L'ISO / CEI 27000: 2018 donne un aperçu des systèmes de gestion de la sécurité de l'information (SMSI) et des termes et définitions couramment utilisés dans la famille de normes ISO / CEI 27001 du système de gestion de la sécurité de l'information.
Conçue pour tous les types d’organisations, des entreprises multinationales aux petites et moyennes entreprises, la nouvelle version de February 2018 est tout aussi utile pour les agences gouvernementales que pour les organisations à but non lucratif.
La famille 27000 a plus d'une douzaine de normes. La nouvelle publication ISO / CEI 27000 fournit une compréhension de la manière dont les normes sont combinées: leur portée, leurs rôles, leurs fonctions et leurs relations réciproques.
La communauté ISO / IEC 27001 trouvera cette norme utile car elle combine toutes les terminologies de base utilisées par d’autres normes de la famille ISO / IEC 27000.
Préserver la connaissance de l'environnement commercial actuel, où la technologie et la communication se développent à une vitesse étonnante, est devenu encore plus important. L'information revêt une grande importance pour qu'une organisation poursuive ses activités. Identifier les risques pour la sécurité et les menaces pesant sur les actifs informationnels et vérifier les points ouverts dans le système constitue un défi majeur. L'établissement de la sécurité de l'information et la continuité des contrôles dépendront de l'établissement des principes de sécurité et de la détermination correcte des processus de gestion.
Dans le monde des affaires d'aujourd'hui sécurité de l'information il est considéré comme un risque grave et il est nécessaire de définir et de mettre en place des contrôles cohérents de la sécurité des informations, mais également de ramener les risques à des niveaux acceptables afin d'établir certaines normes dans l'organisation.
ISO / IEC 27001 est la seule norme internationale auditable qui définit les exigences du système de gestion de la sécurité de l'information (ISMS). Il est conçu pour permettre la sélection d’audits de sécurité adéquats et proportionnés.
Organisation internationale de normalisation Le système de gestion de la sécurité de l’information ISO / CEI 27001 est un ensemble de normes qui aident à protéger et à gérer les actifs d’information de valeur. C’est le seul système international qui définit les normes nécessaires à la sécurité de l’information. Ce système est conçu pour garantir que des contrôles de sécurité adéquats et proportionnels sont sélectionnés.
Dans l'Organisation internationale de normalisation (ISO), les travaux préparatoires aux normes sont généralement effectués par des comités techniques. Les normes ISO 27000 ont également été préparées par le Comité technique mixte créé par l'Organisation internationale de normalisation et la Commission électrotechnique internationale.
Commission technique technique internationale (CEI - Commission électrotechnique internationale) Établie dans 1906, elle élabore des normes internationales pour les technologies électroniques et similaires. L’Institut turc de normalisation (TSE) est membre de cette commission. Le principal objectif de la CEI est d’améliorer la qualité des produits et des services au niveau mondial, de contribuer à la santé et à la sécurité des personnes et de soutenir la protection de l’environnement. L'ISO travaille sur des questions ne relevant pas du mandat de la Commission électrotechnique internationale.
Système de gestion de la sécurité de l'information ISO 27001 Les sociétés qui ont mis en place, analysent l’infrastructure d’information, analysent les attaques et les dangers potentiels de ces actifs et décident de la marche à suivre si ces dangers se produisent. Il s'agit du système le plus important parmi les systèmes de gestion intégrés pour les organisations à grande échelle, en particulier celles qui cherchent à acquérir une identité d'entreprise.
Le système de gestion de la sécurité de l'information ISO 27001 fournira à l'organisation de grands avantages en termes d'identification des risques pour la protection des informations et d'identification de mesures permettant d'éliminer ou de minimiser ces risques.
Il n'y a pas de contrainte de secteur pour mettre en place ce système. Les organisations de chaque secteur peuvent mettre en place un système de gestion de la sécurité de l’information si elles ressentent le besoin de protéger les informations. Toutefois, la protection de l’information dans le secteur des technologies de l’information est plus importante, en particulier dans les banques et les institutions financières, les établissements de santé et les établissements publics.
Les normes ISO 27000 sont en réalité composées de nombreuses normes. Voici certaines de ces normes:
- Système de gestion de la sécurité de l'information ISO 27001 standard: C'est la norme de base du système de gestion de la sécurité de l'information.
- Code de pratique ISO 27002 Codes de système de gestion de la sécurité de l'information
- Guide de personnalisation du système de gestion de la sécurité ISO 27003
- Balances ISO 27004, normes de rapport
- Norme de gestion des risques du système de gestion de la sécurité de l'information ISO 27005
- Norme ISO 27006 pour l'audit et la certification de la sécurité de l'information
Aujourd'hui, la gestion de la sécurité de l'information est un système qui devrait être géré dans son ensemble de manière à inclure toutes les ressources humaines de l'entreprise, en particulier la haute direction, les systèmes d'information et les processus opérationnels.
Nous avons dit que la norme du système de gestion de la sécurité de l'information ISO 27001 était la principale norme du système. L'établissement et la certification du système de gestion de la sécurité de l'information dans les organisations sont effectués conformément à cette norme.
Les principaux objectifs de cette norme sont:
- Identifier les vulnérabilités possibles de l'organisation en matière de sécurité des informations, révéler les menaces contre les actifs informationnels et les contrôler systématiquement.
- Identifier les contrôles permettant de garantir la sécurité des actifs informationnels en danger, en veillant à ce que ces contrôles soient effectués et en maintenant les risques possibles à des niveaux acceptables.
- Assurer la continuité des contrôles de sécurité de l'information à effectuer de cette manière et déterminer et mettre en œuvre des processus de gestion à cette fin.
La norme de système de gestion de la sécurité de l'information ISO 27001 a été publiée dans 2005 par l'Organisation internationale de normalisation. Le nom complet est ISO / IEC 27001: 2005 Techniques de sécurité des technologies de l’information Termes relatifs aux systèmes de gestion de la sécurité de l’information. Il est généralement connu sous le nom de norme ISO 27001.
Les normes ISO 27001 couvrent la structure organisationnelle, les politiques, les activités de planification, les responsabilités, les activités, les instructions d'application, les processus métier et les ressources d'une organisation qui établit ce système.