Introduction

La Norme internationale ISO/CEI 27002-2005 est un code de bonnes pratiques pour la gestion de la Sécurité de l’Information. ISO/CEI 27002 est composée de 133 bonnes pratiques utilisables pour la mise en place d’un ISMS1. Cette norme est issue de la BS 7799-1 (datant de 1995) qui en 2000 a évolué en norme ISO 17799 puis en ISO 27002 en 2005.

1. Domaine d’application

L’ISO 27002 a pour objectif d’aider à l’évaluation et au traitement des risques de sécurité des informations liés à la confidentialité, l’integrité et aux aspects de la disponibilité.

Elle fait application du modèle de gestion de la qualité PDCA (Plan Do Check Act).

2. Structure de la Norme ISO 27002

La Norme ISO 27002 inclut 15 chapitres.

Les 4 premiers sont des chapitres d’introduction, et les 11 suivants sont déstinés aux aspects stratégiques et opérationnels du management de la sécurité et représentent ses objectifs principaux à atteindre :

  • Chapitre 5. Politique de sécurité.
  • Chapitre 6. Organisation de la sécurité de l’information.
  • Chapitre 7. Gestion des biens (actifs/assets) – des biens physiques, des informations, des logiciels, des services de la documentation.
  • Chapitre 8. Sécurité des ressources humaines.
  • Chapitre 9. Sécurité physique et de l’environnement.
  • Chapitre 10. Gestion des communications et des opérations.
  • Chapitre 11. Contrôle d’accès.
  • Chapitre 12. Acquisition, développement et maintenance des systèmes d’informations.
  • Chapitre 13. Gestion des incidents à la sécurité de l’information.
  • Chapitre 14. Gestion du plan de continuité de l’activité.
  • Chapitre 15. Conformité avec les réglementations, les lois et la politique de sécurité.

 

3. Une étape vers la certification ISO 27001

La norme ISO/CEI 27002 est de plus en plus utilisée par les entreprises du secteur privé, notamment comme référentiel d’audit et de contrôle, en complément d’une politique de sécurité de l’information.

Le respect de cette norme permet la mise en oeuvre d’un Système de Management de la Sécurité de l’Information et une éventuelle certification ISO/CEI 27001.

1 : Information Security Management System

Copyright : INFOQUALITE

Partager cet article