ISO/CEI 27002

La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information, publiée en 2005 par l'ISO, dont le titre en français est Code de bonnes pratiques pour la gestion de la sécurité de l'information.



Catégories :

Norme ISO - Norme CEI - Standard en sécurité de l'information - Standard en sécurité informatique - Méthode d'analyse de risques - Cindynique - Assurance

Page(s) en rapport avec ce sujet :

  • Il est a noté qu'il existe d'autres SMSI : l'ISF (Information Security Forum)... 16 La norme ISO/CEI 27002 est le nouveau nom depuis juillet 2007 de la... (source : cairn)
  • C'est un nouveaux standard de sécurité de l'information public par ISO..... La norme ISO/CEI 27002 se compose d'onze sections principales, qui couvrent... (source : miageprojet.unice)
Suite ISO/CEI 27000
ISO/CEI 27000 :2009
ISO/CEI 27001 :2005
ISO/CEI 27002 :2005
ISO/CEI 27005 :2008
ISO/CEI 27006 :2007

La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information, publiée en 2005 par l'ISO, dont le titre en français est Code de bonnes pratiques pour la gestion de la sécurité de l'information.


L'ISO/CEI 27002 est un ensemble de 133 mesures dites «best practices» (bonnes pratiques en français), conçues pour être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est définie au sein de la norme comme la «préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information».

Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut cependant être mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées dans ses relations avec un client.

Historique

En 1995, le standard britannique "BS 7799" qui fut créé par le "British Standard Institue" (BSI) définit des mesures de sécurité détaillées. En 1998, le BSI scinde le premier document en deux tomes : le BS 7799-1 correspondant aux codes des bonnes pratiques, et le BS 7799-2 correspondant aux spécifications d'un Système de Management de la Sécurité de l'Information (SMSI). En 2000, l'organisation internationale de normalisation (dite ISO) édite la norme ISO/IEC 17799 :2000 correspondant aux codes des bonnes pratiques issues de la BS 7799. En 2005, deux normes sont éditées :

En 2007, la norme ISO/CEI 17799 :2005 étant obsolète, a été remplacée par la norme 27002 qui reprend la majeure partie de cette norme.

Objectifs

ISO / IEC 27002 est plus un code de pratique, qu'une véritable norme ou qu'une spécification formelle telle que l'ISO/IEC 27001. Elle présente une série de contrôles (39 objectifs de contrôle) qui suggèrent de tenir compte des risques de sécurité des informations relatives à la confidentialité, l'intégrité et les aspects de disponibilité. Les entreprises qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres risques de sécurité de l'information et appliquer les contrôles appropriés, en utilisant la norme pour orienter l'entreprise.

La norme ISO 27002 n'est pas une norme au sens habituel du terme. En effet, ce n'est pas une norme de nature technique, technologique ou orientée produit, ou une méthodologie d'évaluation d'équipement telle que les critères communs CC/ISO 15408. Elle n'a pas de caractère d'obligation, elle n'amène pas de certification, ce domaine étant couvert par la norme ISO/IEC 27001.

Mise en œuvre

La norme ne fixe pas de niveaux ou d'objectifs de sécurité et rappelle dans les chapitres d'introduction, l'obligation de faire des analyses de risques périodiques mais ne précise aucune obligation quant à la méthode d'évaluation du risque, il suffit par conséquent de choisir celle qui répond aux besoins. C'est à partir des résultats de l'analyse de risque que l'organisation «pioche» dans les différentes rubriques de la norme celles qu'elle doit mettre en œuvre pour répondre à ses besoins de sécurité. En 2002, plus de 80 000 entreprises se conformaient à cette norme à travers le monde.

Contenu de la norme

La norme ISO/CEI 27002 se compose de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants couvrent le management de la sécurité autant dans ses aspects stratégiques que dans ses aspects opérationnels.

Chapitre n°1 : Champ d'application

La norme donne des recommandations pour la gestion de la sécurité des informations pour ceux qui sont chargés de concevoir, mettre en œuvre ou maintenir la sécurité.

Chapitre n°2 : Termes et définitions

«Sécurité de l'information» est explicitement définie comme la «préservation de la confidentialité, l'intégrité et la disponibilité de l'information». Ceux-ci et d'autres termes connexes sont définies plus loin.

Chapitre n°3 : Structure de la présente norme

Cette page explique que la norme contient des objectifs de contrôle.

Chapitre n°4 : Évaluation des risques et de traitement

ISO / CEI 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations ; elle ne prescrit pas une méthode spécifique, puisque celle-ci doit être appropriée selon le contexte.

Chapitre n°5 : Politique de sécurité de l'information

Il mentionne l'obligation pour l'organisme de disposer d'une politique de sécurité de l'information et de la réexaminer régulièrement.

Chapitre n°6 : Organisation de sécurité de l'information

Il décrit les mesures nécessaires pour l'établissement d'un cadre de gestion de la sécurité en interne et traite de l'ensemble des aspects contractuels liés à la sécurisation de l'accès par des tiers (clients, sous-traitants, …) au dispositif d'information.

