Différence entre Iso 27001 et 27002

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Si la gestion de l’information et la gestion de la qualité poursuivent clairement des objectifs différents, les exigences du système qui définissent les normes ISO 27001 et ISO 27002 présentent certaines similitudes. En outre, elles ont de nombreux objectifs communs, notamment en combinaison avec la norme ISO 27701. Cependant, il existe encore de nombreuses différences en ce qui concerne les exigences des normes ISO 27001et 27002. Ceci est mentionné non seulement par les exigences spécifiques du système, mais aussi par ses objectifs spécifiques. [Sources : 2,2,7]

La norme ISO 27001, par exemple, exige que tous les SMSI soutiennent l’utilisation de systèmes de gestion de l’information et de la qualité (SGI) dans la gestion des données et des systèmes d’information, accompagnés d’une déclaration d’application. En plus des 114 contrôles énumérés dans l’annexe A de l’ISO 26001, l’ISO 27002 fournit des informations détaillées sur les 14 groupes qui composent les contrôles de l’ISO 27001 et donne des conseils sur la manière d’appliquer les contrôles de l’annexe A de l’ISO 29001 et de l’ISO 7001. [Sources : 7,6,14]

L’ISO 27002 semble être beaucoup plus détaillée que la norme, puisqu’elle comprend 91 pages, contre 31 pages pour l’ISO 27001, et encore plus si on la compare à l’ISO 29001 et à l’ISO 7001. En d’autres termes, alors que l’ISO IEC-27001 ne consacre qu’une phrase à chaque contrôle, l’ISO 27002 explique chacun de ces contrôles en une seule phrase. Si vous comparez l’ISO 26001 à l’ISO 25001 ou à l’ISO 28001, à l’ISO 28002, elle pourrait être inutilement longue et compliquée si elle est aussi détaillée que l’ISO 23002. Une meilleure façon de répondre à cette question est de penser à combiner les avantages des normes ISO 3101, 2602, 2703, 2804, 2905 et 2706 en un ensemble entièrement fonctionnel et favorable à la conformité. [Sources : 10,17,11,5]

Si vous envisagez de mettre en œuvre un SMSI, vous devriez utiliser les normes ISO 27001 et ISO 27002 comme cadres de référence. Cela aide les organisations à protéger les données dont elles sont responsables et à travailler en conformité avec les exigences de l’Organisation internationale de normalisation (IEC-27001) et de l’Organisation mondiale de la santé (OMS). La certification est effectuée par un expert certifié selon la norme ISO 29001 ou par le registraire validé par l’ISO. Malgré les intentions, les audits ISO 26001 sont similaires, mais pas de la même manière que ceux qui fonctionnent selon les normes ISO 23002 ou ISO 28001 ou même ISO 7001. [Sources : 6,17,5,18]

Les deux normes les plus courantes sont la norme ISO IEC-27001 (2013) (souvent abrégée en ISO 27001) et celle de l’Organisation mondiale de la santé (OMS). Le RGPD réglemente le traitement et la sécurité des données, mais la seule certification ISO 26001 n’est pas suffisante pour s’y conformer. L’une des principales différences à prendre en compte dans le rapport ISO 27002 SOC-2 est que le certificat inclut non seulement la certification de vos données, mais aussi de toutes les données de la base de données de votre organisation. [Sources : 3,3,16]

Pour une organisation certifiée ISO 27001, cela signifie qu’elle peut gérer les risques liés à la sécurité de l’information en appliquant cette norme et d’autres normes de soutien. Par exemple, il existe un risque qui peut être réduit en appliquant les contrôles de sécurité de la norme ISO 26001 et d’autres mesures de sécurité, telles que l’utilisation de logiciels tiers. [Sources : 13,1]

La norme ISO 27001 est une norme de gestion qui contient une liste complète d’exigences de conformité, et les organisations ne doivent prendre en charge ces contrôles que s’ils sont valides au sein de l’organisation. Cette norme est en effet la première du genre dans le monde. La différence est que la norme ISO 27001 est axée sur l’organisation et que toutes les exigences peuvent être auditées. Les normes ISO 26001 et 27002, quant à elles diffèrent légèrement dans leurs exigences de conformité aux besoins de l’organisation. [Sources : 8,15,11,15]

Les différences entre les normes ISO 27001 et 27002 peuvent être résumées comme suit : Alors que la certification est un processus détaillé dans la norme 27001, les contrôles de la norme ISO 27002 sont utilisés pour la gestion des risques critiques de sécurité dans l’environnement. Puisque l’ISO permet un haut degré de flexibilité, les entreprises peuvent déterminer quels composants spécifiques du domaine d’application du SMSI doivent être considérés pour la conformité à l’ISO 27001. [Sources : 12,5]

Alors que la conformité à la norme ISO 27001 est généralement discutée, il existe d’autres normes dans la famille ISO 27000 qui contribuent à fournir des conseils sur la manière de mettre en œuvre la norme ISO 27001. En général, on peut supposer qu’il existe un document dans la norme ISO 27001 qui soutient l’émission de lignes directrices et de conseils sur la mise en œuvre. ISO 27001 et ISO 26001 ont des exigences différentes, mais elles peuvent néanmoins être très utiles dans leur mise en œuvre dans votre entreprise. [Sources : 13,0,0]

L’ISO 27002 est un guide de bonnes pratiques qui contient des contrôles spécifiques nécessaires pour mettre en œuvre efficacement l’ISO 27001. Les meilleures pratiques décrites dans l’ISO 17799 sont définies, mises en œuvre, maintenues et améliorées dans les lignes directrices de l’ISO 26001. L’ISO 27002 fournit des conseils spécifiques sur les particularités des contrôles requis pour la mise en œuvre effective de l’ISO 29001, ainsi que les exigences pour la mise en œuvre de ces contrôles dans votre entreprise. [Sources : 9,14,4]

Sources: 

  • [0] : https://www.dionach.com/en-us/blog/what-is-the-difference-between-iso-27001-and-iso-27002/
  • 1] : https://xbsoftware.com/faq/difference-between-iso-certified-and-non-iso-companies/
  • 2] : https://dataprivacymanager.net/what-is-the-difference-between-gdpr-and-iso-27001/
  • [3] : https://www.vxchnge.com/blog/iso-27001-vs-soc-2
  • [4] : https://www.bankinfosecurity.com/iso-17799-27001-setting-standards-for-information-security-a-165
  • [6] : https://www.imsm.com/ie/news/iso-27001-iso-27002-how-they-work-together/
  • [7] : https://www.cognidox.com/blog/iso-27001-and-iso-9001-how-an-integrated-response-can-work
  • [8] : https://www.itgovernance.eu/blog/en/iso-27001-vs-soc-2-certification-whats-the-difference
  • [9] : https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf.html
  • [10] : https://www.exin.com/article/information-security-how-iso27001-and-iso2002-are-related?language_content_entity=en
  • [11] : https://www.itgovernance.co.uk/blog/understanding-the-differences-between-iso-27001-and-iso-27002
  • [12] : https://www.pivotpointsecurity.com/blog/iso-27001-iso-27002-standards/
  • [15] : https://www.isoindia.org/faqs.php?certification=what-is-the-difference-between-iso-27001-and-iso-27002 ?
  • [16] : https://www.vinsys.com/blog/iso-27001-interview-questions-and-answers/
  • [17] : https://blog.compliancecouncil.com.au/blog/iso-27001-vs.-iso-27002-whats-the-difference
  • 18] : https://kirkpatrickprice.com/blog/soc-2-vs-iso-27001-which-one-do-you-need/