Fiches pratiques > La norme ISO 27001

L'ISO 27001 : Information Security Management System

Le cadre d'application

La norme ISO 27001, publiée en Novembre 2005, pose le cadre du Management de la Sécurité de l'Information au sein d'une entreprise. Elle intègre les principes du management de l'ISO 9001 ainsi que le PDCA (Plan, Do, Check, Act du cycle de Deming) de l'amélioration continue.

La norme ISO 27001 est le cadre de référence pour la certification pour la sécurité des informations. L'ISO 17799 est un guide de Bonnes Pratiques pour la sécurité des informations et l'ISO 27001 sera le cadre de son management.

Cette norme reprend les bases de la BS 7799-2 avec en particulier son schéma de certification mature et éprouvé.

Contenu de la norme

La norme ISO 27001 sera composée de 6 familles de processus :

1. Définir une politique de la sécurité des informations,
2. Définir le périmètre du Système de Management de la sécurité de l'information,
3. Réaliser une évaluation des risques liés à la sécurité,
4. Gérer les risques identifiés,
5. Choisir et mettre en oeuvre les contrôles,
6. Préparer un SoA ("statement of applicability").

L'annexe A de la norme précise les domaines ou il convient de conduire une analyse de risque. Ces domaines sont :

• Management of external parties
• Asset management - Information classification,
• Human ressource security,
• Physical and environmental security,
• Communication and operation management,
• Third party service delivery management,
• Protection against malicious and mobile code,
• Back-up,
• Network security management,
• Media handling,
• Exchange of information,
• Access control,
• User access management,
• User responsibility,
• Network access control,
• Operating system access control,
• Application and information access control,
• Mobile computing and teleworking,
• Information systems acquisition, development and maintenance,
• Security requirements of information systems
• Correct processing in applications,
• Cryptographic controls
• Security of system files,
• Security in development and support processes,
• Technical vulnerability management,
• Information security incident management,
• Reporting information security events and weaknesses,
• Management of information security incidents and improvements,
• Business continuity management,
• Compliance,
• Information systems audit considerations

Commander la norme ISO 27001.

Voir également la présentation de HSC, ainsi que le dossier de "La Lettre de la confiance" (au format pdf).

 

Pub