2024.11.21 Iso 27000
2024.11.21 Iso 27000
2024.11.21 Iso 27000
Résumé
21/11/2024 1
Introduction
La norme ISO/IEC 27000 est une série de normes internationales qui traite de la gestion de la sécurité de
l'information. Elle vise à aider les organisations à protéger leurs actifs informationnels en identifiant et en
maîtrisant les risques liés à la sécurité des informations. La norme ISO 27000 et ses déclinaisons font partie d'un
cadre global appelé Système de gestion de la sécurité de l'information (SGSI).
21/11/2024 2
Composants de la norme ISO 27000
L'ISO 27000 fait partie d'une série de normes interconnectées. Voici les principales normes de la famille ISO 27000 :
1. ISO/IEC 27001 :
1. Exigences pour établir, mettre en œuvre, exploiter, surveiller, réviser, maintenir et améliorer un SGSI. C'est la norme qui
est la plus couramment utilisée et qui permet d'obtenir une certification.
2. ISO/IEC 27002 :
1. Code de bonnes pratiques : Il fournit des lignes directrices pour l'implémentation des contrôles de sécurité dans un SGSI.
Ce document est complémentaire à l'ISO 27001.
3. ISO/IEC 27005 :
1. Gestion des risques : Spécialement axée sur la gestion des risques liés à la sécurité de l'information. Elle fournit un cadre
pour identifier, évaluer et traiter ces risques.
4. ISO/IEC 27004 :
1. Mesure de la performance : Elle aide les organisations à mesurer l'efficacité de leur SGSI en utilisant des indicateurs et
en analysant les résultats.
5. ISO/IEC 27018 :
1. Protection des données personnelles dans le cloud : Spécifique aux fournisseurs de services cloud, elle détaille des
lignes directrices pour la gestion sécurisée des informations personnelles.
6. ISO/IEC 27032 :
1. Cybersécurité : Cette norme se concentre sur les aspects de la cybersécurité et vise à protéger les systèmes d'information
contre les cybermenaces.
21/11/2024 3
Structure de la norme ISO/IEC
27001
L'ISO 27001 est souvent utilisée pour obtenir la certification ISO 27000. Elle repose sur un processus cyclique basé sur le modèle
Plan-Do-Check-Act (PDCA), et se structure autour des éléments suivants :
1. Contexte de l'organisation : Identifier les besoins et les attentes des parties prenantes, ainsi que les risques associés à la
sécurité de l'information.
2. Leadership : L'engagement de la direction dans la gestion de la sécurité de l'information et la mise en place d'un comité de
gestion des risques.
3. Planification : Définition des objectifs de sécurité de l'information et des actions nécessaires pour atteindre ces objectifs.
4. Support : Fournir les ressources nécessaires (humaines, techniques, financières) pour mettre en œuvre les actions prévues.
5. Opération : Mise en œuvre des contrôles et des processus de sécurité.
6. Évaluation de la performance : Surveillance, revue et audit des performances du SGSI pour vérifier sa conformité et son
efficacité.
7. Amélioration : Mise en place de processus d'amélioration continue pour répondre aux défis émergents.
21/11/2024 4
Avantages de la mise en œuvre de
la norme ISO 27000
•Réduction des risques : Une meilleure identification et gestion des risques liés à la sécurité de
l'information.
•Conformité légale : Facilite le respect des exigences légales et réglementaires, telles que la loi
RGPD (Règlement Général sur la Protection des Données).
•Confiance accrue : Renforce la confiance des clients, partenaires et parties prenantes en prouvant
que l'organisation prend des mesures sérieuses pour protéger les données sensibles.
•Amélioration continue : Le cadre ISO encourage l'évaluation régulière de la sécurité de
l'information et l'amélioration continue des pratiques de sécurité.
•Avantage concurrentiel : La certification ISO 27001 est un atout pour les entreprises cherchant à se
distinguer sur le marché, notamment dans des secteurs où la sécurité de l'information est cruciale
(banque, assurance, etc.).
21/11/2024 5
Conclusion
21/11/2024 6