Le management du digital
Rechercher

La norme ISO 27002 : mise en œuvre du système de management de la sécurité de l'information

8,33 € HT
soit 10,00 € TTC
Pour lire la suite de cet article :

La norme ISO 27002 regroupe les bonnes pratiques de sécurité, réparties en onze chapitres décrivant trente-neuf objectifs de contrôle.

Les risques informatiques sont multiples et en évolution constante. Pour cette raison, la mise en place de processus pour assurer la sécurité du système d’information est essentielle. Un cadre clair et structuré est un prérequis à toute démarche de sécurité efficace et durable, avant même l’expertise technique. Dans la continuité de notre article sur ISO 27001 (cf. Best Practices Revues et Corrigées n° 50), nous présentons la norme 27002, publiée en 2007, qui constitue un ensemble de bonnes pratiques qui permettent aux entreprises de construire et de mettre en œuvre concrètement leur système de management de la sécurité de l’information.

1. Présentation de la Best Practice

La norme ISO 27002 complète la norme ISO 27001, consacrée aux systèmes de management de la sécurité de l’information (SMSI) qui a été officialisée en octobre 2005. Rappelons que la sécurité de l'information est définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information ». Tout comme ISO 27001, la norme ISO 27002 trouve son origine dans le standard britannique BS 7799 publié en 1995 qui devien-dra en 2000 ISO/IEC 17799. C’est en 2005 que la séparation se fait, avec d’un côté la norme ISO/IEC 27001 qui introduit la notion de SMSI et offre la possibilité de certification, et, de l’autre côté, ISO/IEC 17799 qui remanie les domaines et objectifs ainsi que les mesures de sécurité.
En 2007, la norme ISO/CEI 17799 : 2005 est mise à jour et remplacée par la norme 27002. ISO 27002 regroupe un ensemble de bonnes pratiques pour la mise en place de SMSI, réparties en onze chapitres, auxquels il faut ajouter trois chapitres d’introduction (champs d’application, termes et définitions, structure de la norme) et un petit chapitre sur la gestion des risques (thème développé dans une autre norme, ISO 27005). Les onze chapitres principaux décrivent trente-neuf objectifs de contrôle, qui vont bien au-delà des aspects purement techniques liés aux technologies de communication et qui couvrent les risques liés à la sécurité des informations tels que la confidentialité, l'intégrité et les aspects de disponibilité. La norme présente également plus d’une centaine de mesures permettant de contrôler la sécurité du patrimoine informationnel d’une organisation.

Dans le chapitre concernant la politique de sécurité, la norme préconise d’établir un manuel recensant et présentant les directives et procédures de sécurité applicables au sein d’une entreprise. Ce guide doit être adapté à chaque entreprise, en tenant compte de son organisation, de ses ressources et de ses spécificités. Il doit rester relativement concis. Cet outil permet de sensibiliser le management. ISO 27001 évoque également la politique de sécurité, mais à un niveau différent : dans ISO 27001, il s’agit de définir les orientations stratégiques en termes de sécurité ; dans ISO 27002, il s’agit de décrire les outils et processus mis en place. Plus précisément, l’objectif pour la direction est d’exprimer formellement la stratégie de sécurité de l’entreprise, et communiquer clairement son appui à sa mise en œuvre. Ce guide exposant la politique de sécurité doit être approuvé. Il doit être révisé et adapté périodiquement en prenant en compte l’efficacité de ses mesures, le coût et l’impact des contrôles sur l’activité, les effets des évolutions technologiques. La sécurité est une responsabilité qui doit être partagée par tous les membres de l’équipe de direction.

8,33 € HT
soit 10,00 € TTC
Pour lire la suite de cet article :

Best Practices propose des publications payantes.
Comparez nos différentes offres d'abonnement.

Nos Ouvrages

  • Benchmark Digital&Business - 
numéro 115

    Symposium Gartner 2019 - Ce numéro de Benchmark Digital & Business regroupe l’essentiel des chiffres et des tendances qui ont été présentés lors du Symposium Gartner 2019, qui s’est tenu en novembre à Barcelone.

  • Benchmark Digital&Business - 
numéro 114

    Symposium Gartner 2019 - Ce numéro de Benchmark Digital & Business regroupe l’essentiel des chiffres et des tendances qui ont été présentés lors du Symposium Gartner 2019, qui s’est tenu en novembre à Barcelone.

  • ERP - 145 réponses aux questions de votre direction générale

    Les ERP constituent encore la colonne vertébrale des systèmes d’information dans la plupart des moyennes et grandes entreprises. Malgré leur degré de maturité technologique, leurs performances métiers et la puissance des écosystèmes, les ERP suscitent encore de nombreuses questions de la part des DSI, qui ne trouvent pas toujours aisément de réponses.

A ne pas manquer

  • Comment rater...
sa Data Integration

    Pour rater son intégration de données, rien de plus simple. C’est à la portée de toutes les entreprises ! Il suffit de suivre nos treize commandements et d’oublier la gouvernance, la qualité, la sécurité et les enjeux métiers.

  • Comment rater...
sa génération de leads

    Il existe un lien étroit entre le dynamisme commercial d'un éditeur de logiciels ou d'un intégrateur et la qualité des leads dont disposent les commerciaux pour maintenir leur performance. Mais il est très facile de ruiner votre performance commerciale.

  • Services managés : où en sont les entreprises françaises ?

    Best Practices a réalisé une enquête auprès des entreprises et organisations publiques françaises. Avec plusieurs objectifs : cerner les enjeux associés aux systèmes d’information, mesurer les usages des services managés les budgets associés.

Best Practices

Informations

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris