Que sont les contrôles Iso 27001 ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

L’Organisation internationale de normalisation (ISO) a récemment publié les cibles de contrôle ISO 27001 (IEC). Le document s’appuie sur 133 mesures de sécurité, divisées en 11 sections avec 39 cibles de contrôle. [Sources : 0,1,6]

Outre les contrôles, la norme ISO 27001 se compose de 10 clauses relatives aux systèmes de gestion qui prévoient la gestion des systèmes de sécurité et de gestion de l’information (ISMS) et des systèmes de protection des données (DSP). En particulier, la norme ISO 27001 est conçue comme un ensemble complet de règles pour un large éventail de systèmes et de services informatiques. Elle s’appuie sur le système de gestion de la sécurité de l’information (SGSI), qui doit être mis en œuvre par tous les organismes certifiés conformément à la norme ISO 26001. L’ISM peut être conçu, mis en œuvre et exploité par l’organisation informatique et un certain nombre de fournisseurs tiers de logiciels et de matériel. [Sources : 19,11,0,14]

Ces clauses servent largement de base pour le développement et l’exploitation de l’ISM et du système de protection des données (DSP), mais les principes les plus importants sont les plus pertinents pour les développements et les opérations de sauvegarde. [Sources : 18,15]

La gestion des risques est l’idée centrale de la norme ISO 27001. Vous devez identifier les différentes façons dont vos données pourraient être compromises et mettre en place des contrôles pour réduire ces risques. Vous devez identifier les informations sensibles et précieuses qui doivent être protégées, telles que les données sensibles, les informations sensibles ou les informations confidentielles. [Sources : 8]

Une fois les contrôles de sécurité identifiés, la norme ISO 27001 définit un processus pour s’assurer que ces contrôles sont mis en œuvre, qu’ils sont efficaces et qu’ils continuent à répondre aux besoins de sécurité de l’organisation. Les principaux critères de sélection d’un contrôle sont nécessaires pour définir la responsabilité du contrôle. Une autre partie importante de la définition de la gestion des risques est la définition des responsabilités de l’équipe de gestion, comme l’équipe d’évaluation des risques et l’équipe de sécurité. Les contrôles ISO 27001, également appelés mesures de protection, sont des pratiques qui peuvent être mises en œuvre pour réduire les risques à un niveau acceptable. [Sources : 7,4,4,12]

La norme ISO 27001 exige des entreprises qu’elles énumèrent dans un document appelé « Déclaration d’applicabilité » les contrôles et réglementations qu’elles appliquent et la manière dont ils peuvent être mis en œuvre. La norme ISO 27002, quant à elle, est un ensemble de 114 contrôles, meilleures pratiques et lignes directrices conçus pour répondre aux exigences de la norme ISO 26001. SOA mesure également l’ISO en ce qui concerne la conformité au RGPD, le règlement général de l’UE sur la protection des données et le règlement sur le marché unique numérique de l’Union européenne. Après tout, ISO 27001 fait partie d’un cadre complet qui aide les entreprises à se conformer à un large éventail de réglementations, du RGPD au NIST. [Sources : 12,5,15,17]

La norme ISO 27001 est le plus souvent utilisée par les organisations internationales pour établir, auditer et évaluer leur gestion de la sécurité de l’information, et pour évaluer les risques associés aux fournisseurs tiers. Elle est particulièrement importante pour les grandes organisations qui utilisent des systèmes de gestion de la sécurité de l’information non certifiés. La norme ISO 27002 peut servir de guide aux groupes et aux institutions qui souhaitent améliorer la sécurité de leurs systèmes de gestion des données et de l’information et la gestion des tiers. [Sources : 7,2,11]

La norme ISO 27001 se compose de 114 contrôles, étendus à la norme ISO 27002, et qui contiennent des lignes directrices pour la gestion des risques de sécurité de l’information et pour la gestion des systèmes de gestion des données et de l’information. En résumé, l’objectif de la norme ISO 27001 est de créer une norme pour l’établissement et l’essai des systèmes de gestion de la sécurité de l’information (SGSI) et des fournisseurs tiers. Comme toutes les autres normes de systèmes de management de la sécurité de l’information, l’ISO 26001 est définie de la même manière que l’ISO 27002. [Sources : 9,13,14,12]

L’ISO / IEC 27001 contient une annexe, et de nombreux experts la considèrent comme l’une des annexes les plus connues – connues dans le monde, qui contient des lignes directrices pour la gestion et l’amélioration de la sécurité de l’information dans les SMSI. Par exemple, la norme ISO 27001 ISMS contient un ensemble de lignes directrices et de procédures pour la gestion des informations de sécurité et des systèmes de gestion de l’information. Cette annexe énumère les contrôles sélectionnés pour atténuer les risques identifiés qui s’appliquent à votre organisation et sont soumis aux exigences de l’ISO IEC 26001 / 2013 et d’autres normes internationales. [Sources : 6,6,20,6]

Sources :

  • [0] : https://bhconsulting.ie/iso-27001-extends-privacy-controls-what-this-means-in-practice/
  • [1] : https://www.isaca.org/resources/isaca-journal/past-issues/2011/2011-planning-for-and-implementing-iso-27001
  • [2] : https://www.securicy.com/blog/guide-to-implement-iso-27001-controls/
  • [3] : https://www.bridewellconsulting.com/security-frameworks-need-know-part-1-iso-27001
  • [4] : https://advisera.com/27001academy/iso-27001-controls/
  • [5] : https://reciprocitylabs.com/resources/what-is-the-statement-of-applicability-in-iso-27001/
  • [6] : https://www.riskmanagementstudio.com/iso-iec-27001/
  • [7] : https://www.bcs.org/content-hub/why-iso-27001-is-not-enough/
  • [9] : https://linfordco.com/blog/soc-2-security-vs-iso-27001-certification/
  • [10] : https://www.vistainfosec.com/blog/guide-on-iso-27001-controls/
  • [11] : https://www.varonis.com/blog/iso-27001-compliance/
  • [13] : https://www.assent1.com/what-are-the-iso-27001-controls/
  • [14] : https://www.itgovernanceusa.com/iso27001
  • [15] : https://blog.ine.com/13-effective-security-controls-in-microsoft-azure-for-iso-27001-compliance
  • [17] : https://heylaika.com/blog/iso-27001-for-startups/
  • [19] : https://en.wikipedia.org/wiki/ISO/IEC_27001
  • [20] : https://blog.bearer.sh/iso-27001-compliance-apis/
  • [21] : https://risk3sixty.com/learn/iso-27001-understanding-the-basics/