Iso 27001 ou 27002

ISO 27001 / 27002 / 2013 est un cadre basé sur la norme C DPDP (Leading Practices) de l’Organisation internationale de normalisation (ISO) et contient un ensemble de normes pour la gestion des meilleures pratiques dans le domaine des technologies de l’information (TI). ISO – basé sur le PPCD, fournit un guide complet pour les organisations alignées sur la norme ISO27002 / 2013, en mettant l’accent sur le leadership – l’orientation des pratiques et la conformité. Sources : 2,2]

Si votre entreprise est en train de mettre en œuvre la norme ISO 27001, vous devez le faire, mais vous ne pouvez pas être certifié pour quelque chose qui n’est pas une norme de gestion. Sources : 12]

La principale différence à prendre en compte dans le rapport ISO 27001 SOC-2 est que la certification de conformité à une norme, et non la norme elle-même, implique la conformité à la norme. Les deux normes de conformité les plus courantes sont la norme ISO / IEC-27001 (2013), souvent abrégée en ISO 23001, et la norme 27002 de l’Organisation internationale de normalisation (ISO). Certaines normes peuvent faire l’objet d’une certification de conformité à certaines normes de gestion, telles que celles établies par les normes ISO 29001 et ISO 28001. Cette certification est effectuée par un auditeur senior certifié ISO-21001 ou employé par un registraire validé par l’ISO (par exemple, un auditeur d’une société d’audit tierce). Sources : 0,1,1,15]

Les organisations se réfèrent aux normes ISO pour examiner leurs efforts en matière de sécurité. Pour obtenir la certification, les organisations doivent passer 114 contrôles de sécurité qui comprennent une série de mesures de sécurité, telles que la détection d’effraction, la prévention et la réponse aux intrusions (IPR), l’antivirus (ASR) et la protection contre le vol. Sources : 14,6]

La norme ISO 27002 n’est qu’un code de conduite et ne fournit pas de conseils sur la manière d’appliquer les contrôles de l’annexe A de la norme ISO 27001. Il n’existe pas de norme supplémentaire qui fournisse des conseils détaillés sur les contrôles de sécurité de l’annexe A. La norme ISO 27001 n’est pas obligatoire et ne fournit qu’un simple résumé de ces contrôles, laissant les organisations libres d’effectuer ces contrôles à leur discrétion. La norme ISO / IEC 2701001 ne prescrit pas de mesures de sécurité spécifiques, telles que la prévention et la réponse aux effractions. [Sources : 9,12,13]

Au contraire, elles peuvent être utilisées par les organisations traitant des informations qui peuvent faire partie d’un SGSI. (Information Security Management System) ou de tout autre système de gestion de l’information, ou sous quelque forme que ce soit, ces informations peuvent être. En plus des 114 contrôles énumérés dans l’annexe 27001, la norme ISO 27002 énumère les 14 groupes qui composent les contrôles ISO 27001. La grande flexibilité de l’ISO permet aux entreprises de déterminer quels composants spécifiques du domaine d’application du SGI doivent ou non être considérés pour la conformité à l’ISO 27002. Sources : 4,15,3]

Une question qui pourrait venir à l’esprit est de savoir pourquoi l’ISO n’a pas décidé de combiner simplement les normes ISO 27001 et 27002 pour former une norme simplifiée ? Une meilleure façon de répondre à cette question est de penser à combiner les avantages des normes ISO 27001 et 27II en un ensemble pleinement fonctionnel et favorable à la conformité. L’ISO 26001 est inutilement longue et compliquée car elle est aussi détaillée que l’ISO 28001, mais en une seule phrase. Alors que les normes ISO CEI 2701 et CEI 27010 ne consacrent qu’un seul ensemble à chaque contrôleur, la norme ISO 23001 explique chacun de ces contrôleurs en un seul ensemble et la norme ISO 29001 en deux ensembles. [Sources : 6,9,15,15]

Si vous envisagez d’introduire un SMSI, vous devriez envisager d’utiliser les normes ISO ou ISO 27001 ou ISO 27002 comme cadre de référence. Toutes deux fournissent une base pour la mise en œuvre de la norme dans le contexte d’une large gamme d’applications telles que le traitement des données, le stockage des données et la gestion des données. Sources : 12,4]

