Introduction à la norme ISO/IEC 27001
Info
Cette norme établit les exigences pour la mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI), destiné à protéger la confidentialité, l’intégrité et la disponibilité des informations.
Objectifs de la norme
- Définir, implémenter et maintenir un système de gestion de la sécurité de l’information.
- Protéger les actifs informationnels d’une organisation.
- Fournir un cadre certifiable internationalement reconnu.
- S’adapter à tous types d’organisations : privées, publiques, ONG.
La famille ISO/IEC 27000
Info
La norme ISO/IEC 27001 ne vit pas seule : elle fait partie d’un ensemble cohérent de normes complémentaires.
| Norme | Rôle |
|---|---|
| ISO/IEC 27000 | Vocabulaire, concepts fondamentaux |
| ==ISO/IEC 27001== | Spécifie les exigences du SMSI |
| ISO/IEC 27002 | Guide de bonnes pratiques (Annexe A) |
| ISO/IEC 27005 | Gestion des risques liés à la sécurité |
| ISO/IEC 27017 | Sécurité du cloud |
| ISO/IEC 27018 | Protection des données personnelles |
| ISO/IEC 27701 | Extension pour la gestion de la vie privée (PIMS) |
Pour qui est faite cette norme ?
- RSSI
- Consultants cybersécurité
- Auditeurs internes ou externes
- DSI et responsables IT
- Responsables qualité / conformité
- Responsables métiers manipulant des données critiques
Certification : un choix stratégique
Tip
La certification ISO/IEC 27001 est une preuve reconnue à l’international de la maturité SSI d’une organisation.
- Certification par un organisme indépendant (LSTI, Afnor, BSI…)
- Basée sur un audit externe en 2 étapes
- Valide 3 ans avec audits de surveillance