À une époque où les données et les informations sont négociées comme des marchandises, il est essentiel de les protéger. Une façon d'y parvenir est de mettre en place un management de la sécurité de l'information basée sur la série de normes ISO/CEI 2700x sur la sécurité de l'information. Il s'agit d'une famille internationale de normes pour la sécurité des TI et la sécurité de l'information dans les organisations privées, publiques ou à but non lucratif. Sur la base de la norme ISO 27001, il est possible de mettre en place un système de management de la sécurité de l'information (SMSI) que les organisations et les autorités publiques peuvent mettre en place, exploiter et faire certifier pour leur propre protection.
Des normes pour la sécurité de l'information : La famille des normes ISO 2700X
Les différentes normes de sécurité de l'information de la série ISO 2700x traitent de divers sujets dans le domaine de la sécurité de l'information. Par exemple, la norme internationale spécifie ISO 27001 un système de management de la sécurité de l'information (SMSI) ISO 27701 un système de management de la protection des données, l'ISO 27017 fournit des lignes directrices sur les mesures de sécurité de l'information pour l'informatique en nuage, et l'ISO 27005 fournit des lignes directrices pour le management des risques de sécurité de l'information.
Les entreprises de tous les secteurs peuvent bénéficier de l'approche systématiquement structurée de ces normes pour la sécurité de l'information. Elle permet de protéger les données confidentielles contre la perte et l'utilisation abusive, et aide à identifier et à réduire de manière fiable les menaces (potentielles). Cette approche permet de garantir la disponibilité des systèmes informatiques de l'entreprise, contribuant ainsi à l'optimisation des processus commerciaux, des coûts informatiques et des processus, et à la réduction des risques commerciaux et de responsabilité.
La certification est un avantage concurrentiel
La certification ISO 27001, par exemple par DQS, exige une certaine préparation et des efforts. Cependant, l'entreprise fournit la preuve documentée qu'elle se conforme aux exigences de sécurité de l'information et qu'elle met en place des mesures pour protéger les données sensibles de l'entreprise. Il s'agit là d'un avantage concurrentiel évident.
Dix normes ISO sur la sécurité de l'information que vous devriez connaître
La liste ci-dessous donne un aperçu informatif de l'état actuel de la série de normes ISO 2700x en matière de sécurité de l'information. Toutes les normes sont disponibles à l'achat sur le site Web de l'ISO.
ISO 27001 - Exigences relatives aux systèmes de management de la sécurité de l'information
À une époque où les données et les informations se négocient comme des denrées rares, leur protection est essentielle. Une base optimale pour la mise en place efficace d'une stratégie de sécurité holistique est fournie par un système de management de la sécurité de l'information (SMSI) bien structuré, conforme à la norme ISO 27001. Il s'agit d'une norme internationalement reconnue pour la sécurité de l'information dans les organisations privées, publiques ou à but non lucratif, qui ne couvre pas seulement les aspects de la sécurité informatique.
Un SMSI ISO 27001 définit des exigences, des règles et des méthodes pour assurer la sécurité des informations qui doivent être protégées dans les organisations. La norme ISO fournit un modèle pour établir, mettre en œuvre, surveiller et améliorer le niveau de protection. L'objectif est d'identifier les risques potentiels pour l'entreprise, de les analyser et de les rendre maîtrisables par des mesures appropriées. La norme ISO 27001 formule les exigences d'un tel système de management, qui sont auditées dans le cadre d'un processus de certification externe .
La norme vous permet d'y parvenir :
- Faire de la sécurité des informations sensibles une partie intégrante des processus de l'entreprise.
- Sauvegarde préventive des objectifs de protection : confidentialité, disponibilité et intégrité des informations.
- Maintien de la continuité des activités par l'amélioration continue du niveau de sécurité
- Sensibilisation des employés et augmentation significative de la conscience de la sécurité à tous les niveaux de l'entreprise
- Établissement de la confiance avec les parties intéressées
- Mise en place d'un processus efficace de management des risques
ISO/IEC 27001:2013Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences
ISO 27019 - Mesures de sécurité de l'information pour la fourniture d'énergie.
La norme de sécurité de l'information ISO 27019 formule des mesures complémentaires pour le secteur de l'industrie énergétique.
ISO/IEC 27019:2017Technologies de l'information - Techniques de sécurité - Contrôles de sécurité de l'information pour le secteur de l'industrie de l'énergie.
Elle vous aide à sécuriser vos systèmes électroniques de contrôle de processus utilisés pour contrôler et surveiller la production, la transmission, le stockage et la distribution d'énergie électrique, de gaz, de pétrole et de chaleur, et pour contrôler les processus de soutien connexes.
Ce que vous pouvez faire avec la norme :
- Assurer systématiquement les objectifs de protection de la confidentialité, de la disponibilité et de l'intégrité des informations.
- Améliorer continuellement le niveau de sécurité et la résistance aux accès non autorisés.
- Obtenir une plus grande sécurité d'action et une certitude juridique, améliorer le respect des exigences de conformité pertinentes.
- Sensibiliser davantage les employés et les cadres à la sécurité
- Atteindre un niveau élevé de confiance et de loyauté parmi toutes les parties intéressées
- Démontrer aux autorités, telles que l'Agence fédérale allemande des réseaux (BNetzA), une preuve reconnue de l'efficacité de vos mesures de sécurité.
ISO 27006 - Exigences pour les organismes de certification
La norme ISO 27006 s'adresse aux organismes tels que DQS qui effectuent des certifications de systèmes de management de la sécurité de l'information. La norme d'accréditation ISO 27006 décrit les exigences que les organismes de certification doivent suivre lorsqu'ils évaluent les systèmes de management de leurs clients selon la norme ISO 27001 en vue de leur certification.
ISO/IEC 27006:2015Technologies de l'information - Techniques de sécurité - Exigences pour les organismes procédant à l'audit et à la certification de systèmes de management de la sécurité de l'information
Cela inclut par exemple la preuve d'efforts d'audit spécifiés ou des spécifications sur les qualifications des auditeurs. Les processus d'accréditation décrits dans la norme garantissent que les certificats ISO 27001 émis par des organismes de certification accrédités ont une validité internationale.
Ce que vous pouvez réaliser avec cette norme :
- Des critères uniformes pour les procédures d'audit de certification, de surveillance et de recertification.
- Garantir la validité des certificats ISO 27001
- Garantir des exigences minimales pour l'effort d'audit et la qualification du personnel qui calcule et exécute les procédures de certification.
ISO 27002 - Lignes directrices sur les contrôles de la sécurité de l'information
Le système de management de la sécurité de l'information (SMSI) selon l'ISO 27001 contient une annexe normative A : Objectifs et contrôles des mesures de référence.
ISO/IEC 27002:2022 Sécurité de l'information, cybersécurité et protection de la vie privée - Contrôles de sécurité de l'information
Cette annexe contient des mesures spécifiques à mettre en œuvre dans le cadre du système de management, en fonction de l'organisme. L'ISO 27002 est un guide contenant des recommandations pour la mise en œuvre des mesures de l'ISO 27001.
Vous pouvez le faire avec la norme :
- Support pour la mise en place de l'ISO 27001
- Mettre en place les recommandations pour les mesures de l'annexe A de l'ISO 27001
ISO 27000 - Vue d'ensemble et vocabulaire des systèmes de management de la sécurité de l'information
L'ISO 27000 contient des termes et des définitions qui sont utilisés dans la série de normes ISO 2700X. L'ISO 27000 donne un aperçu des systèmes de management de la sécurité de l'information et de la série de normes ISO 2700x avec leurs normes de sécurité de l'information.
ISO/IEC 27000:2018Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Vue d'ensemble et vocabulaire
Dans un glossaire, les termes (techniques) sont définis de manière explicite et formelle.
Ce que vous pouvez faire avec cette norme :
- Glossaire : couverture de la plupart des termes techniques utilisés dans la série de normes ISO2700x dans le domaine de la sécurité de l'information.
- Clarté de la terminologie
- Compréhension claire du vocabulaire entre évaluateurs et évalués ("un langage commun")
- Vue d'ensemble des systèmes de management de la sécurité de l'information : introduction à la sécurité de l'information, au management des risques et de la sécurité, et aux systèmes de management
ISO 27701 - Lignes directrices sur le management de la protection des données
La norme de sécurité de l'information spécifiquement liée à la confidentialité des données ISO 27701 spécifie un système de management de la protection des données basé sur les normes ISO 27001, ISO 27002 (contrôles de la sécurité de l'information) et ISO 29100 (cadre de la confidentialité des données) pour traiter de manière appropriée le traitement des données à caractère personnel et la sécurité de l'information. Cela s'applique à la fois aux contrôleurs et aux processeurs de données personnelles.
ISO/IEC 27701:2019-08 Techniques de sécurité - Extension aux normes ISO/IEC 27001 et ISO/IEC 27002 pour le management des informations sur la vie privée - Exigences et lignes directrices
Comment vous pouvez réussir avec cette norme :
- Un meilleur management des données personnelles et de la sécurité des informations.
