ISO/CEI 27001 - Définition
La liste des auteurs de cet article est disponible ici.
Introduction
| Suite ISO/CEI 27000 |
| ISO/CEI 27000:2009 |
| ISO/CEI 27001:2005 |
| ISO/CEI 27002:2005 |
| ISO/CEI 27003 (en préparation) |
| ISO/CEI 27004 (en préparation) |
| ISO/CEI 27005:2008 |
| ISO/CEI 27006:2007 |
| ISO/CEI 27007 (en préparation) |
| ISO/CEI 27011 (en préparation) |
L'ISO/CEI 27001 est une norme internationale de système de gestion de la sécurité de l'information, publiée en octobre 2005 par l'ISO dont le titre est Technologies de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information - Exigences.
Objectifs
La norme ISO 27001 publiée en octobre 2005 succède à la norme BS 7799-2. Elle s’adresse à tous les types d’organismes (entreprises commerciales, ONG, administrations, …). La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini. C'est le modèle de qualité PDCA (Plan-Do-Check-Act) qui est recommandé pour établir un SMSI afin d'assurer une amélioration continue de la sécurité du système d'information.
La norme dicte également les exigences en matières de mesures de sécurité propres à chaque organisme, c’est-à-dire que la mesure n’est pas la même d’un organisme à l’autre. Les mesures doivent être adéquates et proportionnées à l’organisme pour ne pas être ni trop laxistes ni trop sévères. La norme ISO 27001 intègre aussi le fait que la mise en place d’un SMSI et d’outils de mesures de sécurité aient pour but de garantir la protection des actifs informationnels. L’objectif est de protéger les informations de toute perte ou intrusion. Cela apportera la confiance des parties prenantes.
L'ISO/CEI 27001 définit l'ensemble des contrôles à effectuer pour s'assurer de la pertinence du SMSI, à l'exploiter et à le faire évoluer. Plus précisément, l'annexe A de la norme est composée des 133 mesures de sécurité de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classées dans 11 sections. Comme pour les normes ISO 9001 et ISO 14001, il est possible de se faire certifier ISO 27001.
Un point a disparu par rapport à la norme BS 7799-2. L’ISO 27001 n’incorpore plus l’amélioration de la compétitivité, des cash flow, de la profitabilité, le respect de la réglementation et l’image de marque. En effet, la norme BS 7799-2 est issue d’un organisme britannique où il n’est pas incorrect d’afficher ouvertement la volonté de gagner de l’argent.
Processus de certification
La certification n’est pas un but en soi, c’est-à-dire que l’organisme qui décide de mettre en place un SMSI en suivant les exigences de l’ISO 27001, n’a pas pour obligation de se faire certifier. Cependant, c’est l’aboutissement logique de l’implémentation d’un SMSI puisque les parties prenantes n’ont confiance qu’en un système certifié par un organisme indépendant.
L’obtention du certificat ISO 27001 passe par trois audits : l’audit initial, l’audit de surveillance et l’audit de renouvellement.
L’audit initial porte sur l’ensemble du SMSI. Sa durée est déterminée dans l’annexe C de la norme ISO 27006. L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de validation technique, puis par un comité de certification. Ce n’est qu’après cela qu’elle obtient le certificat pour une durée de trois ans. Dans le cas contraire, il y a un audit complémentaire dans le délai maximum de trois mois. L’organisme devra durant ce délai corriger les problèmes décelés lors de l’audit initial pour obtenir le certificat.
L’audit de surveillance a lieu pendant la période de validité du certificat (3 ans) afin de s’assurer que le SMSI est toujours valable. Il y en a un par an. L’audit porte sur les non-conformités relevées lors de l’audit initial ainsi que sur d’autres points :
- Le traitement des plaintes
- L’état d’avancement des activités planifiées
- L’utilisation de la marque de l’organisation certificatrice
- La viabilité du SMSI
- Différentes clauses choisies par l’auditeur.
Si l’auditeur relève des non-conformités, le certificat sera suspendu voire annulé. L’entreprise doit donc être perpétuellement mobilisée.
L’audit de renouvellement se déroule à l’échéance du certificat. Il porte sur les non-conformités du dernier audit de surveillance ainsi que sur la revue des rapports des audits de surveillance précédents et la revue des performances du SMSI sur la période.
