Iso 27001 Vs 27002

Toute personne intéressée par la sécurité de l’information a déjà rencontré la norme ISO 27001, une norme internationale qui décrit les standards de protection des données et des informations dans le secteur des technologies de l’information et de la communication (TI). En bref, il s’agit d’un ensemble de lignes directrices pour la mise en œuvre des meilleures pratiques pour les entreprises qui souhaitent être certifiées par l’Organisation internationale de normalisation de la sécurité de l’information (ISO) et l’Union européenne (UE). Sources : 1,12]

En résumé, la norme ISO 27001 sert à établir un ensemble de lignes directrices pour l’introduction de systèmes de gestion de la sécurité de l’information. Les meilleures pratiques décrites dans la norme ISO 17799 sont définies, maintenues, mises en œuvre et améliorées par l’Union européenne (UE) et l’Organisation internationale de normalisation de la sécurité de l’information (ISO). [Sources : 21,8]

En outre, il a été souligné que pour obtenir la certification ISO 27001, les organisations doivent adapter leurs systèmes de gestion de la sécurité de l’information (SGSI) et leurs politiques et procédures de protection des données (NIS-1) à la norme ISO 27001 et que les structures nécessaires doivent être mises en place pour garantir que de nombreux risques sont liés à l’ère numérique. En utilisant cette norme de référence, les entreprises peuvent être gérées et soutenues conformément à la directive NIS 1 et une base de référence pour le développement et la mise en œuvre de leurs systèmes de sécurité informatique est établie. Sources : 0,0,10]

La différence entre SOC-2 et ISO 27001 est qu’un audit ISO 27001 est réalisé selon un cadre certifiable reconnu au niveau international. Les organisations peuvent également se référer à l’audit du système de gestion de la sécurité (SOC) de l’Organisation internationale de normalisation (IOS) pour examiner leurs efforts en matière de sécurité. Sources : 18,20]

L’ISO 27002 est une norme supplémentaire qui fournit des conseils sur la mise en œuvre des contrôles de sécurité énumérés à l’annexe A de l’ISO 27001. Contrairement aux 114 contrôles de l’annexe 2701001, l’ISO 27002 contient une description détaillée des 14 groupes qui composent les contrôles de l’ISO 26001 et une description détaillée de leur application aux contrôles contenus dans les listes de contrôles A, ISO 29001 et ISO 28001 jointes. Sources : 1,15,17]

L’ISO 27002 explique chacun de ces contrôles, alors que l’ISO / CEI 27001 ne consacre qu’une phrase à chaque contrôle. Si l’on compare l’ISO 2701001 à l’ISO 27002, il me semble que c’est une norme beaucoup plus détaillée, puisqu’elle comporte 91 pages, contre 31 pages pour l’ISO 28001. La norme ISO 26001 est inutilement longue et compliquée, car elle est aussi détaillée que la norme ISO 29001, mais ne comporte pas autant de contrôles. Une meilleure façon de répondre à cette question est de penser à combiner les avantages de l’ISO 21001 et de l’ISO 27002 en un ensemble entièrement fonctionnel et conforme. Sources : 20,11,1,3]

Si vous envisagez de mettre en œuvre un SMSI, vous devriez utiliser les normes ISO 27001 et ISO 27002 comme cadres de référence. Pour obtenir la certification, votre organisation doit passer les 114 contrôles de sécurité contenus dans les normes ISO / IEC 2701001, ISO 28001 ou ISO 29001. Il faut être en mesure de soutenir vos organisations en étant un expert ISO27001 qui s’attache à travailler avec des organisations ayant un haut niveau de conformité et mettant l’accent sur la sécurité et la conformité – des normes et des pratiques conviviales. Sources : 15,11,2,16]

Les deux normes de conformité les plus courantes sont ISO / IEC 27001 (2013), souvent abrégée en ISO27001, et ISO 27002. L’une des principales différences à prendre en compte dans le rapport ISO 26001 / SOC 2.0 est que la conformité du certificat implique la délivrance d’un certificat pour un certain type de certificat, tel qu’un certificat ISO 29001. [Sources : 5,5]

