La norme ISO 27001 encourage l’adoption d’une approche processus pour la mise en œuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l’amélioration du système de management de la sécurité de l’information d’une entreprise. L’annexe A de la norme est l’ISO/IEC 27002.
L’entreprise doit identifier et gérer de nombreuses activités de manière à fonctionner efficacement. Toute activité utilisant des ressources est gérée de manière à permettre la transformation d’éléments d’entrée en éléments de sortie, peut être considérée comme processus.
« L’approche processus » désigne l’application d’un système de processus au sein de l’entreprise, ainsi que l’identification, les interactions et le management de ces processus.
L’approche processus pour le management de la sécurité du système d’information présentée dans la norme souligne l’importance de :