Focus sur la norme ISO/CEI 27001
L’ISO/IEC 27001 est une norme internationale sur la gestion de la sécurité de l’information. À l’origine, elle a été publiée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI ou IEC en anglais) en 2005, puis révisé en 2013. Une mise à jour européenne a été publiée en 2017.
Le titre officiel de cette norme est « Technologies de l’information — Techniques de sécurité — Systèmes de gestion de la sécurité de l’information — Exigences »
Cette norme précise les exigences pour l’organisation, la mise en œuvre, la maintenance et l’amélioration continue d’un système de management de la sécurité de l’information (SMSI). Le but d’un SMSI est d’aider les organisations à sécuriser leurs données et informations (telles que leurs informations financières, leur propriété intellectuelle, les données sur leurs employés ou des informations confiées par des tiers).
Les organisations qui satisfont à ces exigences peuvent choisir d’être évaluées par le biais d’un audit afin d’être certifiées par un organisme de certification accrédité, tel que LSTI.
ISO/IEC 27001:2013 comporte dix clauses courtes et une longue annexe, qui couvrent les éléments suivants :
- Champ d’application de la norme
- Comment le document est référencé
- Réutilisation des termes et définitions dans ISO/IEC 27000
- Contexte organisationnel et parties prenantes
- Leadership en matière de sécurité de l’information et soutien de haut niveau aux politiques
- Planification d’un système de gestion de la sécurité de l’information, l’évaluation des risques, traitement des risques
- Soutenir un système de gestion de la sécurité de l’information
- Rendre opérationnel un système de gestion de la sécurité de l’information
- Examen des performances du système
- Action corrective
Annexe A : Liste des contrôles et leurs objectifs
Comme toute autre norme de système de management, être certifié ISO/CEI 27001 est tout à fait possible mais pas obligatoire. Certaines entreprises choisissent de mettre en œuvre cette norme pour bénéficier des bonnes pratiques qu’elle contient, tandis que d’autres décident de se faire certifier pour rassurer leurs clients.
Cette norme est le référentiel de référence pour notre prestation entreprise, ainsi que les examens auditor/lead auditor 27001 et implementer 27001.