Retour à la liste des fiches

La norme ISO 27001

Classé dans la catégorie : Obligations & Certifications

La norme ISO 27001

L'ISO 27001 : Information Security Management System

Le cadre d'application

Cette norme reprend les bases de la BS 7799-2 avec en particulier son schéma de certification mature et éprouvé.

La norme ISO 27001, publiée en Novembre 2005 et révisée en 2013, pose le cadre du Management de la Sécurité de l'Information au sein d'une entreprise. Elle intègre les principes du management de l'ISO 9001 ainsi que le PDCA (Plan, Do, Check, Act du cycle de Deming) de l'amélioration continue.

PDCA

PDCA (Plan, Do, Check, Act) du cycle de Deming
  • Plan : Prévoir / Planifier
  • Do : Faire (mise en oeuvre)
  • Check : Vérifier
  • Act : (Ré)Agir
  • SMQ : Système de management de la qualité (pour éviter tout retour en arrière)

Cette norme est adaptée à tout type de structure, commerciale ou non, grande ou petite.

Le but de la norme ISO 27001

L'objectif de la norme ISO 27001 est de protéger la confidentialité, l'intégrité et la disponibilité des informations dans une entreprise. La philosophie principale de l'ISO 27001 est basée sur la gestion des risques.

Il ne s'agit pas seulement de la protection des données, mais également des bonnes pratiques qui viennent en complément des mesures techniques.

La mise en œuvre

Il est important de définir des procédures, des règles organisationnelles, des moyens techniques afin d'éviter les failles de sécurité et garantir ainsi la pérennité des données. La norme ISO 27001 décrit les moyens d'intégrer tous ces éléments dans le système de la gestion de la sécurité de l'information.

La gestion de la sécurité des informations ne concerne pas seulement la sécurité informatique (les pares-feux, les antivirus, etc.), elle concerne également la gestion des processus, la protection juridique, la gestion des ressources humaines, la protection physique, etc.

Contenu de la norme

La norme ISO 27001 sera composée de 6 familles de processus :

  1. Définir les exigences pour comprendre les problèmes externes et internes, les parties intéressées et leurs exigences, et définir la portée du SMSI (Système de Management de la sécurité de l'information).
  2. Définir une politique de la sécurité des informations, qui doit être établie et refléter l'engagement de la direction
  3. Planifier l'évaluation et le traitement des risques
  4. Planifier et définir les moyens à mettre en œuvre
  5. Mise en œuvre de l'évaluation, des contrôles et autres processus nécessaires pour atteindre les objectifs de sécurité de l'information
  6. Evaluation des performances par le biais d'analyses, d'audit…
  7. Amélioration de la situation par la mise en place de correctifs et d'amélioration continue
  8. Annexe A : cette annexe fournit un catalogue de 114 contrôles (garanties) répartis en 14 sections

Pour aller plus loin :

 

Si vous souhaitez participer à cette rubrique en soumettant des articles, ou des liens, n'hésitez pas...

 

Les dernières actualités de la prévention des risques professionnels

Les derniers produits des risques professionnels