- Application plus facile des principes communs de management des risques liés à l'information aux données personnelles
- Alignez et étendez les contrôles de l'ISO 27001 ainsi que de l'ISO 27002 connexe.
ISO 27017 - Guide des mesures de sécurité de l'information dans les services en nuage (cloud)
La norme ISO 27017 fournit des lignes directrices sur les mesures de sécurité de l'information dans l'informatique en nuage dans le cadre des normes pour la sécurité de l'information.
ISO/IEC 27017:2015Technologies de l'information - Techniques de sécurité - Code de pratique pour les contrôles de la sécurité de l'information basés sur l'ISO/IEC 27002 pour les services en nuage (cloud)
Elle recommande, soutient et fournit des mesures supplémentaires pour la mise en place de contrôles de sécurité de l'information spécifiques au cloud.
Ce que vous pouvez réaliser avec cette norme :
- Comprendre les aspects de sécurité de l'information du cloud computing.
- Concevoir et mettre en place des contrôles de sécurité de l'information spécifiques au cloud
- Maîtriser les options de sélection, de mise en place et de management de la sécurité des informations pour le cloud computing.
ISO 27018 - Lignes directrices sur la protection des données dans les services en nuage.
La norme ISO 27018 fournit des lignes directrices pour garantir que les fournisseurs de services en nuage offrent des contrôles de sécurité de l'information appropriés pour protéger la vie privée des clients de leurs clients en sécurisant les données personnelles qui leur sont confiées.
ISO/IEC 27018:2019Technologies de l'information - techniques - Code de pratique pour la protection des informations personnellement identifiables (PII) dans les nuages publics agissant en tant que processeurs PII
Cette norme est suivie de la norme ISO 27017 (Mesures de sécurité de l'information dans les services en nuage), qui couvre d'autres aspects de sécurité de l'information du cloud computing que la seule protection des données.
Voici ce que vous pouvez faire avec cette norme :
- Sélectionnez des contrôles de protection des IPI dans le cadre de la mise en place d'un système de management de la sécurité de l'information de l'informatique en nuage basé sur la norme ISO 27001.
- Mettre en place des contrôles de protection des IPI communément acceptés.
- Approfondir les connaissances car la norme est basée sur l'ISO 27002 et développe ses conseils généraux dans certains domaines.
- Relier les principes de l'OCDE relatifs à la protection de la vie privée à plusieurs lois et réglementations sur la protection des données.
ISO 27005 - Lignes directrices pour le management des risques de sécurité de l'information.
La norme ISO 27005 fournit des lignes directrices sur le management des risques de sécurité de l'information et soutient les concepts généraux en la matière énoncés dans la norme ISO 27001.
ISO/IEC 27005:2018-07Technologies de l'information - Techniques de sécurité informatique - Management des risques de sécurité de l'information.
L'ISO 27005 vise également à soutenir la mise en place de la sécurité de l'information basée sur un concept de management des risques.
Pour ce faire, vous pouvez vous appuyer sur la norme :
- Mettre en place la sécurité de l'information sur la base d'une approche de management des risques.
- Définition du contexte du management des risques
- Évaluation quantitative ou qualitative (c'est-à-dire identification, analyse et évaluation) des risques liés à l'information.
- Surveillance et examen continus des risques, des traitements des risques, des exigences et des critères.
- Traitement approprié des risques
- Communication permanente avec toutes les parties prenantes
Ne jamais rien rater...
Notre bulletin d'information gratuit vous tient au courant des audits, des systèmes de management et des certifications. Lisez nos exemples de meilleures pratiques et obtenez des conseils pour votre calendrier.
ISO 27007 - Guide d'audit des SMSI
L'ISO 27007 est un guide pour la conduite d'audits et est destiné aux auditeurs internes et externes qui évaluent un SMSI selon l'ISO/CEI 27001.
ISO/IEC 27007:2020Sécurité de l'information, cybersécurité et protection de la vie privée - Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information
Ce guide s'appuie largement sur le Guide pour l'audit des systèmes de management (ISO 19011) et fournit des indications supplémentaires pour un système de management de la sécurité de l'information (SMSI).
Voici comment vous pouvez réussir avec la norme :
- Des conseils spécifiques pour les audits de SMSI ISO 27001
- Des conseils sur la planification et la réalisation d'audits intégrés à la norme ISO 19011
- Informations importantes sur les compétences des auditeurs de SMSI
- Comprendre et réaliser des audits de SMSI
DQS - ce que nous pouvons faire pour vous
Depuis 1985, DQS est l'un des principaux spécialistes de la certification des systèmes et processus de management. Depuis lors, l'histoire de DQS est étroitement liée à l'histoire de l'ISO 9001. Nous mettons notre savoir-faire mondial et notre connaissance approfondie des normes au service de nos clients lors de quelque 30 000 journées d'audit par an. Vous pouvez donc voir quelles sont vos options.
