ISO 27002 expliqué :votre modèle pour des contrôles robustes de la sécurité des informations

L'Organisation internationale de normalisation (ISO) est une entité non gouvernementale créée pour élaborer des normes portant principalement sur des sujets techniques. La norme ISO 27002 est un ensemble de normes et de procédures qui renforcent la sécurité des informations et les contrôles permettant à une entreprise d'assurer une sécurité appropriée. Jusqu'en 2005, la norme ISO 27002 portait deux autres noms. Cette norme est largement complétée par la norme ISO 27001, qui détaille les tâches de gestion telles que l'évaluation des risques et l'examen de la sécurité, plutôt que l'aspect contrôle de la norme 27002.

Deux normes ont précédé l'ISO 27002, chacune similaire en termes de sujet et de contrôle. La première incarnation date de 1995 et est apparue au Royaume-Uni sous le nom de BS7799. Après avoir été nettoyé et modernisé, il a été publié à nouveau par l'ISO, cette fois sous le nom d'ISO 17799. En 2005, après de nouvelles modifications, il a été appelé ISO 27002. Bien que chaque version soit différente et mette successivement en évidence des problèmes et des contrôles plus modernes, les trois incarnations traitent de la sécurité de l'information.

La norme 27002 met en évidence des centaines de façons de gérer la sécurité des informations et comporte de nombreux chapitres différents pour les différents aspects de la sécurisation des informations. Certains chapitres traitent des ressources humaines et de leur interaction avec les informations, tandis que d'autres expliquent à une entreprise comment contrôler l'accès et la continuité des activités grâce à sa procédure de sécurité. La sécurité de l'information implique généralement les technologies de l'information (TI), mais la norme ISO 27002 concerne également les informations et les actifs papier, bien que la majeure partie de la norme soit destinée au service informatique.

Dans sa première version, la norme 27002 était censée être une norme de grande envergure pour toutes les institutions ayant besoin de sécurité des informations. Cela signifie qu’une entreprise, un établissement à but non lucratif, un organisme gouvernemental et une entreprise suivraient tous les mêmes normes. Les futures publications de cette norme se concentrent sur la séparation de la norme pour différents secteurs afin d'être plus efficace.

La norme ISO 27002 décrit en détail les contrôles et les procédures impliqués dans la protection des informations. D'autres normes, comme la complémentaire ISO 27001, ne proposent qu'une ou deux phrases sur le contrôle. Au lieu de cela, 27002 entre dans le contrôle avec beaucoup de détails mais offre peu de choses dans le cas de la gestion. Avec la norme ISO 27001, tous les aspects de gestion sont spécifiés.

Beaucoup de gens confondent les normes ISO 27001 et 27002, car elles traitent les mêmes sujets de différentes manières. Cela signifie que beaucoup de gens se demandent pourquoi la norme a été divisée en deux parties. La raison est que si les deux parties existaient ensemble, cela serait trop long pour une seule publication.

About Mechanics s’engage à fournir des informations précises et dignes de confiance. Nous sélectionnons soigneusement des sources réputées et employons un processus rigoureux de vérification des faits pour maintenir les normes les plus élevées. Pour en savoir plus sur notre engagement envers l’exactitude, lisez notre processus éditorial.