Afnor bivi qualité
1 0

Connexion

Identifiez-vous pour accéder aux contenus.

Retour
Mot de passe oublié

Pas de compte ?

Confirmation

Pour retrouver votre sélection lors d’une prochaine session, vous devez impérativement l’enregistrer.

Ajout à la sélection impossible

Le document se trouve déjà dans votre sélection

Login
  • Accueil
  • Thématiques / Articles
    • Management de la qualité
    • Audit et Autoévaluation
    • Formulaires et outils qualité
    • Certification
    • Amélioration continue
    • Environnement
    • Maîtrise des risques
  • Normes
  • Réglementations
  • Actualités
  • Outils
    • Outils téléchargeables
    • Kits
    • Livres blancs
  • SOS Expert
  • Tutoriels
  • Contactez-nous
  • Mentions légales

Critères de recherche :

  • 0Type de document
  • 0Centres d'intérêt
  • 0Démarches

Critères de recherche :

Type de document
Centres d'intérêt
  • Risques
  • Qualité
  • Environnement
Risques
Qualité
Environnement
Démarches
  • Bien vendre
  • Intégrer une nouvelle démarche
  • Élaborer la stratégie d'entreprise
  • Manager la production
  • Améliorer en permanence
  • Manager les ressources humaines
  • Mettre en œuvre la qualité
  • Prendre en compte le client
  • Bien gérer les achats
  • Améliorer son efficacité économique
  • Comprendre les enjeux
  • Prendre en compte ses parties prenantes
  • Réduire ses impacts
  • S'améliorer avec méthode
  • Valoriser sa démarche
  • Gérer les risques
Bien vendre
Intégrer une nouvelle démarche
Élaborer la stratégie d'entreprise
Manager la production
Améliorer en permanence
Manager les ressources humaines
Mettre en œuvre la qualité
Prendre en compte le client
Bien gérer les achats
Améliorer son efficacité économique
Comprendre les enjeux
Prendre en compte ses parties prenantes
Réduire ses impacts
S'améliorer avec méthode
Valoriser sa démarche
Gérer les risques

SOS Expert

Contactez-nous

Tutoriels

FAQ
Risques Qualité Environnement
Bien vendre Intégrer une nouvelle démarche Élaborer la stratégie d'entreprise Manager la production Améliorer en permanence Manager les ressources humaines Mettre en œuvre la qualité Prendre en compte le client Bien gérer les achats Améliorer son efficacité économique Comprendre les enjeux Prendre en compte ses parties prenantes Réduire ses impacts S'améliorer avec méthode Valoriser sa démarche Gérer les risques
Vous n'avez aucune recherche mémorisée ! Pour enregistrer une recherche, cliquez sur le bouton « Mémoriser ma recherche » situé en haut d'une liste de résultats. Cochez la case : « Je souhaite mémoriser mes critères de recherche et créer un profil de recherche ». Retrouvez toutes vos recherches mémorisées dans l'espace Mon compte/Mes recherches.
  • Thématiques / Articles
    • Management de la qualité
    • Audit et Autoévaluation
    • Formulaires et outils qualité
    • Certification
    • Amélioration continue
    • Environnement
    • Maîtrise des risques
  • Normes
  • Réglementations
  • Actualités
  • Outils
    • Outils téléchargeables
    • Kits
    • Livres blancs
Retour
Retour

Article d'auteur Management de la qualité - VI-60 - 15/03/2023


Gestion de la sécurité de l’information selon l’ISO 27001:2022 – Certification du système de management de la sécurité de l’information

Centres d'intérêt : Technologies de l'information / Maîtrise des risques / Certification

Démarches Découvrir un référentiel / Gérer la sécurité de l'information / Se faire certifier

