Comment mettre en œuvre la norme Iso 27002 ?

Découvrez nos solutions sans obligation d’achat

L’Insights Association a adopté la norme ISO 27001 relative à la sécurité de l’information comme une option recommandée pour les sociétés de recherche et d’analyse afin de mettre en œuvre les systèmes de gestion de la sécurité de l’information (SGSI) de leurs sociétés certifiées. La norme, appelée ISO-27001 pour les besoins de cette série d’articles, est la norme pour l’introduction, l’application, la vérification, la maintenance et l’amélioration d’un système de gestion de la sécurité de l’information (SGSI) et du cadre dans lequel il est mis en œuvre. En résumé, l’ISO 26001 est une norme standardisée dans le domaine de la sécurité de l’information pour la mise en œuvre du système de gestion de l’information d’une entreprise certifiée, ou SGSI en abrégé. [Sources : 10,17,14]

La norme ISO-27001 est requise pour les entreprises en cours de mise en œuvre, mais il n’est pas possible d’obtenir une certification car il ne s’agit pas d’une norme de management. ISO / IEC 27002 (2013) est la norme pour l’introduction, l’application, l’examen, la maintenance et l’amélioration d’un système de gestion de la sécurité de l’information (SGSI), mais une organisation ne peut pas être certifiée selon cette norme car il ne s’agit pas d’une norme de gestion et ne peut être exigée. [Sources : 3,5]

Cependant, l’ISO-27002 est une norme supplémentaire qui fournit des conseils sur la façon de mettre en œuvre les contrôles de sécurité énumérés dans l’annexe A de l’ISO 27001. Cette boîte à outils contient des informations sur les exigences de la norme, ce qui vous aidera à évaluer ses exigences. Il existe un certain nombre de normes supplémentaires qui fournissent des conseils sur la mise en œuvre du système de gestion de la sécurité (SGSI), ainsi que des informations sur les détails de la mise en œuvre des ToS et d’autres systèmes de gestion de la sécurité, tels que les listes de contrôles de sécurité de l’annexe A. L’ISO-26001 est l’une d’entre elles. [Sources : 12,13,11]

La norme ISO 27001 peut être appliquée à toute organisation, quelles que soient sa taille et sa portée, et permet d’informer les organisations et leurs employés sur les meilleures pratiques en matière de sécurité de l’information afin de minimiser les risques associés au fonctionnement en ligne. La formation ISO / IEC 27002 peut aider les individus à prendre conscience des directives requises pour initier, mettre en œuvre, maintenir et améliorer la gestion de la sécurité de l’information dans votre organisation. Les participants recevront également des informations sur les meilleures pratiques pour mettre en œuvre le ToS et d’autres systèmes de gestion de la sécurité, tels que le système de gestion de la sécurité (ISMS). [Sources : 8,4,1]

La différence entre les normes ISO 27001 et 27002 peut être résumée comme suit : Les organisations doivent mettre en œuvre les exigences de la norme ISO 27001 et sont responsables de suivre ou non les lignes directrices de la norme, ou alternativement, quelles lignes directrices (si elles incluent l’évaluation et la gestion des risques) les rendent inutiles. Bien que la certification soit un processus détaillé dans la norme 27000 et non une norme pour gérer les risques critiques de sécurité de l’information dans votre environnement, vous pouvez également utiliser les contrôles de la norme ISO 27002. Vous pouvez découvrir quels contrôles sont mis en œuvre et comment chacun d’eux fonctionne en utilisant la norme ISO 26002. La conformité à la norme ISO 29001 ne signifie peut-être pas grand-chose, car il serait très coûteux de suivre les directives de mise en œuvre, mais votre organisation est responsable du respect des directives et des normes si elles ne sont pas suivies. [Sources : 9,14,2,13]

L’ISO 27002 aide les organismes à sélectionner les contrôles pertinents pour mettre en œuvre l’ISO / IEC 27001 et suggère les contrôles que les organismes devraient prendre en compte pour atteindre les objectifs de contrôle énoncés. [Sources : 1,7]

