Beruflich Dokumente
Kultur Dokumente
INTERNATIONALE 27000
Quatrime dition
2016-02-15
Technologies de linformation
Techniques de scurit Systmes de
gestion de scurit de linformation
Vue densemble et vocabulaire
Information technology Security techniques Information
security management systems Overview and vocabulary
Numro de rfrence
ISO/IEC 27000:2016(F)
ISO/IEC 2016
ISO/IEC 27000:2016(F)
Sommaire Page
Avant-propos.................................................................................................................................................................................................................................v
0 Introduction............................................................................................................................................................................................................... 1
0.1 Vue densemble........................................................................................................................................................................................ 1
0.2 La famille de normes du SMSI..................................................................................................................................................... 1
0.3 Objet de la prsente Norme internationale..................................................................................................................... 2
1 Domaine dapplication.................................................................................................................................................................................... 2
2 Termes et dfinitions........................................................................................................................................................................................ 3
3 Systmes de management de la scurit de linformation.....................................................................................15
3.1 Gnralits................................................................................................................................................................................................ 15
3.2 Quest-ce quun SMSI?..................................................................................................................................................................... 15
3.2.1 Vue densemble et principes................................................................................................................................ 15
3.2.2 Linformation..................................................................................................................................................................... 16
3.2.3 Scurit de linformation........................................................................................................................................ 16
3.2.4 Management...................................................................................................................................................................... 17
3.2.5 Systme de management........................................................................................................................................ 17
3.3 Approche processus......................................................................................................................................................................... 17
3.4 Raisons expliquant pourquoi un SMSI est important.......................................................................................... 17
3.5 tablissement, surveillance, maintenance et amlioration dun SMSI................................................. 18
3.5.1 Vue densemble............................................................................................................................................................... 18
3.5.2 Identifier les exigences lies la scurit de linformation...................................................... 19
3.5.3 Apprcier les risques lis la scurit de linformation............................................................. 19
3.5.4 Traiter les risques lis la scurit de linformation..................................................................... 20
3.5.5 Slectionner et mettre en uvre les mesures de scurit......................................................... 20
3.5.6 Surveiller, mettre jour et amliorer lefficacit du SMSI.......................................................... 21
3.5.7 Amlioration continue.............................................................................................................................................. 21
3.6 Facteurs critiques de succs du SMSI................................................................................................................................ 22
3.7 Avantages de la famille de normes du SMSI................................................................................................................ 22
4 La famille de normes du SMSI...............................................................................................................................................................23
4.1 Information gnrales.................................................................................................................................................................... 23
4.2 Normes donnant une vue densemble et dcrivant la terminologie....................................................... 24
4.2.1 ISO/IEC27000 (la prsente Norme internationale)....................................................................... 24
4.3 Normes spcifiant des exigences.......................................................................................................................................... 24
4.3.1 ISO/IEC27001................................................................................................................................................................. 24
4.3.2 ISO/IEC27006................................................................................................................................................................. 24
4.4 Normes dcrivant des lignes directrices gnrales............................................................................................... 25
4.4.1 ISO/IEC27002................................................................................................................................................................. 25
4.4.2 ISO/IEC27003................................................................................................................................................................. 25
4.4.3 ISO/IEC27004................................................................................................................................................................. 25
4.4.4 ISO/IEC27005................................................................................................................................................................. 25
4.4.5 ISO/IEC27007................................................................................................................................................................. 25
4.4.6 ISO/IEC/TR27008....................................................................................................................................................... 26
4.4.7 ISO/IEC27013................................................................................................................................................................. 26
4.4.8 ISO/IEC27014................................................................................................................................................................. 26
4.4.9 ISO/IEC/TR27016....................................................................................................................................................... 27
4.5 Normes dcrivant des lignes directrices propres un secteur................................................................... 27
4.5.1 ISO/IEC27010................................................................................................................................................................. 27
4.5.2 ISO/IEC27011................................................................................................................................................................. 27
4.5.3 ISO/IEC/TR27015....................................................................................................................................................... 27
4.5.4 ISO/IEC27017................................................................................................................................................................. 28
4.5.5 ISO/IEC27018................................................................................................................................................................. 28
4.5.6 ISO/IEC/TR27019....................................................................................................................................................... 28
4.5.7 ISO27799............................................................................................................................................................................. 29
Avant-propos
LISO (Organisation internationale de normalisation) et lIEC (Commission lectrotechnique
internationale) forment le systme spcialis de la normalisation mondiale. Les organismes nationaux
membres de lISO ou de lIEC participent llaboration de Normes internationales par lintermdiaire de
comits techniques crs par lorganisme concern pour traiter de domaines particuliers une activit
technique. Les comits techniques de lISO et de lIEC collaborent dans des domaines dintrt commun.
Dautres organismes internationaux, gouvernementaux et non gouvernementaux, en liaison avec lISO
et lIEC participent galement aux travaux. Dans le domaine des technologies de linformation, lISO et
lIEC ont cr un comit technique mixte, lISO/IECJTC1.
Les procdures utilises pour laborer le prsent document et celles destines sa mise jour sont
dcrites dans les Directives ISO/IEC, Partie1. Il convient, en particulier, de prendre note des diffrents
critres dapprobation requis pour les diffrents types de document. Le prsent document a t rdig
conformment aux rgles de rdaction donnes dans les DirectivesISO/IEC, Partie2 (voirhttp://www.
iso.org/directives).
Lattention est appele sur le fait que certains des lments du prsent document peuvent faire lobjet de
droits de proprit intellectuelle ou de droits analogues. LISO ne saurait tre tenue pour responsable
de ne pas avoir identifi de tels droits de proprit et averti de leur existence. Les dtails concernant
les rfrences aux droits de proprit intellectuelle ou autres droits analogues identifis lors de
llaboration du document sont indiqus dans lIntroduction et/ou dans la liste des dclarations de
brevets reues par lISO (voir www.iso.org/brevets).