Par  Linlaud Daniel

Voir la vidéo de l'auteur

Acheter ses ouvrages

Bibliographie

Articles d'auteur

Actualités

  • Texte intégral
  • Résumé

1  La genèse

C’est en mars 1995 que le BSI (British Standards Institution) a publié la version finalisée de sa norme BS 7799-1, qui a été adoptée par l'ISO (International Organization for Standardization) et l’IEC (International Electrotechnical Commission) en décembre 2000, au terme d’une procédure rapide et simplifiée nommée fast track[1], sous la référence ISO/IEC 17799. Ce document n’était pas une norme de certification, mais un code de bonne pratique couvrant les aspects techniques, organisationnels, sociaux et juridiques de la sécurité de l’information. En 1998, le BSI publiait un deuxième volet, le BS 7799-2, décrivant l’ensemble des tests et des contrôles à effectuer pour s’assurer du bon respect des principes de sécurité exposés dans le premier volet (BS 7799-1) et obtenir ainsi une certification.

Dès sa publication en décembre 2000, le recueil de bonnes pratiques ISO/IEC 17799 s’est imposé dans de nombreux pays, notamment sur le continent asiatique, comme un référentiel incontournable pour toute entreprise privée ou tout organisme public soucieux d’élaborer et de mettre en œuvre une véritable politique de sécurité de l’information. Dans certains pays, particulièrement en France, les polémiques nées de l’utilisation d’une procédure fast track ont eu pour effet de ralentir l’expansion de cette norme, et il a fallu attendre 2006 pour enregistrer la certification de la première entreprise française. Il faut dire que, depuis leur création, de nombreuses évolutions ont rendu les normes BS 7799 incontournables :

– en septembre 2002, le BSI éditait une nouvelle version de la norme BS 7799-2 proposant notamment une démarche de définition et de mise en œuvre d’un SMSI (système de management de la sécurité de l’information) harmonisée avec celle décrite dans la norme ISO 9001 pour le SMQ (système de management de la qualité) ou dans la norme ISO 14001 pour le SME (système de management environnemental) ;

– une nouvelle version de la norme ISO/IEC 17799 a paru en juin 2005, sous la référence ISO/IEC 17799, après un travail collectif mené par un groupe de travail constitué au sein des États membres de l’ISO**iso-00066** ;

– en octobre 2005, la BS 7799-2 est devenue l’ISO/IEC 27001 (référence française : NF ISO/IEC 27001, Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences), premier volet d’une nouvelle série de normes créée sur le modèle de la série ISO 9000 pour la gestion de la qualité, ou de la série ISO 14000 pour ce qui concerne l’environnement ;

– enfin, en avril 2007, la norme ISO/IEC 17799 est devenue ISO/IEC 27002 (référence française : NF ISO/IEC 27002, Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour les mesures de sécurité de l’information), sans modification de son contenu, pour respecter le nouveau système de numérotation.

Les dernières versions des normes ISO/IEC 27002 et ISO/IEC 27001 sont disponibles respectivement depuis février et octobre 2022, en distribution internationale de langue anglaise. Les versions françaises (NF EN ISO/IEC 27002:2022 et NF ISO/IEC 27001:2023) ont été diffusées début 2023.

Les modifications les plus significatives apportées par ces nouvelles versions sont les suivantes :

– changement de titre pour les deux normes :

  • Sécurité de l’information, cybersécurité et protection de la vie privée – Systèmes de management de la sécurité de l’information – Exigences pour la NF ISO/IEC 27001:2023 ;
  • Sécurité de l’information, cybersécurité et protection de la vie privée – Mesures de sécurité de l’information pour la NF EN ISO/IEC 27002:2022.

– dans la norme ISO/IEC 27002 : nouvelle organisation des mesures de sécurité, maintenant réparties dans 4 thèmes au lieu de 14 dans la version antérieure, création de 11 nouvelles mesures et fusion de certaines autres portant sur des sujets connexes, ce qui engendre une diminution globale de leur nombre, qui passe de 114 à 93 (cf. le paragraphe 3.2 de cet article) ;

– dans la norme ISO/IEC 27001 : alignement de l’annexe A (cf. le paragraphe 3.2 de cet article) sur les nouvelles mesures présentées dans la norme ISO/IEC 27002 et ajustement du texte pour mise en conformité avec la structure harmonisée des normes de système de management. Les modalités de transition vers cette nouvelle version, pour ce qui concerne la certification, sont décrites au paragraphe 5.5.

