Publié le 11/10/2013, mis à jour le 24/02/2022 à 11:29 Sécurité de l’information : ISO/CEI 27001, une nouvelle version pour une meilleure gestion des risques
La norme internationale ISO/CEI 27001 vient d’être révisée. Cette norme fait partie des incontournables et délivre les exigences essentielles pour la mise en place d’un système de management de la sécurité de l’information. Découvrez la nouvelle version de la norme !
Avec le développement continu des technologies de communication, la norme ISO/CEI 27001 se devait de prendre en compte ces évolutions et les risques qui y sont liés. Par ailleurs, il convenait de clarifier certains points et de faciliter l’intégration de la norme dans les systèmes de management par l’adoption de la structure du guide 83, une structure commune à toute norme de système de management calquée sur le principe du PDCA. Cette révision engage les organismes à mieux s’organiser pour traiter et surveiller les objectifs de sécurité et donc à être plus performant dans la sécurité et dans le management de la sécurité.
Quels sont les changements majeurs apportés par rapport à la version de 2005 ?
Le domaine d’application a été simplifié afin de s’adresser à toutes les organisations. Les notions de PDCA et d’amélioration continue sont renforcées tout au long du document et l’importance de l’implication de la direction dans la mise en place d’un système de management de la sécurité de l’information est soulignée. Les parties intéressées sont prises davantage en compte. Un focus est réalisé sur les compétences, la sensibilisation et la formation des personnes. A noter que la norme limite sa portée à la continuité de la sécurité de l’information et ne porte plus d’exigences sur la continuité d’activité d’une organisation.
Une norme phare
L’ISO/CEI 27001 permet d’établir, de mettre en œuvre, de maintenir et d’améliorer de manière continue un système de management de la sécurité de l’information.
Pour les organisations, mettre en place un tel système permet de répondre aux problématiques de sécurité, de confidentialité et de gestion des risques. Les exigences énoncées suivent le processus PDCA (Plan-Do-Check-Act). Elles sont génériques et prévues pour s’appliquer à toutes les organisations, quelle que soit type, la taille ou la nature.
La norme donne des recommandations sur les rôles organisationnels, les responsabilités et les autorités au sein de l’organisation vis-à-vis du système de management de sécurité de l’information, sur les actions à mettre en place sur les risques et opportunités, sur les objectifs à fixer pour atteindre une sécurité de l’information, sur les compétences et les ressources en interne ainsi que sur l’évaluation de la performance du système de management.
Elle inclut également des exigences pour l’évaluation et le traitement des risques pour la sécurité de l’information adaptées aux besoins de l’organisation.
Les experts de la commission de normalisation AFNOR « Sécurité des systèmes d’information » ayant suivi de près les travaux internationaux d’élaboration de la norme, travaillent actuellement à la version française de la norme. Cette version est attendue pour la fin de l’année 2013.
Contacts AFNOR : Frédéric Solbes , chef de projet AFNOR Normalisation voir l'email
