À une époque où les données et les informations sont négociées comme des marchandises, il est essentiel de les protéger. Une façon d'y parvenir est de mettre en œuvre un management de la sécurité de l'information basée sur la série de normes ISO/CEI 2700x sur la sécurité de l'information. Il s'agit d'une famille internationale de normes pour la sécurité des TI et la sécurité de l'information dans les organisations privées, publiques ou à but non lucratif. Sur la base de la norme ISO 27001, il est possible de mettre en œuvre un système de management de la sécurité de l'information (SGSI) que les organisations et les autorités publiques peuvent mettre en place, exploiter et faire certifier pour leur propre protection.

Loading...

ISO/IEC 27001:2013
Technologies de l'information - Techniques de sécurité - Systèmes de gestion de la sécurité de l'information - Exigences

Des normes pour la sécurité de l'information : La famille des normes ISO 2700X

Les différentes normes de sécurité de l'information de la série ISO 2700x traitent de divers sujets dans le domaine de la sécurité de l'information. Par exemple, la norme internationale spécifie ISO 27001 un système de management de la sécurité de l'information (SMSI) ISO 27701 un système de gestion de la protection des données, l'ISO 27017 fournit des lignes directrices sur les mesures de sécurité de l'information pour l'informatique en nuage, et l'ISO 27005 fournit des lignes directrices pour la gestion des risques de sécurité de l'information.

Les entreprises de tous les secteurs peuvent bénéficier de l'approche systématiquement structurée de ces normes pour la sécurité de l'information. Elle permet de protéger les données confidentielles contre la perte et l'utilisation abusive, et aide à identifier et à réduire de manière fiable les menaces (potentielles). Cette approche permet de garantir la disponibilité des systèmes informatiques de l'entreprise, contribuant ainsi à l'optimisation des processus commerciaux, des coûts informatiques et des processus, et à la réduction des risques commerciaux et de responsabilité.

La certification est un avantage concurrentiel

La certification ISO 27001, par exemple par DQS, exige une certaine préparation et des efforts. Cependant, l'entreprise fournit la preuve documentée qu'elle se conforme aux exigences de sécurité de l'information et qu'elle met en œuvre des mesures pour protéger les données sensibles de l'entreprise. Il s'agit là d'un avantage concurrentiel évident.

Dix normes ISO sur la sécurité de l'information que vous devriez connaître

La liste ci-dessous donne un aperçu informatif de l'état actuel de la série de normes ISO 2700x en matière de sécurité de l'information. Toutes les normes sont disponibles à l'achat sur le site Web de l'ISO.

ISO 27001 - Exigences relatives aux systèmes de management de la sécurité de l'information

À une époque où les données et les informations se négocient comme des denrées rares, leur protection est essentielle. Une base optimale pour la mise en œuvre efficace d'une stratégie de sécurité holistique est fournie par un système de gestion de la sécurité de l'information (SGSI) bien structuré, conforme à la norme ISO 27001. Il s'agit d'une norme internationalement reconnue pour la sécurité de l'information dans les organisations privées, publiques ou à but non lucratif, qui ne couvre pas seulement les aspects de la sécurité informatique.

CTA picture for FAQ ISO 27001
Loading...

ISO/IEC 27001:2022 Q&A

La nouvelle norme de sécurité de l'information: 38 questions et réponses

Ce qu'il faut savoir sur la "nouvelle norme" en matière de sécurité de l'information.

  • En quoi consistent les nouveaux contrôles ?
  • Quand devons-nous passer à la nouvelle norme ?
  • Où puis-je trouver une liste des correspondances entre l'ancienne et la nouvelle norme ?
  •  ... ainsi que 35 autres questions !

Un SMSI ISO 27001 définit des exigences, des règles et des méthodes pour assurer la sécurité des informations qui doivent être protégées dans les organisations. La norme ISO fournit un modèle pour établir, mettre en œuvre, surveiller et améliorer le niveau de protection. L'objectif est d'identifier les risques potentiels pour l'entreprise, de les analyser et de les rendre maîtrisables par des mesures appropriées. La norme ISO 27001 formule les exigences d'un tel système de gestion, qui sont auditées dans le cadre d'un processus de certification externe .

