ISO/IEC 27001 - Système de management de la sécurité de l'information

En quelques mots

La norme ISO 27001 encourage l’adoption d’une approche processus pour la mise en œuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l’amélioration du système de management de la sécurité de l’information d’une entreprise. L’annexe A de la norme est l’ISO/IEC 27002.

L’entreprise doit identifier et gérer de nombreuses activités de manière à fonctionner efficacement. Toute activité utilisant des ressources est gérée de manière à permettre la transformation d’éléments d’entrée en éléments de sortie, peut être considérée comme processus.

« L’approche processus » désigne l’application d’un système de processus au sein de l’entreprise, ainsi que l’identification, les interactions et le management de ces processus.

L’approche processus pour le management de la sécurité du système d’information présentée dans la norme souligne l’importance de :

1. la compréhension des exigences relatives à la sécurité de l’information de l’entreprise et la nécessité de mettre en place une politique et des objectifs en matière de sécurité;
2. la mise en œuvre et l’exploitation des mesures de gestion des risques liés à la sécurité dans le contexte des risques globaux liés à l’activité de l’organisation;
3. la surveillance et le réexamen des performances de l’ISMS;
4. l’amélioration continue du système sur base de mesures objectives.