Nouvelle norme pour la sécurité de l’information

Les versions révisées des normes ISO/IEC 27001:2013 et ISO/IEC 27002:2013 ont été publiées. Les normes qui aident les entreprises à gérer la sécurité de l'information ont d'abord été conçues par BSI sous l’appellation BS 7799. La révision 2013 de la norme internationale permettra aux entreprises de toutes tailles et secteurs d'accueillir l'évolution rapide et la complexité accrue du management des informations et le défi constant que représente la cybersécurité.

La façon dont l’activité est menée aujourd'hui diffère grandement de la première utilisation de la norme BS 7799 en 1995, et les progrès technologiques signifient que les besoins de sécurité de l'information ont également changé. Les révisions favoriseront le changement de perception parmi les entreprises selon laquelle la sécurité de l'information est limitée à l'IT, et comprend des éléments plus larges tels que les personnes. Elle prend également en compte les interactions qui peuvent se produire entre d’autres normes et questions de système de management telles que la gestion des risques et le management de la continuité d’activité.

ISO/IEC 27001 est une des normes de systèmes de management les plus dynamiques utilisées dans le monde entier. La norme est utilisée pour les certifications accréditées tiers-parties avec au moins 17500 certificats ayant été délivrés dans 100 pays avec une tendance continuelle de croissance à deux chiffres d'année en année. Son utilisation est supportée par le document Code Pratique ISO/IEC 27002. Tous deux ont été développés par le consensus de la communauté internationale avec un effectif de plus de 47 organismes nationaux de normalisation.

Anne Hayes, Responsable du Développement des Marchés pour le Risque chez BSI déclare : « Les entreprises ont besoin d’éviter la complaisance à l'égard de la sécurité de l'information et de s'assurer que leurs pratiques sont en ligne avec l'environnement d'activité d'aujourd'hui. La croissance rapide et l'omniprésence de l'informatique dans le milieu du travail, la prise de conscience croissante de l'importance de la cybersécurité signifient qu’une vigilance accrue est nécessaire et qu’elle peut désormais être mieux fournie ».

ISO/IEC 27001 Technologie de l’Information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information - Exigences spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer en permanence un système de management de la sécurité de l'information.

Les principaux changements :

  • Mise à jour pour s'adapter à la nouvelle structure de haut niveau utilisée dans toutes les normes de systèmes de management, ce qui simplifie son intégration avec d'autres systèmes de management
  • Intègre la rétroaction des utilisateurs de la version 2005 et prend en compte de manière générique le paysage technologique en évolution des 8 dernières années

Comment les entreprises peuvent bénéficier de la norme ISO/IEC 27001 :

  • Augmente la réputation par son appartenance à un grand pourcentage d'entreprises mondiales reconnues qui ont mis en œuvre la norme
  • Les protège par l'identification des risques et la mise en commandes pour les gérer ou les réduire
  • Aide à gagner des parties prenantes et la confiance des clients sur la protection de leurs données
  • Augmente les appels d'offres en démontrant la conformité et l'obtention du statut de fournisseur privilégié

ISO/IEC 27002 Technologies de l'information - Techniques de sécurité - Code de bonne pratique pour les contrôles de sécurité de l'information donne des directives sur la façon d'utiliser la norme ISO/IEC 27001 pour les normes de sécurité de l'information de l'organisation et le management de la sécurité de l'information.

Les principaux changements :

  • La duplication avec la norme ISO/IEC 27001 a été enlevée, la rendant plus facile pour un client à utiliser
  • Guide révisé et simplifié des conseils pour répondre aux nouveaux besoins (ou existants) en matière de sécurité de l'information

Comment les entreprises peuvent tirer avantage de la norme ISO/IEC 27002 :

  • Offre un ensemble de contrôles à utiliser dans la façon dont une organisation veut se protéger (soit de façon autonome, soit avec la norme ISO/IEC 27001 ou avec d'autres méthodes)
  • Reflète les nouvelles menaces auxquelles une organisation est confrontée

En fin de compte, la norme ISO/IEC 27001:2013 suit la structure et le texte de haut niveau qui seront acceptés pour toutes les normes de systèmes de management. Pour les organisations qui sont déjà certifiées ISO 27001:2005, BSI possède une gamme d'outils pour aider les clients à la transition vers la nouvelle norme. Cela inclut des cours de formation, des guides de transition, des webinaires et des événements. Pour de plus amples renseignements, rendez-vous sur : ISOIEC-27001-Revision/