Découvrez nos solutions sans obligation d’achat
Dans cette session, il y sera vu la norme ISO 27001, de l’Organisation internationale de normalisation (ISO) et du National Institute of Standards and Technology (NIST). En termes simples, elle définit les exigences d’audit que les organisations doivent suivre et leur donne des lignes directrices sur la façon dont les SGSI peuvent être établis, mis en œuvre, maintenus et améliorés. La norme ISO-27001 est décrite et prévue dans la norme ISO / IEC 27002, publiée par l’Organisation internationale de normalisation des normes et standards internationaux, ou ISO / IEC-26001. Cependant, l’ISO-21002 fournit des lignes directrices pour la mise en œuvre et la maintenance des ISM et des directives auxquelles les individus doivent se conformer pour soutenir l’ISO 26001, mais pas l’ISO 28001. [Sources : 18,13,19,0]
La certification ISO 27001 exige un examen de surveillance de deux ans pour vérifier qu’un système de gestion de la sécurité de l’information (SGSI) est maintenu par des activités d’amélioration continue, y compris la mise en œuvre et la maintenance de l’ISO / IEC 27002 et des lignes directrices du NIST. Comme pour la conformité à la norme ISO 27001, la conformité à ce cadre peut être vérifiée par une personne ayant la certification NIST et par un audit. [Sources : 5,15]
Le champ d’application de la norme ISO 27001 et du NIST varie, mais tous deux impliquent l’introduction de contrôles de sécurité pour les informations. Plus important encore, le cadre de cybersécurité pour ISO 27001 vous permet de comprendre clairement comment mettre en œuvre la sécurité de l’information et la cybersécurité dans votre organisation. Le NIST a également investi énormément d’efforts dans l’élaboration de normes cybernétiques de pointe telles que l’ISO / IEC 27002 et le cadre international de cybersécurité (ICF). [Sources : 7,2,19]
ISO / IEC 27001 et NIST CSF comprennent l’établissement d’un cadre de gestion des risques et l’introduction de contrôles de sécurité pour l’information. Les deux sont les cadres de cybersécurité les plus connus au monde, et les deux sont un cadre de cybersécurité qui fournit des contrôles et des mesures similaires pour aborder la gestion des risques de sécurité de l’information. [Sources : 17,17,17]
Le Secure Controls Framework (SCF) est une approche de premier ordre qui couvre un large éventail de contrôles de sécurité pour la sécurité des informations et la protection des données. La norme a été étendue pour s’intégrer à d’autres normes et cadres, notamment ISO / IEC 27001 et NIST CSF, ainsi qu’à d’autres normes de sécurité. [Sources : 10,11]
Téléchargez notre livre blanc pour découvrir comment le cadre de cybersécurité du NIST et la norme ISO 27001 peuvent fonctionner ensemble et comment ces cadres peuvent aider à protéger votre organisation. Pourquoi les organisations devraient-elles appliquer les normes, les politiques et les meilleures pratiques décrites dans le cadre de cybersécurité du NIST ? Cette série de blogs présente les différentes parties du cadre de cybersécurité du NIST et explique pourquoi elles sont importantes. [Sources : 6,4]
ISO / IEC 27001 (2013 – 23) est une norme internationale pour la sécurité de l’information publiée par l’Organisation internationale de normalisation (ISO) et développée à l’origine comme norme britannique BS 7799. Cet article explique les différences entre le cadre de cybersécurité de l’ISO et du NIST et le cadre de cybersécurité du NISST. ISO / IEC-27001 est une norme de sécurité de l’information publiée en 2005, révisée en 2013 et publiée par l’Organisation internationale de normalisation ISO, qui publie des normes de sécurité de l’information. [Sources : 1,2,14]