[1]. Une norme élaborée en dehors de l’ISO peut être proposée selon une procédure rapide et simplifiée (fast track), au stade de draft international standard (DIS) ; elle est ensuite traitée selon la voie normale. En revanche, une norme provenant d’un organisme international de normalisation reconnu par l’ISO peut être soumise directement au stade de final draft international standard (FDIS) et faire l’objet d’un vote pour devenir une norme ISO. C’est cette procédure qui a été utilisée par le BSI pour la BS 7799-1.
[2]. Le modèle PDCA (plan, do, check, act : préparer, faire, vérifier, agir) a été présenté pour la première fois en 1950 par William Edwards Deming, statisticien américain ayant travaillé notamment sur l’optimisation de la productivité et de la qualité, à l’origine de la transformation de l’industrie japonaise après la guerre. Ce modèle d’amélioration continue, qui préconise une approche systémique, est utilisé dans de nombreux domaines de la gestion et de l’industrie ; c’est, par exemple, la base du cycle de traitement et d’amélioration continue de la norme NF EN ISO 9001 (gestion de la qualité).
[3]. Source : ISO Survey of Management System Standard Certifications, 2019.
[4]. Expression des besoins et identification des objectifs de sécurité.
[5]. Méthode harmonisée d'analyse du risque informatique.
[6]. Le lecteur pourra consulter à ce propos l’article du même auteur : « Gestion des accès au système d’information – Mise en conformité avec l’ISO 27001 ».

Pour lire le document, abonnez-vous ou faites un essai gratuit.



Vous avez déjà un compte ? Identifiez-vous

Cet article présente la norme ISO 27001:2022 ainsi que les autres normes de la série ISO 27000. Il décrit la démarche permettant d’élaborer et de déployer son système de management de la sécurité de l’information (SMSI) puis de préparer une certification avec les meilleures chances de réussite. Il s’adresse tout particulièrement aux personnes qui, au sein d’un organisme public ou privé, sont chargées d’assurer la sécurité du système d’information.

Retour
  • Sommaire
  • 1 La genèse
  • 2 La série de normes ISO 27000
  • 3 La certification ISO/IEC 27001
  • 3.1 La sécurité de l’information
  • 3.2 Le contenu des normes ISO/IEC 27001:2022 et ISO/IEC 27002:2022
  • 3.3 L’intérêt de la certification
  • 3.4 La préparation de la certification
  • 3.5 Le point sur la certification ISO 27001 dans le monde
  • 3.6 Les exigences de la norme ISO/IEC 27001:2022
  • 3.6.1 Contexte de l’organisme (article 4)
  • 3.6.2 Leadership (article 5)
  • 3.6.3 Planification (article 6)
  • 3.6.4 Supports (article 7)
  • 3.6.5 Fonctionnement (article 8)
  • 3.6.6 Évaluation de la performance (article 9)
  • 3.6.7 Amélioration (article 10)
  • 4 La complémentarité de la série ISO 27000 avec les normes ISO 9001 et ISO 14001
  • 5 La démarche de certification
  • 5.1 La définition des objectifs de sécurité de l’organisme
  • 5.2 L’évaluation des risques de sécurité
  • 5.3 Les facteurs de succès
  • 5.4 Le choix des mesures de sécurité
  • 5.4.1 La déclaration d’applicabilité
  • 5.4.2 Les mesures de sécurité de l’annexe A
  • Article 5 : Mesures de sécurité organisationnelles
  • Article 6 : Mesures de sécurité applicables aux personnes
  • Article 7 : Mesures de sécurité physique
  • Article 8 : Mesures de sécurité technologiques
  • 5.5 Le déroulement de la certification
  • 5.6 Les documents à produire
  • 5.6.1 Les deux groupes de documentations à rédiger
  • 5.6.2 Les politiques thématiques
  • 5.6.3 Les guides, procédures et chartes
  • 5.6.4 Les plans d’action
  • 5.6.5 Le tableau de bord

