Alter Mensa Alter Mensa
Normes & standards
Détails
Clics : 628

 

 

ISO 27001: quelles exigences pour un Système de Management de la Sécurité de l’Information (SMSI) ?

 

La norme ISO 27001 est une norme internationale sur le management de la sécurité de l’information. Cependant,  elle définit un système de management de la sécurité de l’information (SMSI) à mettre en place dans l’entreprise. De même le SMSI est l’organisation (processus, responsabilités, actions…) que l’entreprise doit mettre en place pour améliorer la sécurité de l’information.

Cette norme présente les exigences en matière d’organisation (système de management). Elle s’assure que la sécurité de l’information est bien maîtrisée :

  • La gouvernance liée à la sécurité de l’information et la stratégie.
  • Les processus nécessaires à la maîtrise de la sécurité de l’information.
  • Différentes méthodes pour ainsi analyser les risques et en rendre compte.
  • Les processus de mesure, de suivi et d’amélioration de la sécurité.
  • Les responsabilités liées à la sécurité de l’information.

L’entreprise peut donc obtenir la certification ISO 27001 délivrée par un organisme indépendant. Par ailleurs, il certifie donc la conformité du SMSI de l’entreprise. 

Quel est le périmètre et l'objet de la norme ISO 27001 ?

La norme ISO 27001 est un texte qui vise le contrôle, la sécurité et des services à travers la maîtrise de 4 domaines. 

  • Assurer la disponibilité des informations et des services.
  • Sécuriser l’intégrité des données critiques.
  • Garantir la confidentialité des données sensibles ou des données clients.
  • Assurer la disponibilité et la conformité des preuves légales et autres.

ISO 27001 est une norme pour l’ensemble de l’entreprise et non pas uniquement pour les systèmes d’information. Cette norme concerne potentiellement toute entreprise. De même, la certification ISO 27001 correspond à une volonté de monté son niveau de qualité de service via la sécurité. En fonction de ses clients et de son contexte concurrentiel, l’entreprise a plus ou moins d’intérêt à mettre en œuvre cette norme afin d’aller jusqu’à la certification.  En conséquence, plus le service est sensible et critique plus cette certification aura d’intérêt.

Pour obtenir la certification ISO 27001, vous devez répondre aux exigences de la norme iso 27001 en plus d’intégrer les contrôles opérationnels de la norme ISO 27002.

 Repondre au risque operationel AlterMensa

L'ISO27005 pour la gestion des risques des systémes d'information (texte de l anssi)

L'ISO a récemment publié la révision de la norme ISO/CEI 27005:2022. La norme ISO/CEI 27005, applicable à tous types d'organisation, est une norme internationale contenant les lignes directrices relatives à la gestion des risques en sécurité de l'information. Elle est conçue pour aider à la mise en place de la sécurité de l'information basée sur une approche de gestion des risques. La révision ISO/CEI 27005:2022 permet d'apporter et de diffuser au travers de la norme les innovations principales d'EBIOS Risk Manager. La task force d’experts français organisée par l’AFNOR (Structure AFNOR/CN CYBERSECURITE | Norm’Info) en lien avec le Club EBIOS et l’ANSSI (représentée par le bureau Management des Risques Cyber) a participé pendant plus de trois années aux travaux de révision de la norme ISO/CEI 27005.
 

À qui s’adresse la norme ISO 27005 ?

L'Organisation internationale de normalisation recommande la norme ISO 27005 aux entreprises, mais aussi aux établissements publics comme les “agences gouvernementales" ou OBNL, organismes à but non lucratif.

Concrètement, cette norme de sécurité de l'information se mobilise pour assurer la confidentialité des données, mais aussi l'accessibilité et l'intégrité des informations stratégiques pour l’organisation. Elle se déploie au sein de toutes les structures inquiétées par les cyberrisques et par l’accroissement continu de la data dans leurs services.

À quoi sert précisément la norme ISO/IEC 27005 ?

Derrière la norme se dresse une formation, laquelle permet aux collaborateurs de développer les compétences pour mettre en œuvre une gestion des risques informatiques performante. Les personnes formées à ISO 27005 sont théoriquement en mesure d’identifier le risque cyber, de l’analyser, de le mesurer et de le traiter.

L’objectif de cette norme consiste en outre à installer un SMSI, un Système de Management de la Sécurité de l'Information. Le SMSI comprend la définition de processus et de politiques de cybersécurité, doublés d’une approche d’amélioration continue de la gestion des risques. Il est censé prendre en compte les facteurs humains et techniques.

Dans cette optique, la norme ISO 27005 se déploie autour d'une logique assimilable à celle de l’amélioration continue PDCA (Plan, Do, Check, Act) :

  • Plan : Identification et évaluation des risques cyber, puis réflexion stratégique quant aux actions de réduction des risques ;
  • Do : Mise en place de ces actions ;
  • Check : Contrôle des résultats ;
  • Act : Suivi et amélioration de la stratégie de traitement des risques.

Quelles sont les formations ISO 27005 ?

Il existe plusieurs formations certifiantes pour se former à ISO 27005 :

  • ISO 27005 Foundation, qui donne accès à la certification PECB Certified ISO/CEI 27005 Foundation ;
  • ISO 27005 Certified Risk Manager avec EBIOS : cette formation envisage le management des risques au prisme de la méthode EBIOS. Elle donne donc accès à deux examens : PECB Certified ISO/CEI 27005 Risk Manager et PECB Certified EBIOS ;
  • ISO 27005 Certified Risk Manager avec la MEHARI, “méthode harmonisée d'analyse des risques”, développée par le CLUSIF en France ;
  • ISO 27005 Risk Manager de l’ANSSI, l'Agence nationale de la sécurité des systèmes d'information.

 

Questions techniques :
Question commerciale ?