|
28-04-2007 |
La norme ISO/IEC 27002:2005 reprend sans changement depuis avril 2007 la norme ISO 17799:2005 et ses insuffisances**. Elle définit douze* domaines (Articles) de sécurité de l'information constituant au total 41(*) catégories (objectifs de sécurité) au sein desquelles ont été définis 137 Mesures de sécurité (contrôles).
Chacune des mesures de sécurité permet de s'assurer que les bonnes pratiques communément admises sont mises en œuvre et respectées pour chacune des catégories dans chaque domaine de la sécurité de l'information.
Domaines de sécurité de l'information :
Après avoir rappelé :
1 Domaine d'application,
2 Termes et définitions,
3 Structure de la Norme,
La norme ISO/IEC 27002:2005 recense de nombreux objectifs de contrôle répartis dans chacun des onze domaines suivants
(suivi du nombre de catégories pour chaque domaine) :
4 Appréciation et traitement du risque (2),
5 Politique de sécurité (1)
6 Organisation de la sécurité de l’information (2)
7 Gestion des biens (actifs) (2)
8 Sécurité liée aux ressources humaines (3)
9 Sécurité physique et environnementale (2)
10 Gestion de l’exploitation et des télécommunications (10)
11 Contrôle d’accès (7)
12 Acquisition, développement et maintenance des systèmes d’information (6)
13 Gestion des incidents liés à la sécurité de l’information (2)
14 Gestion du plan de continuité de l’activité (1)
15 Conformité (3)
(*) En fait 11 selon la norme 2005, mais à SSI-Conseil nous considérons que l'appréciation et le traitement des risques est un processus incontournable, ce qui ajoute 2 objectifs de sécurité aux 39 officiels de la norme.
Objectifs de sécurité :
La structure de la norme est semblable pour chacun des 41 objectifs de sécurité :
- Un objectif de sécurité identifiant le but à atteindre,
- Une ou plusieures mesures de sécurité pouvant être appliquée(s) pour remplir l'objectif de sécurité.
Mesures :
Au niveau inférieur, la structure de la norme est semblable pour chacun des 137 mesures de sécurité qui ont été définies :
- Mesure : Spécifie la mesure adaptée à l'objectif de sécurité
- Préconisations de mise en œuvre : propose les informations détaillées pour mettre en oeuvre la mesure et pour atteindre l'objectif de sécurité. Il se peut que certaines préconisations ne soient pas adaptées à tous les cas et que d'autres solutions s'avèrent préférables.
- Informations complémentaires : fournissent des détails sur ce qui peut être nécessaire de considérer pour satisfaire la mesure de sécurité, comme par exemple des considérations d'ordre juridiques ou des références à d'autres normes.
Controles : on peut consulter pour plus de détails la liste des contrôles de l'annexe de la norme ISO 27001 ou Acquérir la norme auprès de l'AFNOR ou de l'ISO
Pour un survol synthétique : ISO 27002 Mind Mapping
(**) principales insuffisances de la norme ISO 17799 :
- la définition de niveaux de sécurité,
- la méthodologie d'analyse et de gestion des risques (on attendait la norme ISO 27005 pour cela, elle est arrivée depuis),
- la notion de plan d'action,
- la notion d'indicateurs et de métriques de sécurité (dans l'attente de la norme ISO 27004).
En
France, l'ISO 27002 n'était associée à aucun système de certification. La Norme ISO 27001 joue aujourd'hui ce rôle.
Ressources :
Veridion : White paper ISO 17799/27002 en Français : Pdf 874Ko
Solucom : Livre Blanc ISO 2701 en Français : Pdf
|
|
Dernière mise à jour : ( 10-03-2009 )
|
ISO 27000 