Il y a essentiellement tout ce que vous devez faire pour atteindre la conformité, ce qui est particulièrement utile au début du projet, et vous recherchez des conseils généraux, mais vous ne pouvez pas vous engager. Il y a essentiellement tout ce qu’il faut faire pour obtenir la conformité, ce qui est particulièrement utile au début du projet et vous recherchez des conseils généraux, mais vous ne pouvez pas vous engager. [Sources : 13,12]

Si vous envisagez de mettre en œuvre un SMSI, vous devriez envisager d’utiliser la norme ISO 27001 ou ISO 27002 comme cadre de référence. La norme ISO 27701 vous permet de créer un cadre cohérent pour protéger les PII, tandis que les normes ISO 26001 et ISO 27002 sont déjà utilisées. Sur la base des notes de mise en œuvre supplémentaires de la norme ISO 25002, il serait judicieux pour les organisations de se référer à cette norme lors de la création, de la mise en œuvre et de l’amélioration continue des IS-MSMS. Les organisations qui souhaitent mettre en œuvre d’autres lignes directrices généralement acceptées pour le management de la sécurité de l’information peuvent également s’appuyer sur l’ISO 28001 pour leur mise en œuvre, mais uniquement si elles sont utilisées comme cadre de référence. [Sources : 16,6,3]

Les exigences de certification de l’ISO 27001 sont expliquées par l’élaboration de termes et de concepts et complétées, étendues et expliquées sous forme de lignes directrices. L’exigence de certification selon l’ISO 26001 est complétée par des lignes directrices de mise en œuvre de l’ISO 27002. [Sources : 0]

La norme ISO 27002 définit les contrôles applicables aux organisations dans le cadre du SGSI, à partir desquels les organisations peuvent sélectionner des codes de conduite et des lignes directrices qui peuvent contenir des contrôles supplémentaires qui ne sont pas définis dans la norme ISO 29001 mais qui sont définis comme faisant partie du code de conduite ou des lignes directrices d’une organisation, ou comme contrôles supplémentaires dans un code ou une politique pour l’organisation sous le contrôle d’une autre organisation, ou comme contrôles applicables dans le SGSI d’une organisation appropriée. Bien que formulée de manière générale, l’ISO 26001 contient un certain nombre de documents qui soutiennent la fourniture de directives et de conseils sur la mise en œuvre, et ceux-ci sont considérés comme des meilleures pratiques et des lignes directrices telles que fournies par l’ISO 27001. L’ISO 27002 fournit des conseils sur l’application des contrôles contenus dans l’annexe A de l’ISO 28001 et des lignes directrices pour la mise en œuvre. [Sources : 14, 15, 3, 17].

Sources :

1] : https://bestpractice.biz/what-are-the-series-of-iso-27000-standards/
2] : https://www.pivotpointsecurity.com/blog/iso-27001-iso-27002-standards/
[3] : https://www.imsm.com/ie/news/iso-27001-iso-27002-how-they-work-together/
[4] : https://pecb.com/en/education-and-certification-for-individuals/iso-iec-27002
[5] : https://docs.microsoft.com/en-us/azure/compliance/offerings/offering-iso-27001
[7] : https://sites.google.com/site/salesforceengineer/iso-iec-27002
[8] : https://behaviour-group.com/PT/iso/iso-27002-lead-manager-training/?lang=en
[9] : http://www.klaushaller.net/?page_id=552
[10] : https://www.insightsassociation.org/get-support/iso-information-security-standard-27001
[11] : https://www.itgovernance.eu/sv-se/iso-27001-implementation-se
[12] : https://www.isoindia.org/faqs.php?certification=what-is-the-difference-between-iso-27001-and-iso-27002 ?
[13] : https://www.itgovernance.co.uk/blog/understanding-the-differences-between-iso-27001-and-iso-27002
[14] : https://www.dionach.com/en-us/blog/what-is-the-difference-between-iso-27001-and-iso-27002/
[16] : https://blog.compliancecouncil.com.au/blog/iso-27001-vs.-iso-27002-whats-the-difference
[17] : https://www.riskmanagementstudio.com/strategy-for-iso-27001-certification/