ISO/CEI 27001 - Définition
Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.
La liste des auteurs de cet article est disponible ici.
Limites
- Faible expérience des organismes d'accréditation par rapport aux spécificités des enjeux en sécurité des systèmes d'information.
- Relations commerciales prépondérantes (achat de certification, de conseil, de produits, de services), ce qui conduit à une dévalorisation du processus d’accréditation.
- Durée des audits courte.
- Mélange des genres : les sociétés de conseil sont également des organismes de certification et vice-versa.
- La définition et la mise en place d'une méthodologie sont des tâches lourdes.
- Les normes informatiques ne réduisent pas le risque en matière de piratage et de vols d'informations confidentielles. Les intervenants effectuant du piratage ne respectent pas les règles établies et cherchent systématiquement à les contourner (exemple: Affaire Hervé Falciani). Le normes sont inopérentes dans ce domaine.
Avantages
- Une description pratique et détaillée de la mise en œuvre des objectifs et mesures de sécurité.
- Un audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises.
- Sécurité :
- Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître.
- Meilleure maîtrise des risques
- Diminution de l'usage des mesures de sécurité qui ne servent pas.
- Une certification qui améliore la confiance avec les parties prenantes.
- Homogénéisation : c’est un référentiel international. Cela facilite les échanges, surtout pour les entreprises qui possèdent plusieurs sites.
- Processus simple et peu coûteux : réduction des coûts grâce à la diminution d'usage de mesures de sécurité inutiles et à la mutualisation des audits (baisse du nombre et de la durée des audits quand on obtient la certification).
- La norme fournit des indicateurs clairs et fiables ainsi que des éléments de pilotage financier aux directions générales.
- La norme permet d'identifier plus efficacement les risques et les coûts associés.
Autour de la norme
Il existe toute une série de normes associée à l'ISO 27001, qui aide à l'implémentation d'un SMSI.
ISO/CEI 27001 est issue du standard britannique BS7799:2002 - Part 2.
