Introduction

Publiée en 2005, l’ISO/CEI 27001 traite de la maîtrise des risques et des bonnes pratiques pour la gestion de la Sécurité de l’Information. Elle succède à la Norme BS 7799-2 du BSI1 sans intégrer certains aspects comme l’évolution de la compétitivité, de la rentabilité, des cash flows, le respect législatif et l’image de marque.

1. Domaine d’application

L’ISO27001 définit les exigences en termes de sécurité et les mesures de contrôle spécifiques, adaptées selon les besoins de chaque organisme, pour la mise en oeuvre, l’exploitation, la pertinence et l’évolution d’un Système de Management de la Sécurité de l’Information2.

L’ISMS2 a pour objectif la protection des informations contre toute perte, vol ou modification et la protection des systèmes informatiques contre toute intrusion.

L’ISO27001 est bâtie sur l’approche processus et l’application du modèle PDCA (Plan Do Check Act).

2. Étapes de mise en oeuvre

L’application d’un système de management des risques liés à la sécurité de l’information comprend les étapes suivantes :

  • étape 1 : l’identification des risques ;
  • étape 2 : l’identification des informations et des biens à protéger ;
  • étape 3 : l’évaluation et le traitement des risques (acceptation des risques, transfert des risques et mise en place de mesures protectrices) ;
  • étape 4 : la gestion de la sécurité à long terme et son amélioration continue.

 

3. Structure de l’ISO27001

La norme est constituée de 9 chapitres.
Les chapitres 4 à 8 contiennent les exigences à respecter pour obtenir une certification du système :

  • chapitre 4 : management du système (engagement, gestion des ressources) ;
  • chapitre 5 : responsabilités de la direction ;
  • chapitre 6 : audit interne du système ;
  • chapitre 7 : revue de direction ;
  • chapitre 8 : amélioration (amélioration continue, actions correctives et préventives).

 

L’annexe A normative, inclut les points contrôle et les objectifs de la Norme ISO/CEI 27002.

4. Processus de certification

La certification ISO27001 représente une sorte de garantie auprès des clients, des assureurs, des actionnaires, des partenaires. Elle assure que l’entreprise mène une politique efficace de la sécurité de son information et des informations des tiers dont elle dispose.

La certification est attribuée par le Laboratoire en Sciences et Technologies de l’Information, pour trois ans, avec audit de suivi annuel (voir « Q004 RC système ISO27001 », disponible sur demande auprès du LSTI).

1 : British Standards Institution.
2 : Information Security Management System.

Copyright : INFOQUALITE

Partager cet article