ISO/IEC 27000 standards

Introduction

Les normes de la famille ISO/IEC 27000 constituent un ensemble de méthodes, mesures et bonnes pratiques reconnues au niveau international dans le domaine de la sécurité de l’information. Elles sont destinées à tout type de société, quelle que soit sa taille, son secteur d’activité ou son pays d’origine. Ces normes ont pour but de décrire les objectifs à atteindre en matière de sécurité informatique, et non la manière concrète d’y arriver. Celle-ci dépend généralement du contexte propre à toute organisation.

Au niveau international, c’est le sous-comité 27 du comité joint entre l’ISO et l’IEC numéro 1, en abrégé: ISO/IEC JTC 1/SC 27, qui s’occupe de de la gestion et de la publication de ses normes phares du domaine de la sécurité de l’information. Le création de norme ISO, resp. IEC, se font par des experts volontaires. Aussi au Luxembourg il est possible d’y participer, pour plus d’informations veuillez consutler le site de l’ILNAS (Institut Luxembourgeois de la Normalisation, de l’Accréditation, de la Sécurité et qualité des produits et services).

Les normes portant les numéros 27000 à 27010 sont réservés à la documentation générale d’un ISMS (Information Security Management System, appellation générique de la méthode de gestion de la sécurité de l’information). À côté des normes décrits ci-dessous, d’autres normes, actuellement en développement, vont s’y rajouter.

Les numéros 27011 à 27019 sont dédiées à la spécification d’un SGSI pour des secteurs économiques spécifiques (p.ex. ISO/IEC 27015 pour le secteur financier, ISO/IEC 27011 pour le secteur des télécommunications).

ISO/IEC 27000

L’ISO/CEI 27000:2009 fournit une vue d’ensemble des systèmes de management de la sécurité de l’information (SMSI); cette vue d’ensemble constitue l’objet de la famille des normes SMSI et définit les termes qui s’y rattachent. Suite à la mise en oeuvre de l’ISO/CEI 27000:2009, tous les types d’organismes (par exemple entreprises commerciales, organismes publics et organismes à but non lucratif) sont censés obtenir

  1. une vue d’ensemble de la famille des normes SMSI,
  2. une introduction aux SMSI,
  3. une brève description du processus Planifier-Déployer-Contrôler-Agir (PDCA), et
  4. les termes et définitions utilisés dans la famille des normes SMSI.

Les objectifs de l’ISO/CEI 27000:2009 sont la fourniture de termes et définitions, et une introduction à la famille des normes SMSI qui

  1. définissent les exigences pour un SMSI et pour les organismes certifiant de tels systèmes,
  2. apportent un soutien direct, des recommandations détaillées et/ou une interprétation des processus et des exigences générales selon le modèle Planifier-Déployer-Contrôler-Agir (PDCA),
  3. traitent des lignes directrices propres à des secteurs particuliers en matière de SMSI, et
  4. traitent de l’évaluation de la conformité d’un SMSI.

ISO/IEC 27001

ISO/IEC 27001: “ISMS requirements”. La norme ISO 27001 est une mise à jour de la norme BS7799-2, rendant celle-ci obsolète. Elle a été publiée en octobre 2005. Elle est à la base de la certification d’un SGSI, à l’instar de ses homologues ISO 9001 pour la qualité et ISO 14001 pour l’environnement.

ISO/IEC 27002

ISO/IEC 27002: “Code of practice for information security management”.

ISO/IEC 27003

ISO/IEC 27003: ISMS implementation guidance. La norme ISO 27003 a pour objectif de fournir un guide d’aide à l’implémentation des exigences d’un SGSI. Cette est plus particulièrement orientée sur l’utilisation du cycle PDCA et des différentes exigences requises à chaque étape du cycle.

ISO/IEC 27004

ISO/IEC 27004: Information security management measurements”. Cette norme a pour but d’aider les organisations à mesurer et à documenter  l’efficacité de la mise en oeuvre de leur SGSI.

ISO/IEC 27005

ISO/IEC 27005: “Information security risk management”. La norme ISO 27005 est une continuation de la norme ISO 13335. Elle reprendra les parties 3 et 4 de cette dernière, définissant les techniques à mettre en œuvre dans le cadre d’une démarche de gestion des risques.

ISO/IEC 27006

ISO/IEC 27006: “Requirements for the accreditation of bodies providing certification of ISMS.” Cette norme, a pour but d’accompagner les organismes de certification, dans les exigences nécessaires à atteindre pour être accrédités en tant qu’organisme de certification d’un SGSI.

ISO/IEC 27007

ISO/IEC 27007: “Auditor guidelines”. Cette norme sert comme guide spécifique pour les audits d’ISMS, notamment en support à l’ISO 27006.

Literature

BILLOIS, G., HUMBERT, J-P., MAYER, N. ISO 2700x : une famille de normes pour la gouvernance sécurité. MISC(30). Sélestat Cedex - France : Les Éditions Diamond. File : GBI-JPH-NMA MISC30.pdf