Qu’est-ce que la série de normes ISO 27000?

0 Comments

la famille de normes ISO/IEC 270001, également connue sous le nom de série ISO 27000, est une série de bonnes pratiques pour aider les organisations à améliorer leur sécurité de l’information.

publiée par L’ISO (Organisation Internationale de normalisation) et la CEI (Commission électrotechnique internationale), la série explique comment mettre en œuvre les meilleures pratiques en matière de sécurité de l’information.

une.,

pour ce faire, il définit les exigences du SMSI (système de gestion de la sécurité de l’information).

un SMSI est une approche systématique de la gestion des risques, contenant des mesures qui traitent des trois piliers de la sécurité de l’information: les personnes, les processus et la technologie.

la série se compose de 46 normes individuelles, y compris ISO 27000, qui fournit une introduction à la famille ainsi que des précisions sur les Termes et définitions clés.,

Vous n’avez pas besoin d’une compréhension complète des normes ISO pour voir comment la série fonctionne, et certaines ne seront pas pertinentes pour votre organisation, mais il y en a quelques-unes que vous devriez connaître.

ISO 27001

Il s’agit de la norme centrale de la série ISO 27000, contenant les exigences de mise en œuvre d’un SMSI.

ceci est important à retenir, car ISO IEC 27001: 2013 est la seule norme de la série sur laquelle les organisations peuvent être auditées et certifiées.,

c’est parce Qu’il contient un aperçu de tout ce que vous devez faire pour atteindre la conformité, qui est développé dans chacune des normes suivantes.

ISO 27002

Il s’agit d’une norme supplémentaire qui fournit un aperçu des contrôles de sécurité de l’information que les organisations pourraient choisir de mettre en œuvre.

les Organisations sont seulement tenues d’adopter des contrôles qu’elles jugent pertinents – ce qui deviendra évident lors d’une évaluation des risques.,

Les contrôles sont décrits dans L’Annexe A D’ISO 27001, mais alors qu’il s’agit essentiellement d’un aperçu rapide, ISO 27002 contient un aperçu plus complet, expliquant comment chaque contrôle fonctionne, quel est son objectif et comment vous pouvez le mettre en œuvre.

ISO 27017 et ISO 27018

ces normes ISO supplémentaires ont été introduites en 2015, expliquant comment les organisations devraient protéger les informations sensibles dans le Cloud.

cela est devenu particulièrement important récemment, car les organisations migrent une grande partie de leurs informations sensibles vers des serveurs en ligne.,

ISO 27017 est un code de pratique pour la sécurité de l’information, fournissant des informations supplémentaires sur la façon d’appliquer les contrôles de l’Annexe A aux informations stockées dans le Cloud.

en vertu de la norme ISO 27001, vous avez le choix de les traiter comme un ensemble distinct de contrôles. Ainsi, vous choisiriez un ensemble de contrôles de L’Annexe A pour vos données « normales » et un ensemble de contrôles de la norme ISO 27017 pour les données dans le Cloud.

ISO 27018 fonctionne essentiellement de la même manière, mais avec une considération supplémentaire pour les données personnelles.,

ISO 27701

Cette norme est la plus récente de la série ISO 27000, couvrant ce que les organisations doivent faire lors de la mise en œuvre d’un PIMS (privacy information management system).

Il a été créé en réponse au RGPD (Règlement Général sur la Protection des données), qui demande aux organisations d’adopter des « mesures techniques et organisationnelles appropriées” pour protéger les données personnelles, mais ne précise pas comment elles doivent le faire.

ISO 27701 comble cette lacune, en boulonnant essentiellement les contrôles de traitement de la confidentialité sur ISO 27001.

Pourquoi utiliser une norme ISO 27000?,

Les violations de données sont l’un des plus grands risques de sécurité de l’information auxquels les entreprises sont confrontées. De nos jours, les données sensibles sont utilisées dans tous les domaines d’activité, ce qui augmente leur valeur pour une utilisation légitime et illégitime.

D’innombrables incidents se produisent chaque mois, qu’il s’agisse de cybercriminels qui piratent une base de données ou d’employés qui perdent ou détournent des informations. Partout où les données vont, les dommages financiers et de réputation causés par une violation peuvent être dévastateurs.,

c’est pourquoi les organisations investissent de plus en plus massivement dans leurs défenses, en utilisant ISO 27001 comme ligne directrice pour une sécurité efficace.

ISO 27001 peut être appliquée à des organisations de toute taille et de tout secteur, et l’étendue du Cadre signifie que sa mise en œuvre sera toujours adaptée à la taille de l’entreprise.

Vous pouvez découvrir comment démarrer avec la norme en lisant la sécurité de l’Information& ISO 27001: une introduction.,

Ce livre vert gratuit explique:

  • ce qu’est ISO 27001, comment fonctionne un SMSI et comment il se rapporte à ISO 9001, ISO 27002 et d’autres normes;
  • l’importance des évaluations des risques et des plans de traitement des risques;
  • Comment la norme vous aide à respecter vos obligations légales et réglementaires; et
  • vos exigences en matière d’audit et de certification.,

Une version de ce blog a été initialement publié le 10 octobre 2019.

lecture Recommandée:

  • Quelle est la différence entre la norme ISO 27000 et 27001


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *