Qu’est-ce que l’ISO 27002 ?
La norme ISO 27002 est une norme internationale visant à assurer et améliorer la sécurité des informations et la protection des données, dans les organisations du monde entier. Cette dernière est très utile à l’entreprise pour renforcer sa compétitivité et la confiance qu’on lui porte.
Cette norme est le guide de bonnes pratiques de mise en œuvre des mesures de sécurité demandé par l’ISO 27001.
Un guide de bonnes pratiques de mise en œuvre des mesures de sécurité demandé par l’ISO 27001.
Pour qui ?
Elle peut être mise en œuvre par tous types d’organisation confrontées à des risques de sécurité de l’information.
Pourquoi ?
Cette norme est très importante car elle fournit les lignes directrices fondamentales qui aident à initier, à mettre en œuvre, à maintenir et à améliorer le management de la sécurité de l’information au sein d’une organisation. En résumé, protéger leurs clients et leurs informations confidentielles contre d’éventuelles menaces.
Son évolution :
L’histoire de l’ISO 27002 a débuté en 1995 au Royaume Uni, sous le nom de BS7799. Elle s’est ensuite modernisée et a évolué en 2000 pour devenir l’ISO 17799. Puis en 2005, elle a été nommée ISO 27002.
Bien qu’elles soient chacune différentes aux vues des évolutions apportées successivement à ces trois versions. Elles traitent toutes du même sujet : les bonnes pratiques en sécurité de l’information.
Mais alors qu’est-ce qui a changé ?
Au fil de son évolution, cette norme a été fortement amélioré et est devenu beaucoup plus pertinente et équilibrée. Les objectifs étaient clairs : viser une meilleure lisibilité et moins de redondance dans les recommandations de sécurité.
De plus en plus moderne, cette nouvelle version assure aujourd’hui à l’entreprise de disposer d’un socle documentaire aligné à son organisation avec des politiques plus compréhensible et applicable.
Dans la version de 2005, 11 chapitres décrivaient 39 objectifs de contrôle, qui eux concernaient les aspects techniques liés aux technologies de communication et couvraient les risques de sécurité de l’information.
A présent, la norme se divise en 14 chapitres et compte 45 objectifs de contrôle. Ces objectifs sont maintenant formulés de manière beaucoup plus synthétiques, souples, donc plus faciles à implémenter. Cette évolution longuement attendue a permis de supprimer des mesures de sécurité obsolète et incompréhensibles en plus de la restructuration des chapitres.
Ces objectifs sont maintenant formulés de manière beaucoup plus synthétiques, souples, donc plus faciles à implémenter.
ISO 27002 ou ISO 27001 ?
La finalité de la série des normes ISO 27000 est d’assurer la sureté et la sécurité d’information au sein des organisations.
Ces normes ont toutes deux étaient mises au point afin de :
- Garantir un bénéfice pour les organisations,
- Fournir un service sécurisé aux clients,
- Améliorer la sécurité de l’information pour l’entreprise.
Toutefois les référentiels ISO 27001 et ISO 27002 peuvent facilement être confondus. Il est donc intéressant de connaître la différence entre ces deux normes.
L’ISO 27001 regroupe l’ensemble des exigences de la norme et est utilisée par les entreprises qui souhaitent se certifier. L’ISO 27002 quant à elle, regroupe l’ensemble des bonnes pratiques et méthodes à appliquer permettant de répondre aux exigences de l’ISO 27001. En d’autres termes, l’ISO 27001 est une norme d’audit, basée sur des exigences vérifiables en matière de gestion de la sécurité, dont le but est de fournir des exigences pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un système de gestion de la sécurité de l’information.
A contrario, l’ISO 27002 est un guide de mise en œuvre basé sur les meilleures pratiques recommandées et fournit un soutien et des conseils aux personnes responsables de la création, de la mise en œuvre ou de la maintenance des SMSI.
En ce sens, la nouvelle version de l’ISO 27002 va très certainement faciliter la mise en place de la partie technique de l’ISO 27001 au sein des entreprises. Et donc potentiellement l’accès à cette certification convoitée.
Que vous soyez acteurs du numérique ou de l’information, le processus de certification prend plusieurs mois. N’hésitez donc pas à l’entamer dès maintenant ! Si vous avez des interrogations ou si vous souhaitez vous faire accompagner, Feel Agile est votre chef d’orchestre.
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
