ISO/CEI 27002

Un article de Wikipédia, l'encyclopédie libre.

Suite ISO/CEI 27000
ISO/CEI 27000 (en préparation)
ISO/CEI 27001:2005
ISO/CEI 27002:2005
ISO/CEI 27003 (en préparation)
ISO/CEI 27004 (en préparation)
ISO/CEI 27005 (en préparation)
ISO/CEI 27006:2007
ISO/CEI 27007 (en préparation)
ISO/CEI 27011 (en préparation)

La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information, publiée en juillet 2007 par l'ISO, dont le titre en français est Code de bonnes pratiques pour la gestion de la sécurité de l'information .

Cette norme remplace la norme ISO/CEI 17799 depuis le 1er juillet 2007, cette dernière étant dépréciée. Le contenu de la norme ISO/CEI 27002:2005 est le même, à la virgule près, que celui de la norme ISO/CEI 17799:2005, publiée en juin 2005.

L'ISO/CEI 27002 est un ensemble de 133 mesures dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information ».

Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées dans ses relations avec un client.

Sommaire

[modifier] Contenu de la norme

La norme ISO/CEI 27002 est composée de onze sections principales, qui couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels. Chaque section constitue un chapitre de la norme :

  • Chapitre 5 : Politique de sécurité.
  • Chapitre 6 : Organisation de la sécurité de l'information.
  • Chapitre 7 : Gestion des biens.
  • Chapitre 8 : Sécurité liée aux ressources humaines.
  • Chapitre 9 : Sécurité physique et environnementale.
  • Chapitre 10 : Gestion des communications et de l'exploitation.
  • Chapitre 11 : Contrôle d'accès.
  • Chapitre 12 : Acquisition, développement et maintenance des systèmes d'information.
  • Chapitre 13 : Gestion des incidents liés à la sécurité de l'information.
  • Chapitre 14 : Gestion de la continuité d'activité.
  • Chapitre 15 : Conformité légale et réglementaire.

Chaque section spécifie les objectifs à atteindre et énumère un ensemble de mesures (les « best practices ») permettant d'atteindre ces objectifs. La norme ne détaille pas les mesures, car chaque organisation est censée procéder à une évaluation de ses propres risques afin de déterminer ses besoins avant de choisir les mesures qui seront appropriées dans chacun des cas possibles.

Cette norme est de plus en plus utilisée par les entreprises du secteur privé comme un référentiel d'audit et de contrôle, en complément de la politique de sécurité de l'information de l'entreprise. Le fait de respecter cette norme permet de viser, à moyen terme, la mise en place d'un Système de Management de la Sécurité de l'Information, et à long terme, une éventuelle certification ISO/CEI 27001.

[modifier] Normes nationales apparentées

L'ISO/CEI 27002 a des équivalents nationaux dans plusieurs pays comme l'Australie et la Nouvelle Zélande (AS/NZS 4444), les Pays-Bas (SPE 20003), la Suède (SS 627799), le Japon (JIS X 5080) et le Royaume-Uni (BS7799:1999 Part 1 - le standard original, auquel correspond mot à mot la norme ISO/CEI 17799:2000).

[modifier] Références

  • ISO/CEI 27002:2005

[modifier] Annexes

[modifier] Voir aussi

[modifier] Liens externes


Audit de sécurité informatique
Test : Test | Génie logiciel | Prise d'empreinte de la pile TCP/IP
Outils : Fuzzing | Rétro-ingénierie | Boîte blanche | Boîte noire | Cryptanalyse
Attaque : Dépassement de tampon | Attaque de l'homme du milieu
Protection : Sécurité par l'obscurité
Audit : ISO/CEI 27001 | ISO/CEI 17799