Iso 27001 et 27002

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Les normes ISO 27001 et 27002 (2013), basées sur les normes des pratiques de pointe (CDPP) de l’Organisation internationale de normalisation (ISO). Les DPP basés sur les normes ISO sont rédigés pour aligner les organisations sur les normes ISO 27006 et 2013, et il y a un alignement sur les pratiques de pointe dans leur cadre pour les deux prochaines années. Sources : 11,11]

La certification ISO 27001 devrait aider la plupart des partenaires commerciaux à maintenir le statut de votre organisation en termes de sécurité de l’information en effectuant leur propre examen de sécurité et les assurer de votre statut en termes de réalisation d’examens de sécurité. Vous ne pouvez pas obtenir la certification pour quelque chose qui n’est pas une norme de gestion, mais vous pouvez la demander si votre entreprise est en train de mettre en œuvre la norme ISO 2701001. Les organisations peuvent également contacter le CDPP (2013) de l’Organisation internationale de normalisation (ISO) pour examiner leurs efforts en matière de sécurité. Certaines organisations choisiraient de certifier la norme ISO 27001 pour donner confiance à leur clientèle et à leurs partenaires. Sources : 15,10,10,16]

La norme ISO 27002 est une norme supplémentaire qui fournit des conseils sur la mise en œuvre des contrôles de sécurité énumérés à l’annexe A de la norme ISO 27001. L’ISO 27002 fournit un guide complet pour l’application des contrôles contenus dans les annexes A et B de l’ISO 27001, ainsi qu’un certain nombre d’autres directives de sécurité. Sources : 1,15]

La différence entre les normes ISO 27001 et 27002 peut être résumée comme suit : La norme ISO et CEI 27010 ne fournit qu’un simple résumé de ces contrôles et n’est pas obligatoire ; il s’agit simplement d’un code de conduite, et les organisations peuvent effectuer ces contrôles à leur discrétion. Bien que la certification soit un processus détaillé dans la norme 2701001, les contrôles de la norme 26002 peuvent également être utilisés pour gérer les risques de sécurité critiques dans un environnement. En plus des autres informations – contrôles de sécurité qui peuvent être utilisés dans la norme ISO27001 ou ISMS – vous pouvez également utiliser les normes ISO 27002 de plusieurs autres façons. [Sources : 4,8,14]

La norme ISO 27001 ne vous dit pas ce que vous devez faire ; elle fournit plutôt un cadre pour le faire, et si vous le croyez, alors la norme ISO 27002 agit comme un mode d’emploi pour le faire et le réaliser. Comme le montre la figure 1, la direction du SMSI peut savoir jusqu’où et comment l’entreprise a parcouru le cycle PDCA. Contrairement aux autres normes ISO, la norme ISO27001 suit un cycle PD-CA, ce qui signifie que les inspections ne sont pas effectuées une ou deux fois par an, mais annuellement. [Sources : 2,15,10,10]

Afin de permettre à l’ISO un haut degré de flexibilité, l’entreprise peut déterminer quels composants spécifiques du champ d’application du SMSI devraient et ne devraient pas être considérés pour la conformité à l’ISO 27002. Sources : 13]

En plus des 114 contrôles énumérés dans l’annexe 27001, l’ISO 27002 détaille les 14 groupes qui composent les contrôles de l’ISO 26001 et les 12 groupes couverts par le SMSI. Sources : 3]

L’ISO 27002 explique chacun de ces contrôles, alors que l’ISO / CEI 27001 ne consacre qu’une phrase à chaque contrôle. Si l’on compare l’ISO 26001 et l’ISO 2702, l’ISO 27002 semble beaucoup plus détaillée que la norme, puisqu’elle comprend 91 pages, contre 31 pages pour l’ISO 28001. Cependant, la norme ISO27001 est inutilement longue et compliquée, car elle est aussi détaillée pour chacun des contrôles que pour ceux de la norme ISO 29001. Sans un plan de projet ISO 23001 bien défini et élaboré, la mise en œuvre serait un exercice long et coûteux. [Sources : 16,9,1,10]