Confiance et expertise
Nos textes et livres blancs sont rédigés exclusivement par nos experts en normes ou par des auditeurs de longue date. Il en va de même pour l'aperçu des normes de sécurité de l'information. Si vous avez des questions sur le contenu du texte ou sur nos services à l'auteur, n'hésitez pas à nous contacter.
Normes de sécurité de l'information : Autres sujets dans la famille des normes ISO 2700X
ISO 27003 - Guide pour le développement et la mise en œuvre d'un SMSI
ISO/IEC 27003:2017
Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Guide.
ISO 27004 - Guide sur les méthodes de mesure du management de la sécurité de l'information
ISO/IEC 27004:2016
Technologies de l'information - Techniques de sécurité - Management de la sécurité de l'information - Surveillance, mesure, analyse et évaluation.
ISO 27008 - Guide pour l'évaluation des mesures de sécurité de l'information.
ISO/IEC TS 27008:2019
Technologies de l'information - Techniques de sécurité - Lignes directrices pour l'évaluation des contrôles de sécurité de l'information.
ISO 27009 - Guide pour l'application sectorielle d'un système de management de l'information
ISO/IEC 27009:2020
Sécurité de l'information, cybersécurité et protection de la vie privée - Application sectorielle d'ISO/IEC 27001 - Exigences
ISO 27010 - Guide sur le management de la sécurité de l'information pour les communications intersectorielles et interorganisationnelles
ISO/IEC 27010:2015
Technologies de l'information - Techniques de sécurité - Management de la sécurité de l'information pour les communications intersectorielles et inter-organisationnelles.
ISO 27011 - Lignes directrices sur le management de la sécurité de l'information dans le secteur des télécommunications
ISO/IEC 27011:2016
Technologies de l'information - Techniques de sécurité - Code de pratique pour les contrôles de sécurité de l'information basés sur l'ISO/CEI 27002 pour les organismes de télécommunications.
ISO 27013 - Lignes directrices pour la mise en œuvre intégrée d'un SMSI et de le management des services de TI
ISO/IEC 27013:2021
Sécurité de l'information, cybersécurité et protection de la vie privée - Guide pour la mise en œuvre intégrée d'ISO/IEC 27001 et ISO/IEC 20000-1
ISO 27014 - "Gouvernance" de la sécurité de l'information
ISO/IEC DIS 27014:2020
Sécurité de l'information, cybersécurité et protection de la vie privée - Gouvernance de la sécurité de l'information
ISO 27016 - Économie du management de la sécurité de l'information
ISO/IEC TR 27016:2014
Technologies de l'information - Techniques de sécurité - Management de la sécurité de l'information - Economie de l'organisation
ISO 27021 - Exigences relatives à la compétence des professionnels du SMSI
ISO/IEC 27021:2017/AMD 1:2021
Techniques - Exigences relatives à la compétence des professionnels des systèmes de management de la sécurité de l'information - Amendement 1 : Ajout de clauses ou sous-clauses de l'ISO/CEI 27001:2013 aux exigences de compétence
ISO 27031 - Lignes directrices sur la continuité des activités
ISO/IEC 27031:2011
Technologies de l'information - Techniques de sécurité - Lignes directrices pour la préparation des technologies de l'information et de la communication à la continuité des activités
CONSEIL : Lisez notre article de blog sur le management de la continuité des activités pour savoir ce que la norme ISO 22301 recommande pour assurer la pérennité d'une entreprise dans des situations exceptionnelles.
