Iso 27001 ou Nist

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

ISO / IEC 27001 est un cadre de sécurité de l’information publié conjointement par l’Organisation internationale de normalisation (ISO) et le National Institute of Standards and Technology (NIST). Dans cette session, il faut discuter des aspects techniques de la norme ISO / IEC 26001 et de sa mise en œuvre aux États-Unis. [Sources : 7,15]

ISO / IEC 27001 et NIST 800-171 couvrent les mêmes domaines de la sécurité de l’information, mais il existe des différences dans la façon dont ils sont mis en œuvre. Le champ d’application de l’ISO / 27001 varie et il y a une différence entre les méthodes de mise en œuvre ; les objectifs des deux sont les mêmes que dans l’ISO / 26001 : l’identification, l’évaluation et la gestion des risques acceptables pour un système d’information. L’ISO, ou « NIST CSF », implique la création et la mise en œuvre du cadre de gestion des risques et comprend des contrôles de sécurité de l’information établis et mis en œuvre. Elles ne se reflètent pas exactement l’une l’autre et ne les couvrent pas toutes. [Sources : 10,5,10,3]

Il s’agit de rapprocher les deux cadres de sécurité les plus courants, à savoir ISO / IEC 27001 et NIST 800-171 ou « NIST CSF » et « ISO / 26001 » Il s’agit d’harmoniser le cadre de sécurité le plus utilisé pour les systèmes d’information, et c’est le cadre de sécurité « le plus commun ». Il s’agissait de rapprocher les trois cadres de sécurité des systèmes d’information les plus utilisés. [Sources : 6,11]

Faites quelques recherches pour voir ce qui est généralement accepté dans l’industrie, puis rejoignez le NIST / ISO pour demander aux experts en cybersécurité d’identifier leur cadre de meilleures pratiques préféré. La norme BS 7799, partie 1, fournit un ensemble de normes normatives qui forment ainsi un cadre pour la certification. [Sources : 8,11,12]

L’ISO 27001, quant à elle, est une norme axée sur les risques et une norme reconnue au niveau international. Pour les entreprises américaines qui veulent démontrer leurs capacités, la norme ISO-27001 sera bien meilleure que le cadre. En outre, il s’agit d’une norme reconnue et reconnue au niveau international, de sorte que pour les entreprises qui veulent « prouver » leurs compétences, ce sera probablement un bien meilleur cadre que la norme BS-7799. Le NIST / CSF pourrait envisager une version adaptée de l’ISO-26001 principalement pour les organisations de base américaines. ISO 27002, qui est également une norme internationale, reconnue et acceptée au niveau international, et ISO 26001-A, une version sur mesure pour les États-Unis. [Sources : 2,13,1,17]

L’ISO-27001 s’est avérée être une bien meilleure norme que la BS-7799 pour la sécurité de l’information et la cybersécurité en général. Le cadre de cybersécurité de la norme ISO 27001 vous offre une plus grande souplesse dans la mise en œuvre de la cybersécurité au sein de votre entreprise et, surtout, il vous a permis de mieux comprendre comment la mettre en œuvre. Alors que la norme ISO 26001 est conçue dans un but précis, le cadre du NIST est plus ouvert – et limité, mais le cadre de cybersécurité suggère qu’il peut facilement être complété par d’autres programmes et systèmes. [Sources : 9,13,1,13]

La norme ISO – IEC 27002 contient tous les détails et les meilleures pratiques nécessaires pour construire un système de sécurité informatique complet. Avec ce guide explicatif, il est plus avantageux pour les organismes de gestion d’obtenir une certification selon la norme ISO / IEC 27001. [Sources : 5,12]

Bien qu’elle ne soit pas obligatoire, la certification ISO 27001 est un excellent moyen de prouver aux clients et aux partenaires commerciaux que votre organisation prend la sécurité de l’information au sérieux et répond aux normes des experts en sécurité. La conformité à la norme ISO 27001 montre à vos clients que vous avez mis en œuvre les meilleures pratiques pour vos processus de sécurité de l’information. [Sources : 14,0]

