ISO/CEI 27002 - Définition
La liste des auteurs de cet article est disponible ici.
Introduction
| Suite ISO/CEI 27000 |
| ISO/CEI 27000:2009 |
| ISO/CEI 27001:2005 |
| ISO/CEI 27002:2005 |
| ISO/CEI 27003 (en préparation) |
| ISO/CEI 27004 (en préparation) |
| ISO/CEI 27005:2008 |
| ISO/CEI 27006:2007 |
| ISO/CEI 27007 (en préparation) |
| ISO/CEI 27011 (en préparation) |
La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information, publiée en 2005 par l'ISO, dont le titre en français est Code de bonnes pratiques pour la gestion de la sécurité de l'information .
L'ISO/CEI 27002 est un ensemble de 133 mesures dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information ».
Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées dans ses relations avec un client.
Historique
En 1995, le standard britannique "BS 7799" qui fut créé par le "British Standard Institue" (BSI) définit des mesures de sécurité détaillées. En 1998, le BSI scinde le premier document en deux tomes : le BS 7799-1 correspondant aux codes des bonnes pratiques, et le BS 7799-2 correspondant aux spécifications d’un Système de Management de la Sécurité de l'Information (SMSI). En 2000, l'organisation internationale de normalisation (dite ISO) édite la norme ISO/IEC 17799 :2000 correspondant aux codes des bonnes pratiques issues de la BS 7799. En 2005, deux normes sont éditées :
- ISO/IEC 17799 :2005 qui remanie les domaines et objectifs
- ISO/IEC 27001 :2005 qui introduit la notion de SMSI et offre la possibilité de certification.
En 2007, la norme ISO/CEI 17799:2005 étant obsolète, a été remplacée par la norme 27002 qui reprend l'essentiel de cette norme.
Mise en oeuvre
La norme ne fixe pas de niveaux ou d’objectifs de sécurité et rappelle dans les chapitres d'introduction, la nécessité de faire des analyses de risques périodiques mais ne précise aucune obligation quant à la méthode d’évaluation du risque, il suffit donc de choisir celle qui répond aux besoins. C’est à partir des résultats de l’analyse de risque que l’organisation « pioche » dans les différentes rubriques de la norme celles qu’elle doit mettre en œuvre pour répondre à ses besoins de sécurité. En 2002, plus de 80 000 entreprises se conformaient à cette norme à travers le monde.
Objectifs
ISO / IEC 27002 est plus un code de pratique, qu’une véritable norme ou qu’une spécification formelle telle que l’ISO/IEC 27001. Elle présente une série de contrôles (39 objectifs de contrôle) qui suggèrent de tenir compte des risques de sécurité des informations relatives à la confidentialité, l'intégrité et les aspects de disponibilité. Les entreprises qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres risques de sécurité de l'information et appliquer les contrôles appropriés, en utilisant la norme pour orienter l’entreprise.
La norme ISO 27002 n'est pas une norme au sens habituel du terme. En effet, ce n’est pas une norme de nature technique, technologique ou orientée produit, ou une méthodologie d'évaluation d'équipement telle que les critères communs CC/ISO 15408. Elle n’a pas de caractère d'obligation, elle n’amène pas de certification, ce domaine étant couvert par la norme ISO/IEC 27001.