La norme vous permet d'y parvenir :

  • Faire de la sécurité des informations sensibles une partie intégrante des processus de l'entreprise.
  • Sauvegarde préventive des objectifs de protection : confidentialité, disponibilité et intégrité des informations.
  • Maintien de la continuité des activités par l'amélioration continue du niveau de sécurité
  • Sensibilisation des employés et augmentation significative de la conscience de la sécurité à tous les niveaux de l'entreprise
  • Établissement de la confiance avec les parties intéressées
  • Mise en place d'un processus efficace de gestion des risques
webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Regardez-le maintenant : Ce qui change avec la nouvelle norme ISO/IEC 27001:2022

La nouvelle version d'ISO/IEC 27001, adaptée aux risques contemporains liés à l'information, a été publiée le 25 octobre 2022. Qu'est-ce que cela signifie pour les utilisateurs de la norme ? Dans l'enregistrement de notre webinaire gratuit, vous apprendrez à connaître 

  • Les nouvelles caractéristiques de l'ISO/IEC 27001:2022 - Cadre et Annexe A 
  • ISO/IEC 27002:2022-02 - structure, contenu, attributs et hashtags 
  • Le calendrier de la transition et vos prochaines étapes

ISO 27019 - Mesures de sécurité de l'information pour la fourniture d'énergie.

La norme de sécurité de l'information ISO 27019 formule des mesures complémentaires pour le secteur de l'industrie énergétique.

ISO/IEC 27019:2017
Technologies de l'information - Techniques de sécurité - Contrôles de sécurité de l'information pour le secteur de l'industrie de l'énergie.

Elle vous aide à sécuriser vos systèmes électroniques de contrôle de processus utilisés pour contrôler et surveiller la production, la transmission, le stockage et la distribution d'énergie électrique, de gaz, de pétrole et de chaleur, et pour contrôler les processus de soutien connexes.

Ce que vous pouvez faire avec la norme :

  • Assurer systématiquement les objectifs de protection de la confidentialité, de la disponibilité et de l'intégrité des informations.
  • Améliorer continuellement le niveau de sécurité et la résistance aux accès non autorisés.
  • Obtenir une plus grande sécurité d'action et une certitude juridique, améliorer le respect des exigences de conformité pertinentes.
  • Sensibiliser davantage les employés et les cadres à la sécurité
  • Atteindre un haut niveau de confiance et de loyauté parmi toutes les parties intéressées
  • Démontrer aux autorités, telles que l'Agence fédérale allemande des réseaux (BNetzA), une preuve reconnue de l'efficacité de vos mesures de sécurité.

ISO 27006 - Exigences pour les organismes de certification

La norme ISO 27006 s'adresse aux organismes tels que le DQS qui effectuent des certifications de systèmes de gestion de la sécurité de l'information. La norme d'accréditation ISO 27006 décrit les exigences que les organismes de certification doivent suivre lorsqu'ils évaluent les systèmes de gestion de leurs clients selon la norme ISO 27001 en vue de leur certification.

ISO/IEC 27006:2015
Technologies de l'information - Techniques de sécurité - Exigences pour les organismes procédant à l'audit et à la certification de systèmes de gestion de la sécurité de l'information

Cela inclut par exemple la preuve d'efforts d'audit spécifiés ou des spécifications sur les qualifications des auditeurs. Les processus d'accréditation décrits dans la norme garantissent que les certificats ISO 27001 émis par des organismes de certification accrédités ont une validité internationale.

Ce que vous pouvez réaliser avec cette norme :

  • Des critères uniformes pour les procédures d'audit de certification, de surveillance et de recertification.
  • Garantir la validité des certificats ISO 27001
  • Garantir des exigences minimales pour l'effort d'audit et la qualification du personnel qui calcule et exécute les procédures de certification.
Loading...

ISO 27001 en pratique

Le guide d'audit DQS (basé sur l'ISO 27001:2013)

Bénéficiez de bonnes questions d'audit et de preuves possibles sur des contrôles séléctionnés de l'annexe A.

Par des experts en la matière.

ISO 27002 - Lignes directrices sur les contrôles de la sécurité de l'information

Le système de gestion de la sécurité de l'information (SGSI) selon l'ISO 27001 contient une annexe normative A : Objectifs et contrôles des mesures de référence.