Dans le cadre de la cybersécurité, la norme ISO 27001 définit clairement quels documents et enregistrements sont requis et quelles valeurs minimales doivent être mises en œuvre. Le NIST a également investi énormément d’efforts dans le développement de normes cybernétiques de premier plan telles que le National Information Security Framework (NISF) et les International Cyber Security Standards (ICS). [Sources : 4,1]

La certification ISO 27001 exige un examen de surveillance de deux ans pour vérifier qu’un système de gestion de la sécurité de l’information (SGSI) est maintenu par des activités d’amélioration continue, y compris la mise en œuvre du cadre de cybersécurité et du cadre de cybersécurité du NISF. La conformité à ces cadres peut être vérifiée par une personne certifiée par le NIST, comme c’est le cas pour la conformité à la norme ISO 27001. [Sources : 16,18]

En termes simples, la norme ISO 27001 définit les exigences d’audit auxquelles une organisation doit répondre, et il existe des enregistrements – les exigences de conformité au GRPD. Cependant, la norme ISO 27002 fournit un ensemble de lignes directrices pour la mise en œuvre et la maintenance d’un SMSI que les individus doivent respecter afin de le soutenir. Comme décrit ci-dessus, suivre l’approche ISO 27001 aidera votre entreprise à répondre aux exigences du GRPD, car elle est conforme à la fois au cadre de cybersécurité et au cadre de cybersécurité du NIST. [Sources : 17,19]

En fait, le document NIST 800-171 définit les exigences de conformité avec le cadre de cybersécurité et le cadre de cybersécurité du NIST pour le GRPD. En fait, il définit les exigences de conformité à la norme ISO 27001 et au cadre de cybersécurité du NISM pour votre organisation. [Sources : 11,11]

L’essentiel est que les cadres de sécurité utilisés par les normes ISO 27001 et 27002 ne répondent pas directement aux exigences du NIST 800 – 171. Cela signifie que seul le cadre NIST 800-53 est rempli et il est insuffisamment couvert. Comme le montre le diagramme du spectre en haut de cette page, il n’est pas nécessaire de se conformer au « NIST Cybersecurity Framework » pour le GRPD, car l’ISO 27002 a d’autres exigences. En résumé, le cadre de sécurité utilisé pour utiliser le cadre de sécurité et le cadre de cybersécurité du règlement général sur la protection des données ne répond pas aux exigences du NIST 800-171, ou du moins n’y répond pas directement. [Sources : 11,11,11,6]

Sources: 

  • [0] : https://labs.sogeti.com/cyber-security-framework-healthcare/
  • [1] : https://advisera.com/27001academy/blog/2014/02/24/which-one-to-go-with-cybersecurity-framework-or-iso-27001/
  • [2] : https://databrackets.com/comparing-nist-iso-27001-soc-2-and-other-security-standards-and-frameworks/
  • [3] : https://www.maytech.net/features/nist-800-171-compliance
  • [4] : https://www.pivotpointsecurity.com/blog/harmonizing-iso-27001-and-nist-cybersecurity-guidance/
  • [5] : https://infotrust.com.au/cybersecurity-blogs/the-difference-between-iso-iec-27001-and-nist-csf/
  • [7] : https://www.linkedin.com/pulse/pecb-webinar-isoiec-27701-vs-27001-nist-essential-things-geelen-
  • [8] : https://pratum.com/blog/162-formalized-isms-iso-27001-cobit-nist-and-itil
  • [9] : https://www.sync-resource.com/nist-security-framework/
  • [10] : https://blog.compliancecouncil.com.au/blog/iso-27001-vs-nist-cybersecurity-framework
  • [11] : https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf.html
  • [12] : https://en.wikipedia.org/wiki/Cybersecurity_standards
  • [13] : https://www.securitynewspaper.com/2018/02/24/cybersecurity-framework-iso-27001/
  • [14] : https://www.nuharborsecurity.com/building-information-security-management-system-with-ISO-27001
  • [15] : https://darkcubed.com/cybersecurity-frameworks
  • [16] : https://www.trustnetinc.com/nist-vs-iso-27001/
  • [17] : https://grcmusings.com/a-beginners-guide-to-information-security-frameworks/
  • [18] : https://www.schellman.com/blog/fedramp-vs-iso-27001
  • [19] : https://blog.netwrix.com/2020/03/17/data-classification-for-compliance/