L’ISO/IEC 27001 est une norme internationale sur la gestion de la sécurité de l’information. À l’origine, elle a été publiée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI ou IEC en anglais) en 2005, puis révisé en 2013. Une mise à jour européenne a été publiée en 2017.
Le titre officiel de cette norme est « Technologies de l’information — Techniques de sécurité — Systèmes de gestion de la sécurité de l’information — Exigences »
Cette norme précise les exigences pour l’organisation, la mise en œuvre, la maintenance et l’amélioration continue d’un système de management de la sécurité de l’information (SMSI). Le but d’un SMSI est d’aider les organisations à sécuriser leurs données et informations (telles que leurs informations financières, leur propriété intellectuelle, les données sur leurs employés ou des informations confiées par des tiers).
Les organisations qui satisfont à ces exigences peuvent choisir d’être évaluées par le biais d’un audit afin d’être certifiées par un organisme de certification accrédité, tel que LSTI.
ISO/IEC 27001:2013 comporte dix clauses courtes et une longue annexe, qui couvrent les éléments suivants :
Comme toute autre norme de système de management, être certifié ISO/CEI 27001 est tout à fait possible mais pas obligatoire. Certaines entreprises choisissent de mettre en œuvre cette norme pour bénéficier des bonnes pratiques qu’elle contient, tandis que d’autres décident de se faire certifier pour rassurer leurs clients.
Cette norme est le référentiel de référence pour notre prestation entreprise, ainsi que les examens auditor/lead auditor 27001 et implementer 27001.