ISO 27032 - Guide de la cybersécurité
ISO/IEC 27032:2012
Technologies de l'information - Techniques de sécurité - Lignes directrices pour la cybersécurité
ISO 27033 - Guide sur la sécurité des réseaux
ISO/IEC 27033
Technologies de l'information - Techniques de sécurité - Sécurité des réseaux
Partie 1 : Vue d'ensemble et concepts, Partie 2 : Lignes directrices pour la conception et la mise en place de la sécurité des réseaux, Partie 3 : Scénarios de référence pour les réseaux - Menaces, techniques de conception et questions de contrôle, Partie 4 : Sécurisation des communications entre réseaux à l'aide de passerelles de sécurité, Partie 5 : Sécurisation des communications entre réseaux à l'aide de réseaux privés virtuels (VPN), Partie 6 : Sécurisation de l'accès aux réseaux IP sans fil
ISO 27034 - Lignes directrices sur la sécurité des applications
ISO/IEC 27034
Technologies de l'information - Techniques de sécurité - Sécurité des applications
Partie 1 : Vue d'ensemble et concepts, Partie 2 : Cadre normatif de l'organisation, Partie 3 : Processus de management de la sécurité des applications, Partie 4 : Validation et vérification, Partie 5 : Structure des données des protocoles et des contrôles de sécurité des applications, Partie 6 : Études de cas, Partie 7 : Cadre de prédiction de l'assurance
ISO 27035 - Guide pour le management des incidents de sécurité de l'information
ISO/IEC 27035
Technologies de l'information - Pratiques de sécurité informatique - Management des incidents de sécurité de l'information
Partie 1 : Principes fondamentaux du management des incidents, Partie 2 : Lignes directrices pour la planification et la préparation des réponses aux incidents, Partie 3 : Lignes directrices pour la réponse aux incidents liés aux technologies de l'information et des communications (projet)
ISO 27036 - Lignes directrices sur les relations avec les fournisseurs
ISO/IEC 27036
Technologies de l'information - Techniques de sécurité - Sécurité de l'information pour les relations avec les fournisseurs
Partie 1 : Aperçu et concepts, Partie 2 : Exigences, Partie 3 : Lignes directrices relatives à la sécurité de la chaîne d'approvisionnement des technologies de l'information et des communications, Partie 4 : Lignes directrices relatives à la sécurité des services en nuage
ISO 27037 - Lignes directrices pour le traitement des preuves numériques.
ISO/IEC 27037:2012
Technologies de l'information - Techniques de sécurité - Lignes directrices pour l'identification, la collecte, l'acquisition et la conservation des preuves numériques.
ISO 27038 - Spécifications pour l'expurgation numérique
ISO/IEC 27038:2014
Technologies de l'information - Techniques de sécurité - Spécification pour la rédaction numérique
ISO 27039 - Lignes directrices sur les systèmes de détection d'intrusion (IDPS)
ISO/IEC 27039:2015
Technologies de l'information - Techniques de sécurité - Sélection, déploiement et fonctionnement des systèmes de détection et de prévention d'intrusion (IDPS)
ISO 27040 - Lignes directrices sur la sécurité du stockage
ISO/IEC 27040:2015
Technologies de l'information - Techniques de sécurité - Sécurité du stockage
ISO 27041 - Lignes directrices sur les méthodes d'investigation des incidents
ISO/IEC 27041:2015
Technologies de l'information - Techniques de sécurité - Guide sur l'assurance de la pertinence et de l'adéquation de la méthode d'investigation d'incident
ISO 27042 - Guide pour l'analyse et l'interprétation des preuves numériques.
ISO/IEC 27042:2015
Technologies de l'information - Techniques de sécurité - Lignes directrices pour l'analyse et l'interprétation des preuves numériques.
ISO 27043 - Lignes directrices sur les processus d'investigation des incidents.
ISO/IEC 27043:2015
Technologies de l'information - Techniques de sécurité - Principes et processus d'enquête sur les incidents.
ISO 27050 - Lignes directrices sur la détection électronique
ISO/IEC 27050
Technologies de l'information - Découverte électronique
Partie 1 : Aperçu et concepts, Partie 2 : Guide pour la gouvernance et le management de la découverte électronique, Partie 3 : Code de pratique pour la découverte électronique
ISO 27102 - Lignes directrices sur la cyberassurance
ISO/IEC 27102:2019
Management de la sécurité de l'information - Lignes directrices pour la cyber-assurance
ISO 27103 - Guide de la cybersécurité et des normes ISO/CEI
ISO/IEC TR 27103:2018
Technologies de l'information - Techniques de sécurité - Cybersécurité et normes ISO et CEI
ISO 27550 - Ingénierie de la confidentialité pour les processus du cycle de vie des systèmes
ISO/IEC TR 27550:2019-09
Technologies de l'information - Techniques de sécurité - Ingénierie de la confidentialité pour les processus du cycle de vie des systèmes
ISO 27799 - Management de la sécurité de l'information dans le secteur de la santé
ISO 27799:2016
Informatique de santé - Management de la sécurité de l'information dans le secteur de la santé utilisant l'ISO/IEC 27002
Bulletin d'information DQS
Gert Krueger
Expert et chef de projet pour la sécurité de l'information, BSI-KritisV et la protection des données chez DQS. En outre, il est auditeur de longue date pour le management de la qualité et de l'environnement.