La norme ISO 27001 diffère des normes HITRUST et CSF en ce qu’elle n’est pas basée sur le contrôle ou la conformité, mais représente un cadre de sécurité de l’information pour l’évaluation d’un système de gestion de l’information. La norme ISO 27002 fournit les contrôles spécifiques nécessaires pour les mettre en œuvre efficacement, et l’annexe A contient tous les contrôles de sécurité nécessaires pour établir le système de gestion de la sécurité de l’information (SGSI). La norme ISO-27001 est un cadre basé sur les performances, tandis que la norme ISO / 27002 fournit des conseils et des contrôles pour la mise en œuvre. Une section entière du cadre de cybersécurité ISO / IEC-26001 traite de tout, de la gestion des incidents, y compris l’utilisation de la gestion des réponses aux incidents (IRM) et des systèmes de gestion des incidents (IMS), à la gestion des violations de données. [Sources : 12,8,10,3]
La norme ISO-27001 se concentre sur la protection des informations stockées et traitées dans les systèmes informatiques et sur la gestion des systèmes de gestion de l’information. La classification des informations est cruciale pour la conformité à la norme ISO 27001, dans le but de garantir que les informations reçoivent le niveau de protection approprié. [Sources : 2,16]
La conformité à la norme ISO 27001 montre aux clients que votre organisation a établi les meilleures pratiques pour les processus de sécurité de l’information. Comme décrit ci-dessus, les exigences d’enregistrement pour la conformité au RGPD doivent être en accord avec le cadre de cybersécurité et le système de gestion de la sécurité de l’information (SGSI). La mise en œuvre complète de la norme ISO 27001 a montré que l’entreprise a identifié ses risques de sécurité, a mis en œuvre des systèmes contrôlés pour l’atténuation des dommages et dispose d’un système de gestion de la sécurité de l’information (SGSI) et d’un système de gestion de l’information bien étayés. Cette approche ISO 26001 aide non seulement votre entreprise à répondre aux exigences du Règlement général sur la protection des données (RGPD) de l’Union européenne, mais aussi aux exigences de ce règlement. Dans le cadre de la cybersécurité, la norme ISO 2701001 définit clairement quels documents et enregistrements sont requis et quelles normes minimales doivent être mises en œuvre en plus du niveau de protection approprié. [Sources : 2,16,13,9]
En fait, le NIST 800 – 171 met en correspondance les exigences du cadre de cybersécurité et du système de gestion de la sécurité de l’information (SGSI) pour le RGPD et est présenté dans le NIST 800 / 171. En fait, les documents et les enregistrements requis pour se conformer aux normes ISO 2701001 et ISO 26001 sont mis en correspondance avec le cadre de cybersécurité et le système de gestion de la sécurité de l’information (SGSI). [Sources : 10,10]
Sources:
- [0] : https://grcmusings.com/a-beginners-guide-to-information-security-frameworks/
- [1] : https://www.maytech.net/features/nist-800-171-compliance
- [2] : https://advisera.com/27001academy/blog/2014/02/24/which-one-to-go-with-cybersecurity-framework-or-iso-27001/
- [3] : https://www.cm-alliance.com/cybersecurity-blog/nist-gdpr-pci-dss-iso-27001-csf-fca-on-cyber-incident-response
- [4] : https://www.compassitc.com/blog/the-nist-cybersecurity-framework-an-overview
- [5] : https://www.trustnetinc.com/nist-vs-iso-27001/
- [6] : https://www.itgovernanceusa.com/iso27001-and-nist
- [7] : https://www.pivotpointsecurity.com/blog/harmonizing-iso-27001-and-nist-cybersecurity-guidance/
- [8] : https://www.productsecurityandprivacy.com/Overview/NIST-ISO-Frameworks
- [9] : https://satalyst.com/a-guide-to-information-standards/
- [10] : https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf.html
- [11] : https://www.6clicks.io/iso-27001-and-nist-csf-overview
- [12] : https://a-lign.com/an-overview-of-the-hitrust-csf-and-related-frameworks/
- [13] : https://labs.sogeti.com/cyber-security-framework-healthcare/
- [15] : https://www.schellman.com/blog/fedramp-vs-iso-27001
- [16] : https://blog.netwrix.com/2020/03/17/data-classification-for-compliance/
- [17] : https://infotrust.com.au/cybersecurity-blogs/the-difference-between-iso-iec-27001-and-nist-csf/
- [18] : https://www.linkedin.com/pulse/pecb-webinar-isoiec-27701-vs-27001-nist-essential-things-geelen-
- [19] : https://blog.compliancecouncil.com.au/blog/iso-27001-vs-nist-cybersecurity-framework