ISO/IEC 27002:2022 Sécurité de l'information, cybersécurité et protection de la vie privée - Contrôles de sécurité de l'information

Cette annexe contient des mesures spécifiques à mettre en œuvre dans le cadre du système de management, en fonction de l'organisme. L'ISO 27002 est un guide contenant des recommandations pour la mise en œuvre des mesures de l'ISO 27001.

Vous pouvez le faire avec la norme :

  • Support pour la mise en œuvre de l'ISO 27001
  • Mettre en œuvre les recommandations pour les mesures de l'annexe A de l'ISO 27001

ISO 27000 - Vue d'ensemble et vocabulaire des systèmes de management de la sécurité de l'information

L'ISO 27000 contient des termes et des définitions qui sont utilisés dans la série de normes ISO 2700X. L'ISO 27000 donne un aperçu des systèmes de management de la sécurité de l'information et de la série de normes ISO 2700x avec leurs normes de sécurité de l'information.

ISO/IEC 27000:2018
Technologies de l'information - Techniques de sécurité - Systèmes de gestion de la sécurité de l'information - Vue d'ensemble et vocabulaire

Dans un glossaire, les termes (techniques) sont définis de manière explicite et formelle.

Ce que vous pouvez faire avec cette norme :

  • Glossaire : couverture de la plupart des termes techniques utilisés dans la série de normes ISO2700x dans le domaine de la sécurité de l'information.
  • Clarté de la terminologie
  • Compréhension claire du vocabulaire entre évaluateurs et évalués ("un langage commun")
  • Vue d'ensemble des systèmes de gestion de la sécurité de l'information : introduction à la sécurité de l'information, à la gestion des risques et de la sécurité, et aux systèmes de gestion

ISO 27701 - Lignes directrices sur la gestion de la protection des données

La norme de sécurité de l'information spécifiquement liée à la confidentialité des données ISO 27701 spécifie un système de gestion de la protection des données basé sur les normes ISO 27001, ISO 27002 (contrôles de la sécurité de l'information) et ISO 29100 (cadre de la confidentialité des données) pour traiter de manière appropriée le traitement des données personnelles et la sécurité de l'information. Cela s'applique à la fois aux contrôleurs et aux processeurs de données personnelles.

ISO/IEC 27701:2019-08 Techniques de sécurité - Extension aux normes ISO/IEC 27001 et ISO/IEC 27002 pour la gestion des informations sur la vie privée - Exigences et lignes directrices

Comment vous pouvez réussir avec cette norme :

  • Une meilleure gestion des données personnelles et de la sécurité des informations.
  • Application plus facile des principes communs de gestion des risques liés à l'information aux données personnelles
  • Alignez et étendez les contrôles de l'ISO 27001 ainsi que de l'ISO 27002 connexe.

ISO 27017 - Guide des mesures de sécurité de l'information dans les services en nuage (cloud)

La norme ISO 27017 fournit des lignes directrices sur les mesures de sécurité de l'information dans l'informatique en nuage dans le cadre des normes pour la sécurité de l'information.

ISO/IEC 27017:2015
Technologies de l'information - Techniques de sécurité - Code de pratique pour les contrôles de la sécurité de l'information basés sur l'ISO/IEC 27002 pour les services en nuage (cloud)

Elle recommande, soutient et fournit des mesures supplémentaires pour la mise en œuvre de contrôles de sécurité de l'information spécifiques au cloud.

Ce que vous pouvez réaliser avec cette norme :

  • Comprendre les aspects de sécurité de l'information du cloud computing.
  • Concevoir et mettre en œuvre des contrôles de sécurité de l'information spécifiques au cloud
  • Maîtriser les options de sélection, de mise en œuvre et de gestion de la sécurité des informations pour le cloud computing.

ISO 27018 - Lignes directrices sur la protection des données dans les services en nuage.

La norme ISO 27018 fournit des lignes directrices pour garantir que les fournisseurs de services en nuage offrent des contrôles de sécurité de l'information appropriés pour protéger la vie privée des clients de leurs clients en sécurisant les données personnelles qui leur sont confiées.

