La norme ISO 27001 est une norme internationale sur le management de la sécurité de l’information. Cependant, elle définit un système de management de la sécurité de l’information (SMSI) à mettre en place dans l’entreprise. De même le SMSI est l’organisation (processus, responsabilités, actions…) que l’entreprise doit mettre en place pour améliorer la sécurité de l’information.
Cette norme présente les exigences en matière d’organisation (système de management). Elle s’assure que la sécurité de l’information est bien maîtrisée :
L’entreprise peut donc obtenir la certification ISO 27001 délivrée par un organisme indépendant. Par ailleurs, il certifie donc la conformité du SMSI de l’entreprise.
La norme ISO 27001 est un texte qui vise le contrôle, la sécurité et des services à travers la maîtrise de 4 domaines.
ISO 27001 est une norme pour l’ensemble de l’entreprise et non pas uniquement pour les systèmes d’information. Cette norme concerne potentiellement toute entreprise. De même, la certification ISO 27001 correspond à une volonté de monté son niveau de qualité de service via la sécurité. En fonction de ses clients et de son contexte concurrentiel, l’entreprise a plus ou moins d’intérêt à mettre en œuvre cette norme afin d’aller jusqu’à la certification. En conséquence, plus le service est sensible et critique plus cette certification aura d’intérêt.
Pour obtenir la certification ISO 27001, vous devez répondre aux exigences de la norme iso 27001 en plus d’intégrer les contrôles opérationnels de la norme ISO 27002.
L'Organisation internationale de normalisation recommande la norme ISO 27005 aux entreprises, mais aussi aux établissements publics comme les “agences gouvernementales" ou OBNL, organismes à but non lucratif.
Concrètement, cette norme de sécurité de l'information se mobilise pour assurer la confidentialité des données, mais aussi l'accessibilité et l'intégrité des informations stratégiques pour l’organisation. Elle se déploie au sein de toutes les structures inquiétées par les cyberrisques et par l’accroissement continu de la data dans leurs services.
Derrière la norme se dresse une formation, laquelle permet aux collaborateurs de développer les compétences pour mettre en œuvre une gestion des risques informatiques performante. Les personnes formées à ISO 27005 sont théoriquement en mesure d’identifier le risque cyber, de l’analyser, de le mesurer et de le traiter.
L’objectif de cette norme consiste en outre à installer un SMSI, un Système de Management de la Sécurité de l'Information. Le SMSI comprend la définition de processus et de politiques de cybersécurité, doublés d’une approche d’amélioration continue de la gestion des risques. Il est censé prendre en compte les facteurs humains et techniques.
Dans cette optique, la norme ISO 27005 se déploie autour d'une logique assimilable à celle de l’amélioration continue PDCA (Plan, Do, Check, Act) :
Il existe plusieurs formations certifiantes pour se former à ISO 27005 :