LA SÉCURITÉ DE L’INFORMATION
COMMENT ISO 27001 & 27002 SONT LIEES ?
Au cours de plus de deux siècles, la Chine a construit une grande muraille pour empêcher ses ennemis d’y rester. Une mesure de sécurité impressionnante s’il en est une. Cela a-t-il fonctionné ? Difficilement: les gardes pouvaient facilement être soudoyés par l’ennemi pour ouvrir les portes.
Peu de choses ont changé à l’ère numérique. Même avec les bons outils, programmes et procédures en place, la sécurité dépend d’abord et avant tout du comportement humain.
Aujourd’hui, à une époque où le piratage, les logiciels malveillants, les ransomwares et les atteintes à la vie privée sont des nouvelles quotidiennes, chaque organisation prend les mesures de sécurité au sérieux. Un logiciel de sécurité est installé, des procédures de sécurité sont mises en œuvre et les personnes sont instruites. Les organisations peuvent également se référer à une norme ISO pour vérifier leurs efforts de sécurité : SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION ISO 27001.
EXIGENCE & CODE DE BONNE PRATIQUE
ISO/IEC 27001 est une norme qui détaille les exigences pour l’établissement, la mise en œuvre, la maintenance et l’amélioration continue d’un système de management de la sécurité de l’information (SMSI). Les chapitres de la présente norme décrivent les exigences du SMSI et l’annexe A décrit les mesures qui doivent être mises en œuvre. Les organisations peuvent être certifiées par rapport à cette norme.
Les deux sont très liées: les clauses de l’annexe A de l’ISO/IEC 27001 sont élaborées en détail dans la norme ISO/IEC 27002 avec quelques lignes directrices et exemples de la façon dont vous pourriez mettre en œuvre ces exigences. En moyenne, ISO 27002 explique une mesure de sécurité sur une page entière, tandis que ISO/IEC 27001 ne consacre qu’une phrase à chaque cmesure. Quand il s’agit d’examens, la principale différence devient très claire: La concentration. Les examens ISO/IEC 27001 se concentrent sur le contenu de la norme tandis que l’ISO/IEC 27002 se concentre sur le comportement humain.
EXIN & ISO/IEC 27002 CODE DE BONNE PRATIQUE
Le programme de certification de sécurité de l’information EXIN est basé sur la norme ISO/IEC 27002. Pourquoi? En raison du facteur humain. La certification vise à évaluer les connaissances pratiques et l’application des principes et des contrôles de sécurité de l’information au sein d’une organisation.
EXIN a trouvé la base la plus pertinente pour évaluer ces compétences dans l’ISO/IEC 27002. Étant donné que l’ISO/IEC 27002 est une autre ligne directrice sur tous les mesures de sécurité de l’annexe A de l’ISO/IEC 27001, il n’est pas difficile de relier les spécifications des trois certifications de ce programme EXIN à l’ISO/IEC 27001 :
La sécurité de l'information est destinée à chaque employé de l’organisation. Ceci est très pratique et se concentre sur les activités commerciales quotidiennes. Certains concepts se trouvent dans les chapitres de l’ISO/IEC 27001.
La sécurité de l'information Professionnelle est destiné aux chefs d’équipe, aux gestionnaires de processus et aux chefs de projet, aux responsables de la sécurité. Ce sont généralement eux qui mettent en œuvre le SMSI dans l’organisation, de sorte que le lien avec les chapitres ISO/IEC 27001 sur le système de management est assez fort. Ils doivent connaître leurs responsabilités en matière de protection des actifs informationnels qu’ils gèrent. C’est pourquoi il y a plus de références à la norme ISO/IEC 27001 et un lien étroit avec la gestion des risques.
Avec des employés conscients de leurs rôles et responsabilités en matière de sécurité, les PDG peuvent dormir paisiblement et rêver de la Grande Muraille de Chine, sachant que leur entreprise est en sécurité.