Le NIST 800-53 est dédié à la promotion de la sécurité et du contrôle, en contribuant aux meilleures pratiques en relation avec les systèmes d’information fédéraux. Sources : 5]

L’équipe de sécurité de l’information travaille intensivement avec les organisations ISMS pour effectuer des audits et des certifications de leurs systèmes de gestion. ISO 27001 et 27002 et le programme 2013 est accrédité ISO par l’ANSI (National Accreditation Board). L’organisme de certification assure l’audit et la certification du système de gestion. La norme ISO-27001 est dotée de normes de gestion qui comprennent une liste complète d’exigences de conformité. Les organismes peuvent obtenir la certification ISO / IEC 27006 et 2013, bien qu’il n’y ait aucune garantie qu’il ne s’agisse pas de normes de gestion, car elles offrent le même niveau d’assurance qualité et de conformité que les autres normes du programme. [Sources : 7,10,11,9]

S’il serait très coûteux de se conformer aux directives de mise en œuvre, alors la conformité à la norme ISO 27002 peut ne pas signifier grand-chose. Par ailleurs, le fait que les directives utilisées aient été sélectionnées et choisies pour inclure l’évaluation et la gestion du risque dans la norme ISO 27001 les rend insignifiantes. Si les lignes directrices sont suivies, cela peut ne pas signifier grand-chose, car cela serait très coûteux. Sinon, lorsqu’elles sont sélectionnées et choisies pour être utilisées dans le cadre de l’évaluation et de la gestion du risque dans la norme ISO 27001, elles peuvent ne pas signifier grand-chose, voire rien. Ou encore, l’utilisation des lignes directrices est rendue inutile par l’absence d’exigences de conformité et d’un programme complet de gestion des risques. Sources : 8,16]

La norme ISO 27001 serait une norme attendue, mais elle pourrait indiquer un manque de compréhension, et même la formation ISO 27002 est proposée. Peut-être dans des scénarios de formation de niche, ceux qui proposent des audits de conformité à la norme ISO 27002 devraient être prudents. Si vous voyez une entreprise qui prétend qu’il n’y a pas de plaintes concernant la norme ISO 26002 ou qu’elle est offerte, soyez prudent avant même de l’offrir, car cela pourrait causer des problèmes à l’entreprise et à ses clients. ISO 29001 ou ISO 28001, qui auraient été les normes attendues, mais qui pourraient indiquer un manque de compréhension. Ou si elle est offerte dans un scénario de niche, comme dans le cas d’une petite entreprise, il pourrait y avoir des problèmes. Sources : 8,16]

Sources: 

• [0] : https://www.schellman.com/blog/picking-between-iso-27001-or-soc-2
• 1] : https://www.vxchnge.com/blog/iso-27001-vs-soc-2
• [2] : https://www.complianceforge.com/product/iso-27001-27002-policies-standards-cdpp/
• [3] : https://www.rivialsecurity.com/blog/iso-27001-vs-27002
• [4] : https://www.riskmanagementstudio.com/strategy-for-iso-27001-certification/
• [6] : https://www.exin.com/article/information-security-how-iso27001-and-iso2002-are-related?language_content_entity=en
• [7] : https://www.educause.edu/focus-areas-and-initiatives/policy-and-security/cybersecurity-program/resources/information-security-guide/case-study-submissions/building-iso-27001-certified-information-security-programs
• [8] : https://www.dionach.com/en-us/blog/what-is-the-difference-between-iso-27001-and-iso-27002/
• [9] : https://www.itgovernance.co.uk/blog/understanding-the-differences-between-iso-27001-and-iso-27002
• [10] : https://www.insightsassociation.org/get-support/iso-information-security-standard-27001
• [11] : https://docs.microsoft.com/en-us/azure/compliance/offerings/offering-iso-27001
• [12] : https://www.imsm.com/ie/news/iso-27001-iso-27002-how-they-work-together/
• [13] : https://www.computerweekly.com/feature/Security-Zone-Promoting-accountability-through-ISO-IEC-27001-27002-formerly-ISO-IEC-17799
• [14] : https://reciprocitylabs.com/preparing-for-an-iso-27001-and-27002-audit/
• [16] : https://isoindia.org/faqs.php?knowledge=what-is-the-difference-between-iso-27001-and-iso-27002?-

---

• LinkedIn
• Twitter