Meilleure gestion des risques de sécurité de l'information avec la nouvelle version d'ISO/IEC 27001

L'ISO vient d'approuver la création d'un nouveau comité de projet pour élaborer une Norme internationale relative à la santé et la sécurité au travail (SST).

ISO/CEI 27001, norme bien connue relative aux systèmes de gestion de la sécurité de l'information, est en cours de révision. La nouvelle version devrait paraître en octobre prochain.

Nous avons interrogé Edward Humphreys, l'animateur du groupe de travail chargé de l'élaboration et de la mise à jour d'ISO/CEI 27001, pour savoir ce que cette révision va changer pour vous, en tant qu'utilisateurs de la norme.

Quel est le grand avantage de cette nouvelle version ?

Nous avons mis à jour la norme en tenant compte de l'expérience des utilisateurs qui l'ont mise en œuvre ou qui ont cherché à obtenir la certification ISO/CEI 27001. L'idée est de proposer une démarche plus souple et plus simple pour assurer une meilleure gestion des risques.

Nous avons aussi apporté de nombreuses améliorations aux mesures de sécurité énoncées à l'Annexe A. La norme doit en effet rester d'actualité et aborder des risques courants, comme l'usurpation d'identité, les risques liés aux dispositifs mobiles ou d'autres failles des activités en ligne.

La nouvelle version ISO/CEI 27001 adopte par ailleurs la nouvelle structure de haut niveau établie pour toutes les normes de système de management (NSM), ce qui facilite l'intégration de différents autres systèmes de management.

Quel est l'intérêt d'aligner la nouvelle version d'ISO/CEI 27001 sur la nouvelle structure de haut niveau pour les normes de systèmes de management ?

L'alignement sur cette nouvelle structure facilitera la tâche des organisations qui souhaitent implanter simultanément plusieurs systèmes de management. La structure quasi-identique des différentes NSM permettra à ces organisations d'adopter des politiques et des procédures intégrées et leur fera donc gagner du temps et économiser de l'argent.

Une organisation peut en effet souhaiter combiner un système de sécurité de l'information (ISO/CEI 27001) avec d'autres systèmes comme le management de la continuité d'activité (ISO/CEI 22301), le management des services TI (ISO/CEI 20000-1) ou le management de la qualité (ISO 9001).

Quelle est la prochaine étape du processus de révision ?

La révision de l'édition 2005 est actuellement au stade du FDIS (Projet final de Norme internationale) qui s'achèvera début septembre, après quoi toutes les modifications d'ordre rédactionnel seront effectuées pour la publication prévue en octobre. Il sera alors possible d'acheter cette nouvelle version de la Norme internationale et la version 2005 sera annulée.

Je suis certifié ISO 27001:2005. Qu'implique cette révision pour moi ?

Les organisations certifiées selon l'édition 2005 de la norme devront mettre à jour leur système de gestion de la sécurité de l'information pour se conformer aux exigences de la nouvelle version.  La période de transition pour la mise en conformité n'a pas encore été fixée mais elle devrait vraisemblablement s'étendre sur deux ans à compter de la date de publication de la nouvelle édition.

Quels efforts faudra-t-il déployer pour passer de l'ancienne à la nouvelle version ?

La mise en conformité aux exigences de la nouvelle édition d'ISO/CEI 27001 ne devrait pas poser de difficultés particulières. La période de transition permettra de répartir la démarche selon un programme de travail en plusieurs étapes et de l'intégrer aux activités d'amélioration continue et au plan d'audits de surveillance.


Source : www.iso.org/iso/fr