1 Le guide
Ce guide d’autoévaluation présente les grandes lignes du référentiel NF EN ISO/IEC 27001:2017 et les processus qui le sous-tendent. Il s’accompagne d’une grille complète d’autoévaluation de la norme et d’une grille canevas de Déclaration d’Applicabilité (DdA), annexe A normative.
Note
Ce guide a été rédigé initialement pour la norme NF ISO/IEC 27001 publiée en 2007.
Puis il a été révisé et actualisé pour répondre aux exigences de la deuxième version, publiée le 27 décembre 2013. Cette version décrivait les exigences pour un système de management de la sécurité dans les chapitres 4 à 10, au lieu des chapitres 4 à 8 dans l’ancienne version. Quant à l’annexe A, normative, le nombre d’objectifs de mesures est passé de 133 à 114 mais le nombre de sections a été augmenté de 11 à 14.
Ensuite, une dernière version (indice de classement Z 74-221) publiée en mai 2017 reproduit intégralement la norme internationale ISO/IEC 27001:2013 avec ses rectificatifs de 2014 et 2015.
Le rectificatif technique 1 (2014) concerne la page 13 (article A 8.1.1) de la norme. Il remplace le texte sur les actifs et impose de dresser et tenir à jour un inventaire de ces actifs.
Le rectificatif 2 (2015) concerne la page 5 (article 6 1.3) de la norme. Il liste le contenu de la DdA à produire :
– les mesures nécessaires ;
– la justification de leur insertion ;
– le fait qu’elles soient mises en œuvre ou non ;
– la justification de l’exclusion des mesures de l’annexe A.