ISO/IEC 27018:2019
Technologies de l'information - techniques - Code de pratique pour la protection des informations personnellement identifiables (PII) dans les nuages publics agissant en tant que processeurs PII

Cette norme est suivie de la norme ISO 27017 (Mesures de sécurité de l'information dans les services en nuage), qui couvre d'autres aspects de sécurité de l'information du cloud computing que la seule protection des données.

Voici ce que vous pouvez faire avec cette norme :

  • Sélectionnez des contrôles de protection des IPI dans le cadre de la mise en œuvre d'un système de gestion de la sécurité de l'information de l'informatique en nuage basé sur la norme ISO 27001.
  • Mettre en œuvre des contrôles de protection des IPI communément acceptés.
  • Approfondir les connaissances car la norme est basée sur l'ISO 27002 et développe ses conseils généraux dans certains domaines.
  • Relier les principes de l'OCDE relatifs à la protection de la vie privée à plusieurs lois et réglementations sur la protection des données.

ISO 27005 - Lignes directrices pour le management des risques de sécurité de l'information.

La norme ISO 27005 fournit des lignes directrices sur le management des risques de sécurité de l'information et soutient les concepts généraux en la matière énoncés dans la norme ISO 27001.

ISO/IEC 27005:2018-07
Technologies de l'information - Techniques de sécurité informatique - Gestion des risques de sécurité de l'information.

L'ISO 27005 vise également à soutenir la mise en œuvre de la sécurité de l'information basée sur un concept de gestion des risques.

Pour ce faire, vous pouvez vous appuyer sur la norme :

  • Mettre en œuvre la sécurité de l'information sur la base d'une approche de gestion des risques.
  • Définition du contexte de la gestion des risques
  • Évaluation quantitative ou qualitative (c'est-à-dire identification, analyse et évaluation) des risques liés à l'information.
  • Surveillance et examen continus des risques, des traitements des risques, des exigences et des critères.
  • Traitement approprié des risques
  • Communication permanente avec toutes les parties prenantes
newsletter-dqs-frau schaut auf ihr smartphone
Loading...

Never miss a thing...

Notre bulletin d'information gratuit vous tient au courant des audits, des systèmes de gestion et des certifications. Lisez nos exemples de meilleures pratiques et obtenez des conseils pour votre calendrier.

ISO 27007 - Guide d'audit des SMSI

L'ISO 27007 est un guide pour la conduite d'audits et est destiné aux auditeurs internes et externes qui évaluent un SMSI selon l'ISO/CEI 27001.

ISO/IEC 27007:2020
Sécurité de l'information, cybersécurité et protection de la vie privée - Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information

Ce guide s'appuie largement sur le Guide pour l'audit des systèmes de management (ISO 19011) et fournit des indications supplémentaires pour un système de management de la sécurité de l'information (SMSI).

Voici comment vous pouvez réussir avec la norme :

  • Des conseils spécifiques pour les audits de SMSI ISO 27001
  • Des conseils sur la planification et la réalisation d'audits intégrés à la norme ISO 19011
  • Informations importantes sur les compétences des auditeurs de SMSI
  • Comprendre et réaliser des audits de SMSI

DQS - ce que nous pouvons faire pour vous

Depuis 1985, DQS est l'un des principaux spécialistes de la certification des systèmes et processus de gestion. Depuis lors, l'histoire de DQS est étroitement liée à l'histoire de l'ISO 9001. Nous mettons notre savoir-faire mondial et notre connaissance approfondie des normes au service de nos clients lors de quelque 30 000 journées d'audit par an. Vous pouvez donc voir quelles sont vos options.

Confiance et expertise

Nos textes et livres blancs sont rédigés exclusivement par nos experts en normes ou par des auditeurs de longue date. Il en va de même pour l'aperçu des normes de sécurité de l'information. Si vous avez des questions sur le contenu du texte ou sur nos services à l'auteur, n'hésitez pas à nous contacter.

Normes de sécurité de l'information : Autres sujets dans la famille des normes ISO 2700X

ISO 27003 - Guide pour le développement et la mise en œuvre d'un SMSI

ISO/IEC 27003:2017

Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Guide.