Navigation rapide

  • Sommaire
  • Recherche
  • Figure
1 La genèse 2 La série de normes ISO 27000 3 La certification ISO/IEC 27001 3 La certification ISO/IEC 27001 3.1 La sécurité de l’information 3.2 Le contenu des normes ISO/IEC 27001:2022 et ISO/IEC 27002:2022 3.3 L’intérêt de la certification 3.4 La préparation de la certification 3.5 Le point sur la certification ISO 27001 dans le monde 3.6 Les exigences de la norme ISO/IEC 27001:2022 3.6 Les exigences de la norme ISO/IEC 27001:2022 3.6.1 Contexte de l’organisme (article 4) 3.6.2 Leadership (article 5) 3.6.3 Planification (article 6) 3.6.4 Supports (article 7) 3.6.5 Fonctionnement (article 8) 3.6.6 Évaluation de la performance (article 9) 3.6.7 Amélioration (article 10) 4 La complémentarité de la série ISO 27000 avec les normes ISO 9001 et ISO 14001 5 La démarche de certification 5 La démarche de certification 5.1 La définition des objectifs de sécurité de l’organisme 5.2 L’évaluation des risques de sécurité 5.3 Les facteurs de succès 5.4 Le choix des mesures de sécurité 5.4 Le choix des mesures de sécurité 5.4.1 La déclaration d’applicabilité 5.4.2 Les mesures de sécurité de l’annexe A 5.4.2 Les mesures de sécurité de l’annexe A Article 5 : Mesures de sécurité organisationnelles Article 6 : Mesures de sécurité applicables aux personnes Article 7 : Mesures de sécurité physique Article 8 : Mesures de sécurité technologiques 5.5 Le déroulement de la certification 5.6 Les documents à produire 5.6 Les documents à produire 5.6.1 Les deux groupes de documentations à rédiger 5.6.2 Les politiques thématiques 5.6.3 Les guides, procédures et chartes 5.6.4 Les plans d’action 5.6.5 Le tableau de bord

Rechercher un mot dans la page :

Figure 5.1 Documents décrivant le SMSI Figure 5.2 Documents de suivi et de contrôle du SMSI

Documents reliés

Les utilisateurs ont aussi consulté (3) Les utilisateurs ont aussi consulté (3) Outils téléchargeables Analyse des risques et des opportunités. Outil Analyse des risques et des opportunités. Exemple Articles d'auteur Le management des risques et la qualité – Mise en œuvre Documents cités dans le texte (21) Documents cités dans le texte (21) Normes NF ISO/IEC 27031 12/2014 NF EN ISO 14001 10/2015 NF EN ISO 9001 10/2015 NF EN ISO/IEC 27037 08/2017 NF EN ISO/IEC 27040 08/2017 NF EN ISO/IEC 27041 08/2017 NF EN ISO/IEC 27042 08/2017 NF EN ISO/IEC 27038 08/2017 NF EN ISO/IEC 27043 08/2017 NF EN ISO 19011 07/2018 NF EN ISO 22301 11/2019 NF EN ISO/IEC 27000 02/2020 NF EN ISO/IEC 27019 03/2020 NF EN ISO/IEC 27011 05/2020 NF EN ISO/IEC 27006 11/2020 NF EN ISO/IEC 27017 01/2021 NF EN ISO/IEC 27701 04/2021 NF EN ISO/IEC 27007 01/2022 NF EN ISO/IEC 27002 11/2022 NF ISO/IEC 27001 01/2023 Articles d'auteur Gestion des accès au système d’information – Mise en conformité avec l’ISO 27001

Partager

Partager

Envoyer à un ami

Envoyer un email vers cette adresse
  • Votre message a bien été envoyé à votre ami.
  • A propos du site
  • Découvrez nos autres sites
  • Rejoignez-nous sur
    • Mentions légales
    • Plan du site
    • FAQ
    • Conditions générales de vente
    • Consentements Cookies
©Copyright Tous droits réserves
Imprimé le