La famille des normes ISO 27000

Description

La famille des normes ISO/IEC 27000 constitue le cadre international de référence pour le Système de Management de la Sécurité de l’Information (SMSI). Ces normes définissent à la fois les exigences fondamentales (le quoi faire), les lignes directrices de mise en œuvre (le comment faire), ainsi que des applications sectorielles et techniques spécifiques. Elles permettent aux organisations d’assurer la confidentialité, l’intégrité et la disponibilité des informations, tout en renforçant leur conformité réglementaire (RGPD, cybersécurité, etc.).

I. Normes d’exigences

Définissent « ce qu’il faut faire ».

· ISO/IEC 27000:2018 – Vue d’ensemble et vocabulaire du SMSI.

· ISO/IEC 27001:2022 – Exigences pour le Système de Management de la Sécurité de l’Information.

· ISO/IEC 27006:2015 – Exigences pour les organismes d’audit et de certification des SMSI.

II. Normes de lignes directrices – Famille du SMSI

Expliquent « comment faire ».

· ISO/IEC 27002:2022 – Mesures de sécurité de l'information, cybersécurité et vie privée.

· ISO/IEC 27003:2017 – Lignes directrices pour la mise en œuvre du SMSI.

· ISO/IEC 27004:2016 – Surveillance, mesurage, analyse et évaluation.

· ISO/IEC 27005:2018 – Gestion des risques liés à la sécurité de l'information.

· ISO/IEC 27007:2020 – Lignes directrices pour l’audit du SMSI.

· ISO/IEC TS 27008:2019 – Lignes directrices pour les auditeurs des contrôles de sécurité.

· ISO/IEC 27013:2021 – Mise en œuvre intégrée des ISO/IEC 27001 et 20000-1.

· ISO/IEC 27014:2020 – Gouvernance de la sécurité de l'information.

· ISO/IEC TR 27016:2014 – Aspects économiques et organisationnels de la sécurité.

III. Normes de lignes directrices spécifiques aux secteurs

· ISO/IEC 27010:2015 – Gestion de la sécurité pour les communications intersectorielles.

· ISO/IEC 27011:2016 – Code de bonne pratique pour les télécommunications.

· ISO/IEC TR 27015:2012 – Lignes directrices pour les services financiers.

· ISO/IEC 27017:2015 – Code de bonnes pratiques pour les services cloud.

IV. Normes de lignes directrices spécifiques aux mesures

· ISO/IEC 27031:2011 – Préparation des TIC pour la continuité d'activité.

· ISO/IEC 27032:2012 – Lignes directrices pour la cybersécurité.

· ISO/IEC 27033 (2010–2016) – Sécurité des réseaux.

· ISO/IEC 27034 (2011–2018) – Sécurité des applications.

· ISO/IEC 27035:2016 – Gestion des incidents de sécurité de l'information.

· ISO/IEC 27036 (2013–2014) – Sécurité dans les relations fournisseurs.

· ISO/IEC 27037:2012 – Gestion et préservation des preuves numériques.

· ISO/IEC 27038:2014 – Spécifications pour l’expurgation numérique.

· ISO/IEC 27039:2015 – Systèmes de détection et prévention d’intrusion.

· ISO/IEC 27040:2015 – Sécurité du stockage de l'information.

· ISO/IEC 27701:2019 (révision 2024 en préparation) – Extension vie privée.

· ISO 27799:2016 – Sécurité de l’information dans le secteur de la santé.

Résumé

La série ISO/IEC 27000 offre un cadre complet pour gérer les risques liés à la sécurité, mettre en place une gouvernance efficace, assurer la conformité réglementaire et renforcer la confiance des parties prenantes. Les versions récentes (ISO 27001:2022, ISO 27002:2022) permettent d’adapter la sécurité aux menaces actuelles et aux exigences internationales.