ISO 27004 - Guide sur les méthodes de mesure du management de la sécurité de l'information

ISO/IEC 27004:2016

Technologies de l'information - Techniques de sécurité - Management de la sécurité de l'information - Surveillance, mesure, analyse et évaluation.

ISO 27008 - Guide pour l'évaluation des mesures de sécurité de l'information.

ISO/IEC TS 27008:2019

Technologies de l'information - Techniques de sécurité - Lignes directrices pour l'évaluation des contrôles de sécurité de l'information.

ISO 27009 - Guide pour l'application sectorielle d'un système de management de l'information

ISO/IEC 27009:2020

Sécurité de l'information, cybersécurité et protection de la vie privée - Application sectorielle d'ISO/IEC 27001 - Exigences

ISO 27010 - Guide sur le management de la sécurité de l'information pour les communications intersectorielles et interorganisationnelles

ISO/IEC 27010:2015

Technologies de l'information - Techniques de sécurité - Gestion de la sécurité de l'information pour les communications intersectorielles et inter-organisationnelles.

ISO 27011 - Lignes directrices sur le management de la sécurité de l'information dans le secteur des télécommunications

ISO/IEC 27011:2016

Technologies de l'information - Techniques de sécurité - Code de pratique pour les contrôles de sécurité de l'information basés sur l'ISO/CEI 27002 pour les organismes de télécommunications.

ISO 27013 - Lignes directrices pour la mise en œuvre intégrée d'un SMSI et de la gestion des services de TI

ISO/IEC 27013:2021

Sécurité de l'information, cybersécurité et protection de la vie privée - Guide pour la mise en œuvre intégrée d'ISO/IEC 27001 et ISO/IEC 20000-1

ISO 27014 - "Gouvernance" de la sécurité de l'information

ISO/IEC DIS 27014:2020

Sécurité de l'information, cybersécurité et protection de la vie privée - Gouvernance de la sécurité de l'information

ISO 27016 - Économie de la gestion de la sécurité de l'information

ISO/IEC TR 27016:2014

Technologies de l'information - Techniques de sécurité - Management de la sécurité de l'information - Economie de l'organisation

ISO 27021 - Exigences relatives à la compétence des professionnels du SMSI

ISO/IEC 27021:2017/AMD 1:2021

echniques - Exigences relatives à la compétence des professionnels des systèmes de management de la sécurité de l'information - Amendement 1 : Ajout de clauses ou sous-clauses de l'ISO/CEI 27001:2013 aux exigences de compétence

ISO 27031 - Lignes directrices sur la continuité des activités

ISO/IEC 27031:2011

Technologies de l'information - Techniques de sécurité - Lignes directrices pour la préparation des technologies de l'information et de la communication à la continuité des activités

CONSEIL : Lisez notre article de blog sur la gestion de la continuité des activités pour savoir ce que la norme ISO 22301 recommande pour assurer la pérennité d'une entreprise dans des situations exceptionnelles.

ISO 27032 - Guide de la cybersécurité

ISO/IEC 27032:2012

Technologies de l'information - Techniques de sécurité - Lignes directrices pour la cybersécurité

ISO 27033 - Guide sur la sécurité des réseaux

ISO/IEC 27033

Technologies de l'information - Techniques de sécurité - Sécurité des réseaux
Partie 1 : Vue d'ensemble et concepts, Partie 2 : Lignes directrices pour la conception et la mise en oeuvre de la sécurité des réseaux, Partie 3 : Scénarios de référence pour les réseaux - Menaces, techniques de conception et questions de contrôle, Partie 4 : Sécurisation des communications entre réseaux à l'aide de passerelles de sécurité, Partie 5 : Sécurisation des communications entre réseaux à l'aide de réseaux privés virtuels (VPN), Partie 6 : Sécurisation de l'accès aux réseaux IP sans fil

ISO 27034 - Lignes directrices sur la sécurité des applications

ISO/IEC 27034

Technologies de l'information - Techniques de sécurité - Sécurité des applications
Partie 1 : Vue d'ensemble et concepts, Partie 2 : Cadre normatif de l'organisation, Partie 3 : Processus de gestion de la sécurité des applications, Partie 4 : Validation et vérification, Partie 5 : Structure des données des protocoles et des contrôles de sécurité des applications, Partie 6 : Études de cas, Partie 7 : Cadre de prédiction d'assurance

