Lien entre ISO/IEC 27005 et ISO/IEC 27001
Info
L’ISO/IEC 27005 est le support naturel de la clause 6.1 de l’ISO 27001 : « Appréciation et traitement des risques de sécurité de l’information ».
ISO 27001 vs ISO 27005
| ISO 27001 | ISO 27005 |
|---|---|
| Norme certifiable | Norme non certifiable |
| Spécifie les exigences du SMSI | Propose une méthode de gestion du risque |
| Clause 6.1 : « que faire » | ISO 27005 : « comment le faire » |
| Approche orientée management | Approche orientée risque |
Articulation entre les deux normes
- L’ISO 27001 impose l’identification, l’évaluation, le traitement et la documentation des risques liés à la sécurité de l’information.
- L’ISO 27005 fournit une méthode structurée et adaptable pour mettre cela en œuvre dans un SMSI.
Utilisation combinée
Example
Dans un projet de certification ISO 27001, on utilise généralement ISO 27005 pour :
- structurer l’analyse de risques initiale,
- choisir les mesures pertinentes (en lien avec l’annexe A),
- démontrer la logique de traitement des risques à l’auditeur.
Tip
Même si la 27005 n’est pas obligatoire pour être certifié 27001, elle est fortement recommandée, notamment par les certificateurs comme l’AFNOR, LSTI ou PECB.