SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
ISO 27000
iso 27k-12.png
La certification ISO 27001 n'est pas un but en soi.
Elle peut cependant rapidement devenir un avantage compétitif vis à vis de l'extérieur, notamment pour les fournisseurs qui se verront "challengés" dans les appels d'Offres par les donneurs d'ordre sur la certification ISO 27001.
De nombreuses entreprises recherchent cette certification en vue d'éviter le nombre d'audits externes (audits tiers) commandités par leurs partenaires ou clients désireux d'apprécier leur niveau de sécurité.
Enfin, preuve de la vitalité de cette norme, il existe de nombreuses évolutions sectorielles de l'ISO 2700x.

SSi-Conseil, Certifié Lead Auditor ISO 27001, peut accompagner les entreprises désireuses de se conformer à cette norme devenue le référentiel international de la sécurité du système d'information de l'entreprise.
 L' ISO a réservé la serie ISO/IEC 27000 pour une plage de normes dédiée au pilotage de la sécurité de l'information, dans un esprit similaire à la série ISO 9000 consacrée aux standards de la qualité.
Cette démarche concrétise l'avènement d'un standard international de l'assurance sécurité. Elle met clairement en perspective l’Intérêt d'être certifié  ISO 27001 pour assurer à un réseau de partenaires, à ses clients, mais aussi à ses actionnaires et aux analystes que la sécurité des informations est une valeur distinctive revendiquée par l'entreprise comme un avantage concurrentiel.

L'ISO a déjà planifié la réservation de la série suivante :
  • ISO 27000 : 2009 - (Publié) vocabulaire et définitions (terminologie pour l'ensemble des standards).
  • ISO 27001 : 2013 - (Publié) en septembre 2013 c'est le standard principal décrivant les exigences d'un système de pilotage de la sécurité des informations,
    Ce sera la base des règles de certification ISO27000... au plus tard en 2015. d'ici-là les entreprises peuvent continuer à être certifiées sur la base de la version 2005 jusqu'en 2014. Les premières certification sur la version 2013 pourront être enregistrées dès aujourd'hui mais probablement pas avant un an.
  • Bien que passant de 11 sections à 14, Il y a très peu de changements (évalués à 10% seulement) entre la version 2005 et la version 2013 -on peut le critiquer (voir aussi les changements de portée limitée dans l'ISO 27002), mais près de 10.000 certifiés ça pèse dans la balance....
  • ISO 27002 : 2013 - (Publié) en septembre 2013 c'est le code des bonnes pratiques décrivant un ensemble cohérent d'objectifs de contrôles de la sécurité basé sur 14 Chapitres principaux. la dernière version de l'ISO 27002  a été publiée en juin 2005  voir : ISO 27002 Mind-Mapping
  • Bien que passant de 133 à 114 contrôles, Il y a des changements plus conséquents (évalués entre 25 & 30%) dans cette nouvelle version.
  • L'ensemble des contrôles de l'ISO27002 étant alignés sur l'annexe A de l'ISO27001 tous les changements de la version 2013 s'appliquent à l'ISO 27001 : 2013.
  • ISO 27003 : 2010 - (publié) contient un guide de mise en œuvre pour l'implémentation du SMSI.
  • ISO 27004 - (publié) propose une base de métriques de sécurité et d'indicateurs de pilotage permettant de mesurer l'efficacité de la mise en œuvre de la politique de sécurité.
  • ISO 27005 : 2009 - (publié) Gestion des risques.
  • ISO 27006 : 2008 - (Publié) Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information : Propose les conditions de certification de l'ISMS (iso27001) pour les auditeurs externes accrédités (Third-party body) en reprenant en grande partie les recommandations EA7/03 et en précisant les conditions requises pour l'audit d'un certain nombre de clauses ou controles de l'ISO27001 comme par exemple pour le risk management : l'obligation d'obtenir des résultats reproductibles avec la méthode ou les outils employés, ou la pertinence des menaces, actifs et vunérabilités prises en compte dans l'analyse de risque, ou les temps d'audit en fonction de la taille de l'entreprise et de la complexité du SI...etc. Statut : Publiée.
  • ISO 27007 - (publié) Ce standard propose des instructions pour les audits accrédités en cas d'audit ISO 27001 d'un SMSI.
  • ISO 27008 : 2011 - (publié) Propose des instructions pour les auditeurs accrédités concernant la revue de contrôles ISO 27002.
  • WLA SCS : Standard SMSI spécifique au secteur du Jeu. Statut : Publiée.
  • ISO 27011 : 2008 (publié) - Guide pour le secteur des télécommunications.
  • ISO 27012 - Guide pour le secteur financier. Statut : Proposée.
  • ISO 27013 - Guide pour le secteur de l'Industrie. Statut : Proposée.
  • ISO 27015 - Guide pour l'accréditation. Statut : Proposée.
  • ISO 27016 - Audits et Revues. Statut : Proposée.
  • ISO 27031 : 2011 (publié) - Continuité d'activité.
  • ISO 27032 - Cybersécurité (Internet). Statut : Draft.
  • ISO 27033-1 : 2099 -(publié) - Sécurité des réseaux.
  • ISO 27034-1 : 2011 -(publié)- Guide pour la sécurité applicative.
  • ISO 27035 : 2011 - (publié) Gestion des incidents de sécurité.
  • ISO 27799 : 2008 - (publié)  Déclinaison de l'ISO 27002 pour le secteur de la santé.


à télécharger : fiche technique ISO 27000 Standarmedia pdf de 5 pages (afnor)
Qui est certifié : international register of ISMS certificates
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.