ISO/IEC 27002 - Code de bonne pratique pour la gestion de la sécurité de l'information
 

En quelques mots

La norme ISO/IEC 27001 décrit une approche processus pour la mise en place d’un SMSI  (système de management de la sécurité du système d'information). Mais si elle fixe l’objectif à atteindre, elle ne précise pas comment, concrètement, il convient de le réaliser. La norme ISO 27002 présente une série de préconisations concrètes, abordant des aspects tant techniques qu’organisationnels.

La norme définit un code de bonne pratique destiné à être utilisé par les responsables chargés de mettre en place ou de maintenir un système de management de la sécurité de l’information. La sécurité de l’information est définie comme « la préservation de la confidentialité, de lintégrité, et de la disponibilité de l’information ».

La norme propose 11 domaines principaux de la sécurité intégrant 133 objectifs de sécurité (les contrôles):

  • Politique de sécurité de l'information

  • Organisation de la sécurité de l'information

  • Gestion des actifs

  • Sécurité liée aux ressources humaines

  • Sécurités physiques et environnementales

  • Exploitation et gestion des communications

  • Contrôle d'accès

  • Acquisition, développement et maintenance des systèmes d'informations

  • Gestion des incidents

  • Gestion de la continuité d'activité

  • Conformité