Chapitre n°7 : Gestion des actifs

Il montre l'importance d'inventorier et de classifier les actifs de l'organisme pour maintenir un niveau de protection adapté. Ces actifs peuvent être :

Chapitre n°8 : Sécurité liée aux ressources humaines

Il donne les recommandations conçues pour diminuer le risque d'erreur ou de fraude en facilitant la formation et la sensibilisation des utilisateurs sur les risques et les menaces pesant sur les informations.

Chapitre n°9 : Sécurités physiques et environnementales

Il décrit les mesures pour protéger les locaux de l'organisme contre les accès non autorisés et les menaces extérieures et environnementales mais aussi protéger les matériels (emplacement, maintenance, alimentation électrique …).

Chapitre n°10 : Exploitation et gestion des communications

Il décrit les mesures permettant :

Chapitre n°11 : Contrôle d'accès

Il décrit les mesures pour gérer et contrôler les accès logiques aux informations, pour assurer la protection des dispositifs en réseau, et pour détecter les activités non autorisées. Ce thème couvre aussi la sécurité de l'information lors de l'utilisation d'appareils informatiques mobiles et d'équipements de télétravail.

Chapitre n°12 : Acquisition, développement et maintenance des dispositifs d'informations

Il propose les mesures pour veiller à ce que la sécurité fasse partie intégrante des dispositifs d'information. Ce thème traite aussi des mesures visant à prévenir la perte, la modification ou la mauvaise utilisation des informations dans les dispositifs d'exploitation et les logiciels d'application et enfin à protéger la confidentialité, l'authenticité ou l'intégrité de l'information par des moyens cryptographiques.

Chapitre n°13 : Gestion des incidents

Il souligne l'obligation de mettre en place des procédures pour la détection et le traitement des incidents de sécurité.

Chapitre n°14 : Gestion de la continuité d'activité.

Il décrit des mesures pour la gestion d'un plan de continuité de l'activité visant à diminuer au maximum l'impact sur l'organisme ainsi qu'à récupérer les actifs informationnels perdus surtout suite à catastrophes naturelles, d'accidents, de pannes de matériel et d'actes délibérés.

Chapitre n°15 : Conformité

Il traite :


Cette norme est de plus en plus utilisée par les entreprises du secteur privé comme un référentiel d'audit et de contrôle, en complément de la politique de sécurité de l'information de l'entreprise. Le fait de respecter cette norme sert à viser, à moyen terme, la mise en place d'un Système de Management de la Sécurité de l'Information, ainsi qu'à long terme, une éventuelle certification ISO/CEI 27001.

Les avantages

Normes nationales apparentées

Australie/Nouvelle Zélande AS/NZS ISO/IEC 27002 :2006
Brésil ISO/IEC NBR 17799/2007 - 27002
La République tchèque ČSN ISO/IEC 27002 :2006
Danemark DS484 :2005
Estonie EVS-ISO/IEC 17799 :2003, 2005
Japon JIS Q 27002
Lituanie LST ISO/IEC 17799 :2005
Les pays bas NEN-ISO/IEC 17799 :2002 nl, 2005
La Pologne PN-ISO/IEC 17799 :2007, based on ISO/IEC 17799 :2005
Le Pérou NTP-ISO/IEC 17799 :2007
L'Afrique du sud SANS 17799 :2005
Espagne UNE 71501
La suède SS 627799
Turquie TS ISO/IEC 27002
Le royaume uni BS ISO/IEC 27002 :2005
L'Uruguay UNIT/ISO 17799 :2005
Russie ГОСТ/Р ИСО МЭК 17799-2005
Chine GB/T 22081-2008v

Références

Annexes

Voir aussi

Liens externes

Recherche sur Amazon (livres) :



Principaux mots-clés de cette page : iso - information - sécurité - norme - 2005 - 27002 - chapitres - iec - risques - cei - 17799 - gestion - mesures - entreprises - obligation - dispositif - 27001 - pratiques - politique - mise - place - intégrité - contrôles - meilleure - 2007 - confidentialité - organisation - objectifs - terme - œuvre -

Ce texte est issu de l'encyclopédie Wikipedia. Vous pouvez consulter sa version originale dans cette encyclopédie à l'adresse http://fr.wikipedia.org/wiki/ISO/CEI_27002.
Voir la liste des contributeurs.
La version présentée ici à été extraite depuis cette source le 17/12/2010.
Ce texte est disponible sous les termes de la licence de documentation libre GNU (GFDL).
La liste des définitions proposées en tête de page est une sélection parmi les résultats obtenus à l'aide de la commande "define:" de Google.
Cette page fait partie du projet Wikibis.
Accueil Recherche Aller au contenuDébut page
ContactContact ImprimerImprimer liens d'évitement et raccourcis clavierAccessibilité
Aller au menu