Le programme 27001 (2013) est accrédité ISO par l’ANSI National Accreditation Board, et l’organisme de certification fournit un système de gestion d’audit et de certification. La certification est effectuée par des experts certifiés selon la norme ISO 27002 et employés par un registraire validé par l’ISO. Sources : 3,6]

L’ISO 27002 fournit des contrôles spécifiques nécessaires à la mise en œuvre de l’ISO 27001, mais il s’agit d’une norme supplémentaire qui fournit des conseils sur la manière de mettre en œuvre les contrôles de sécurité de l’annexe A de l’ISO 27001. L’annexe A contient une liste de contrôles de sécurité à intégrer dans le système de gestion de la sécurité de l’information (SGSI). L’ISO / CEI-27002 (2013) n’est pas une norme de gestion et les organisations ne peuvent pas être certifiées selon elle, car elle ne prévoit qu’une norme technique et non un système de gestion d’audit et de certification. Sources : 4,7,14]

La norme ISO 27001 est une norme internationale qui définit les exigences d’un SMSI et fournit des conseils sur la façon de le faire, mais elle ne vous dit pas ce que fait le cadre, ni ne donne de directives spécifiques sur ce qu’il fait. En fait, beaucoup d’autres cadres disponibles sont basés sur la norme ISO 27002, et bien qu’elle ait l’air d’une structure très similaire, elle est conçue pour compléter les exigences décrites dans la norme ISO 26001 en décrivant les meilleures pratiques en matière de contrôles, plutôt que de décrire les meilleures pratiques en matière de contrôles. La norme ISO27002 est basée sur la norme ISO 28001 et fournit des conseils sur les différents contrôles qui peuvent être utilisés pour répondre aux exigences de la norme ISO 29001. Sources : 11,19,22,13]

La norme ISO 27001 peut contribuer à la sécurité de votre entreprise en garantissant la confidentialité des informations clients et des données internes. Par exemple, il existe un grand potentiel de réduction du risque en appliquant les contrôles de sécurité offerts par la norme ISO 2701001. ISO 9001 Par exemple, vous pouvez exploiter le potentiel des systèmes de gestion de la qualité, et il existe de nombreux autres avantages. [Sources : 9,9]

Sources: 

• [0] : https://www.clipeum.be/en/information-security-services/iso-27001-iso-27002-services
• 1] : https://www.itgovernance.co.uk/blog/understanding-the-differences-between-iso-27001-and-iso-27002
• [4] : https://docs.microsoft.com/en-us/azure/compliance/offerings/offering-iso-27001
• [5] : https://www.vxchnge.com/blog/iso-27001-vs-soc-2
• [6] : https://www.insightsassociation.org/get-support/iso-information-security-standard-27001
• [7] : https://www.isoindia.org/faqs.php?certification=what-is-the-difference-between-iso-27001-and-iso-27002 ?
• [8] : https://linfordco.com/blog/soc-2-security-vs-iso-27001-certification/
• [9] : https://xbsoftware.com/faq/difference-between-iso-certified-and-non-iso-companies/
• [10] : https://www.riskmanagementstudio.com/strategy-for-iso-27001-certification/
• [11] : https://blog.compliancecouncil.com.au/blog/iso-27001-vs.-iso-27002-whats-the-difference
• [12] : https://www.dionach.com/en-us/blog/what-is-the-difference-between-iso-27001-and-iso-27002/
• [13] : https://www.scribd.com/book/425074858/Information-Security-Risk-Management-for-ISO-27001-ISO-27002-third-edition
• [14] : https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf.html
• [15] : https://www.imsm.com/ie/news/iso-27001-iso-27002-how-they-work-together/
• [16] : https://reciprocitylabs.com/preparing-for-an-iso-27001-and-27002-audit/
• [18] : https://kirkpatrickprice.com/blog/soc-2-vs-iso-27001-which-one-do-you-need/
• [19] : https://www.tcdi.com/iso-27000-certification-history-overview/
• [20] : https://www.exin.com/article/information-security-how-iso27001-and-iso2002-are-related?language_content_entity=en
• [21] : https://www.bankinfosecurity.com/iso-17799-27001-setting-standards-for-information-security-a-165
• [22] : https://www.bcs.org/content-hub/why-iso-27001-is-not-enough/

---

• LinkedIn
• Twitter