ISO/IEC 27002 est une norme internationale fournissant un ensemble de recommandations et de bonnes pratiques pour la mise en œuvre des contrôles de sécurité de l’information.
Elle fournit un ensemble complet de recommandations et de bonnes pratiques pour aider les organisations de toutes tailles et de tous secteurs à :
- Identifier et évaluer leurs risques liés à la sécurité de l’information.
- Sélectionner et mettre en œuvre des mesures de sécurité appropriées pour traiter ces risques.
- Établir, mettre en œuvre, maintenir et améliorer leur système de management de la sécurité de l’information (SMSI).
Sa dernière version est ISO/IEC 27002:2022, publiée en février 2022, qui a notamment simplifié et réorganisé les contrôles en quatre grands domaines (organisationnels, liés aux personnes, physiques et technologiques) et introduit de nouveaux attributs pour faciliter leur application dans un contexte de cybersécurité moderne.
En détail
- Norme internationale : ISO/IEC 27002 est développée et publiée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI). cela signifie qu’elle est reconnue et applicable à l’échelle mondiale.
- Code de bonnes pratiques : contrairement à une norme de certification comme l’ISO 27001, l’ISO 27002 est un guide et un recueil de recommandations. Elle ne spécifie pas d’exigences pour la certification, mais elle détaille les mesures de sécurité (ou « contrôles ») que les organisations peuvent et devraient mettre en œuvre pour gérer efficacement leurs risques de sécurité de l’information. Elle sert de référence pour l’élaboration et la mise en œuvre d’un système de management de la sécurité de l’information (SMSI).
- Sécurité de l’information, cybersécurité et protection de la vie privée : la norme couvre un large spectre de la sécurité, incluant non seulement la sécurité des informations au sens large, mais aussi la cybersécurité (protection des systèmes numériques et des réseaux) et la protection de la vie privée (gestion des données personnelles). L’édition 2022 met encore plus l’accent sur la cybersécurité et la protection de la vie privée, reflétant l’évolution des menaces et des préoccupations actuelles.
- Recommandations pour les mesures de sécurité de l’information (Contrôles) : le cœur de la norme ISO/IEC 27002 est constitué d’un ensemble de mesures de sécurité, aussi appelées contrôles de sécurité. Ces contrôles sont des actions ou des mécanismes que les organisations peuvent mettre en place pour mitiger les risques liés à la sécurité de l’information. Ces contrôles couvrent un large éventail de domaines, allant des politiques de sécurité à la sécurité physique, en passant par la sécurité des systèmes d’information et la gestion des incidents
Relation avec la norme ISO/IEC 27001
Il est crucial de comprendre la relation entre ISO/IEC 27002 et ISO/IEC 27001.
- ISO/IEC 27001 est la norme qui spécifie les exigences pour un système de management de la sécurité de l’information (SMSI). C’est la norme certifiable.
- ISO/IEC 27002 est un code de pratiques qui fournit des recommandations et des lignes directrices pour la mise en œuvre des contrôles de sécurité, mentionnés et suggérés dans l’ISO 27001 Annexe A. L’ISO 27002 détaille comment mettre en œuvre les contrôles pour satisfaire aux exigences de l’ISO 27001.
En d’autres termes, une organisation qui souhaite obtenir la certification ISO 27001 utilisera l’ISO 27002 comme guide pour choisir et mettre en œuvre les mesures de sécurité appropriées. L’ISO 27002 est donc un outil essentiel pour la mise en œuvre d’un SMSI conforme à l’ISO 27001.
