Description des normes ISO 27000, 27001 et 27002

a) ISO 27000

La norme ISO 27000 sert de introduction et de vocabulaire pour la famille ISO 27000.

Elle définit les concepts clés, les termes et définitions utilisés dans le système de management de la sécurité de l’information (SMSI).

Objectif : fournir un cadre commun pour comprendre et appliquer les normes de sécurité de l’information.

b) ISO 27001

La norme ISO 27001 est la norme principale pour la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI).

Elle spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un SMSI.

Elle inclut des processus de gestion des risques, de politique de sécurité, de contrôle des accès et de conformité réglementaire.

Cette norme est certifiable, ce qui signifie qu’une organisation peut obtenir une certification officielle attestant de la conformité de son SMSI.

c) ISO 27002

La norme ISO 27002 complète la norme 27001 en fournissant un guide de bonnes pratiques et des contrôles de sécurité de l’information.

Elle propose des recommandations détaillées pour :

La gestion des actifs informationnels

La sécurité des ressources humaines

La gestion des accès et des identités

La sécurité physique et environnementale

La sécurité opérationnelle et la gestion des communications

La continuité d’activité et la conformité réglementaire

Objectif : aider les organisations à mettre en œuvre concrètement les exigences de l’ISO 27001.