ISO 27035 - Guide pour la gestion des incidents de sécurité de l'information

ISO/IEC 27035

Technologies de l'information - Pratiques de sécurité informatique - Gestion des incidents de sécurité de l'information
Partie 1 : Principes fondamentaux de la gestion des incidents, Partie 2 : Lignes directrices pour la planification et la préparation de la réponse aux incidents, Partie 3 : Lignes directrices pour la réponse aux incidents liés aux technologies de l'information et des communications (projet)

ISO 27036 - Lignes directrices sur les relations avec les fournisseurs

ISO/IEC 27036

Technologies de l'information - Techniques de sécurité - Sécurité de l'information pour les relations avec les fournisseurs
Partie 1 : Aperçu et concepts, Partie 2 : Exigences, Partie 3 : Lignes directrices relatives à la sécurité de la chaîne d'approvisionnement des technologies de l'information et des communications, Partie 4 : Lignes directrices relatives à la sécurité des services en nuage

ISO 27037 - Lignes directrices pour le traitement des preuves numériques.

ISO/IEC 27037:2012

Technologies de l'information - Techniques de sécurité - Lignes directrices pour l'identification, la collecte, l'acquisition et la conservation des preuves numériques.

ISO 27038 - Spécifications pour l'expurgation numérique

ISO/IEC 27038:2014

Technologies de l'information - Techniques de sécurité - Spécification pour la rédaction numérique

ISO 27039 - Lignes directrices sur les systèmes de détection d'intrusion (IDPS)

ISO/IEC 27039:2015

Technologies de l'information - Techniques de sécurité - Sélection, déploiement et fonctionnement des systèmes de détection et de prévention d'intrusion (IDPS)

ISO 27040 - Lignes directrices sur la sécurité du stockage

ISO/IEC 27040:2015

Technologies de l'information - Techniques de sécurité - Sécurité du stockage

ISO 27041 - Lignes directrices sur les méthodes d'investigation des incidents

ISO/IEC 27041:2015

Technologies de l'information - Techniques de sécurité - Guide sur l'assurance de la pertinence et de l'adéquation de la méthode d'investigation des incidents

ISO 27042 - Guide pour l'analyse et l'interprétation des preuves numériques.

ISO/IEC 27042:2015

Technologies de l'information - Techniques de sécurité - Lignes directrices pour l'analyse et l'interprétation des preuves numériques.

ISO 27043 - Lignes directrices sur les processus d'investigation des incidents.

ISO/IEC 27043:2015

Technologies de l'information - Techniques de sécurité - Principes et processus d'enquête sur les incidents.

ISO 27050 - Lignes directrices sur la détection électronique

ISO/IEC 27050

Technologies de l'information - Découverte électronique
Partie 1 : Vue d'ensemble et concepts, Partie 2 : Lignes directrices pour la gouvernance et la gestion de la découverte électronique, Partie 3 : Code de pratique pour la découverte électronique.

ISO 27102 - Lignes directrices sur la cyberassurance

ISO/IEC 27102:2019

Management de la sécurité de l'information - Lignes directrices pour la cyber-assurance

ISO 27103 - Guide de la cybersécurité et des normes ISO/CEI

ISO/IEC TR 27103:2018

Technologies de l'information - Techniques de sécurité - Cybersécurité et normes ISO et CEI

ISO 27550 - Ingénierie de la confidentialité pour les processus du cycle de vie des systèmes

ISO/IEC TR 27550:2019-09

Technologies de l'information - Techniques de sécurité - Ingénierie de la confidentialité pour les processus du cycle de vie des systèmes

ISO 27799 - Management de la sécurité de l'information dans le secteur de la santé

ISO 27799:2016

Informatique de santé - Gestion de la sécurité de l'information dans le secteur de la santé utilisant l'ISO/IEC 27002

Auteur
Gert Krueger

Expert et chef de projet pour la sécurité de l'information, BSI-KritisV et la protection des données chez DQS. En outre, il est auditeur de longue date pour le management de la qualité et de l'environnement.

Loading...