 : elle définit la manière dont la gestion des risques liés aux systèmes de gestion de l’information doit être effectuée, en se concentrant sur la manière d’établir la méthodologie à utiliser.
• ISO 27006 : elle établit les exigences à respecter par les entreprises qui souhaitent être accréditées pour certifier d’autres entreprises en conformité avec l’ISO/IEC-27001.
• ISO 27007 : il s’agit d’un guide qui établit les procédures pour mener des audits internes ou externes pour vérifier et certifier les mises en œuvre de l’ISO/IEC-27001.  
• ISO 27008 : elle définit la manière dont les contrôles du SGSI doivent être évalués afin d’examiner leur adéquation technique pour qu’ils soient efficaces dans l’atténuation des risques.
• ISO 27009 : elle complète la norme 27001 pour inclure des exigences et de nouveaux contrôles qui s’appliquent à des secteurs spécifiques, dans le but de rendre leur mise en œuvre plus efficace.
• ISO 27010 : elle indique comment les informations doivent être traitées lorsqu’elles sont partagées entre plusieurs entreprises, quels risques peuvent survenir et quels contrôles doivent être utilisés pour les atténuer, en particulier lorsqu’ils sont liés à la gestion de la sécurité dans les infrastructures critiques.
• ISO 27011 : elle établit les principes de mise en œuvre, de maintien et de gestion d’un SGSI dans les organisations de télécommunications, en indiquant comment mettre en œuvre efficacement les contrôles.
• ISO 27013 : elle établit des lignes directrices pour l’intégration des normes 27001 (SGSI) et 20000 Système de gestion des services (SGS) dans les entreprises qui mettent en œuvre les deux normes.
• ISO 27014 : elle établit des principes pour la gouvernance de la sécurité de l’information, afin que les entreprises puissent évaluer, surveiller et communiquer les activités liées à la sécurité de l’information.
• ISO 27015 : elle fournit des principes pour la mise en œuvre d’un SGSI au sein des entreprises qui assurent des services financiers, tels que les services bancaires ou la banque électronique.
• ISO 27016 : elle fournit un guide pour la prise de décisions économiques liées à la gestion de la sécurité de l’information, en soutien à la direction des organisations.
• ISO 27017 : elle fournit un guide de 37 contrôles spécifiques pour les services en nuage ; ces contrôles sont basés sur la norme 27002.
• ISO 27018 : elle complète les normes 27001 et 27002 dans la mise en œuvre de procédures et de contrôles pour protéger les données à caractère personnel au sein des entreprises qui fournissent des services en nuage pour des tiers.
• ISO 27019 : elle fournit un guide basé sur la norme 27002 à appliquer aux industries liées au secteur de l’énergie, afin qu’elles puissent mettre en œuvre un SGSI.

Parmi l’ensemble susmentionné, nous pouvons distinguer la norme 27001, qui spécifie les exigences nécessaires pour mettre en œuvre, maintenir et gérer un SGSI, dans le cadre du processus d’amélioration continue appelé Roue de Deming ou PDCA, acronyme de Plan-Do-Check-Act, en relation avec les phases de Planifier, Faire, Vérifier et Agir. D’autre part, la norme 27002 est un ensemble de 114 contrôles, regroupés en 14 domaines, qui visent à faciliter les bonnes pratiques en matière de gestion du SGSI.

Comment aborder la norme ISO 27001 avec un logiciel ?

Chez GlobalSuite Solutions, nous disposons d’un logiciel de système de sécurité, un outil qui permet la mise en œuvre, la gestion et la maintenance de systèmes de gestion de la sécurité de l’information basés sur la norme ISO 27001. Cet outil aide les entreprises et les équipes de travail dans la gestion intégrale de la norme et respecte le cycle complet de celle-ci, depuis le début et la planification du projet jusqu’à sa maintenance et son amélioration continue.