Il faut soutenir votre organisation dans la création d’un expert ISO 27001 qui se concentre sur les aspects techniques de l’ISO 27001 et la mise en œuvre de la norme ISO 23001. Sources : 6]

L’ISO et la CEI 27002 (2013) ne sont pas des normes de gestion, les organisations ne peuvent pas être certifiées selon elles car il s’agit d’une norme technique et non d’une norme de gestion, mais elles fournissent un ensemble de lignes directrices pour la mise en œuvre des exigences de sécurité de l’information de votre organisation. Les entreprises doivent adhérer au programme de cybersécurité et de protection des données (CDPP), qui est axé sur l’industrie – les meilleures pratiques reconnues afin d’être considérées comme conformes aux exigences générales en matière de sécurité de l’information. ISO / I EC 27001 est une norme pour la cybersécurité et la protection des données aux États-Unis. Sources : 11,7,12]

Comme toutes les autres normes ISO, la norme ISO 27001 est accompagnée d’un ensemble de lignes directrices techniques qui garantissent la mise en œuvre des exigences en matière de sécurité de l’information et de protection des données aux États-Unis. La norme ISO 27002 est un guide de bonnes pratiques qui comprend des questions techniques spécifiques dans le domaine de la sécurité. Sources : 5,3]

En général, on peut supposer qu’il existe un certain nombre de documents dans la norme ISO 27001 qui soutiennent l’objectif de fournir des orientations et des conseils sur la mise en œuvre, comme la sécurité de l’information, la protection des données et la gestion des données. Le document ISO 2701, ainsi que le Guide des meilleures pratiques dans le domaine de la sécurité et de la confidentialité, peuvent être considérés comme une partie importante de la politique d’information des États-Unis ces dernières années. D’une manière générale, on peut considérer qu’il y a eu un certain nombre d’articles, de documents ou de lignes directrices pour les meilleures pratiques dans ce domaine qui ont soutenu l’objectif de fournir des orientations ou des conseils sur la mise en œuvre. Sources : 0,0]

Sources: 

  • 0] : https://www.dionach.com/en-us/blog/what-is-the-difference-between-iso-27001-and-iso-27002/
  • 1] : https://www.itgovernance.co.uk/blog/understanding-the-differences-between-iso-27001-and-iso-27002
  • 2] : https://cubedcorps.com/iso-27001-implementation-can-create-imperfect-security/
  • [3] : https://www.rivialsecurity.com/blog/iso-27001-vs-27002
  • [4] : https://www.computerweekly.com/feature/Security-Zone-Promoting-accountability-through-ISO-IEC-27001-27002-formerly-ISO-IEC-17799
  • [5] : https://manufacturersedge.com/our-services/supplier-development/iso-27001/
  • [7] : https://docs.microsoft.com/en-us/azure/compliance/offerings/offering-iso-27001
  • [8] : https://www.netiq.com/industries/federal/regulations-standards-compliance/iso-27002.html
  • [9] : https://blog.compliancecouncil.com.au/blog/iso-27001-vs.-iso-27002-whats-the-difference
  • [10] : https://www.isaca.org/resources/isaca-journal/past-issues/2011/2011-planning-for-and-implementing-iso-27001
  • [11] : https://www.complianceforge.com/product/iso-27001-27002-policies-standards-cdpp/
  • [12] : https://www.insightsassociation.org/get-support/iso-information-security-standard-27001
  • [14] : https://www.pivotpointsecurity.com/blog/iso-27001-iso-27002-standards/
  • [15] : https://www.imsm.com/ie/news/iso-27001-iso-27002-how-they-work-together/
  • [16] : https://www.exin.com/article/information-security-how-iso27001-and-iso2002-are-related?language_content_entity=en