Les appellations commerciales ventuellement mentionnes dans le prsent document sont donnes
pour information, par souci de commodit, lintention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spcifiques de lISO lis
lvaluation de la conformit, ou pour toute information au sujet de ladhsion de lISO aux principes
de lOMC concernant les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos
Informations supplmentaires.
Le comit charg de llaboration du prsent document est lISO/IECJTC1, Technologies de linformation,
souscomit SC27, Techniques de scurit des technologies de linformation.
Cette quatrime dition annule et remplace la troisime dition (ISO/IEC27000:2014), qui a fait lobjet
dune rvision technique.
0 Introduction
Les Normes internationales qui font galement partie de la famille de normes du SMSI, mais qui ne sont
pas regroupes sous le mme titre gnral, sont les suivantes:
ISO27799, Informatique de sant Management de la scurit de linformation relative la sant en
utilisant lISO/IEC27002
1 Domaine dapplication
La prsente Norme internationale offre une vue densemble des systmes de management de la scurit
de linformation, ainsi que des termes et dfinitions dusage courant dans la famille de normes du SMSI.
La prsente Norme internationale est applicable tous les types et toutes les tailles dorganismes (par
exemple: les entreprises commerciales, les organismes publics, les organismes but non lucratif).
2 Termes et dfinitions
Pour les besoins du prsent document, les termes et dfinitions suivants sappliquent:
2.1
contrle daccs
moyens mis en uvre pour assurer que laccs aux actifsest autoris et limit selon les exigences (2.63)
propres la scurit et lactivit mtier
2.2
modle analytique
algorithme ou calcul combinant une ou plusieurs mesures lmentaires (2.10) et/ou mesures
drives(2.22) avec les critres de dcision associs (2.21)
2.3
attaque
tentative de dtruire, de rendre public, de modifier, dinvalider, de voler ou dutiliser sans autorisation
un actif, ou de faire un usage non autoris de celui-ci
2.4
attribut
proprit ou caractristique dun objet (2.55) qui peut tre distingu quantitativement ou
qualitativement par des moyens humains ou automatiques
[SOURCE: ISO/IEC15939:2007, 2.2, modifie Le terme entit a t remplac par objet dans la
dfinition.]
2.5
audit
processus (2.61) mthodique, indpendant et document permettant dobtenir des preuves daudit et de
les valuer de manire objective pour dterminer dans quelle mesure les critres daudit sont satisfaits
Note1 larticle:Un audit peut tre interne (audit de premire partie), externe (audit de seconde ou de tierce
partie) ou combin (associant deux disciplines ou plus).
Note2 larticle:Les termes preuves daudit et critres daudit sont dfinis dans lISO19011.
2.6
champ de laudit
tendue et limites dun audit (2.5)
[SOURCE: ISO19011:2011, 3.14, modifie Suppression de la note1 larticle.]
2.7
authentification
mthode permettant de garantir quune caractristique revendique pour une entit est correcte
2.8
authenticit
proprit selon laquelle une entit est ce quelle revendique tre
2.9
disponibilit
proprit dtre accessible et utilisable la demande par une entit autorise
2.10
mesure lmentaire
mesure (2.47) dfinie en fonction dun attribut (2.4) et de la mthode de mesurage spcifie pour le
quantifier
[SOURCE: ISO/IEC15939:2007, 2.3, modifie Suppression de la note2 larticle.]
Note1larticle:Une mesure lmentaire est fonctionnellement indpendante des autres mesures (2.47).
2.11
comptence
capacit appliquer des connaissances et des aptitudes pour obtenir les rsultats escompts
2.12
confidentialit
proprit selon laquelle linformation nest pas diffuse ni divulgue des personnes, des entits ou des
processus (2.61) non autoriss
2.13
conformit
satisfaction dune exigence (2.63)
Note1larticle:Le terme anglaisconformance est un synonyme, mais il est dconseill.
2.14
consquence
effet dun vnement (2.25) affectant les objectifs (2.56)
[SOURCE: GuideISO73:2009, 3.6.1.3, modifi]
Note1 larticle:Un vnement (2.25) peut entraner une srie de consquences.
Note2 larticle:Une consquence peut tre certaine ou incertaine. Dans le contexte de la scurit de linformation
(2.33), elle est gnralement ngative.
2.15
amlioration continue
activit rgulire destine amliorer les performances (2.59)
2.16
mesure de scurit
mesure qui modifie un risque (2.68)
[SOURCE: GuideISO73:2009, 3.8.1.1]
Note1 larticle:Les mesures de scurit comprennent tous les processus (2.61), politiques (2.60), dispositifs,
pratiques ou autres actions qui modifient un risque (2.68).
Note2 larticle:Les mesures de scurit ne peuvent pas toujours aboutir la modification voulue ou suppose.
2.17
objectif dune mesure de scurit
dclaration dcrivant ce qui est attendu de la mise en uvre des mesures de scurit (2.16)
2.18
correction
action visant liminer une non-conformit (2.53) dtecte
2.19
action corrective
action visant liminer la cause dune non-conformit (2.53) et empcher quelle ne se rpte
2.20
donnes
ensemble des valeurs attribues aux mesures lmentaires (2.10), mesures drives (2.22) et/ou aux
indicateurs (2.30)
[SOURCE: ISO/IEC15939:2007, 2.4, modifie Ajout de la note1 larticle.]
Note1larticle:Cette dfinition sapplique uniquement dans le contexte de lISO/IEC27004.
2.21
critres de dcision
seuils, cibles ou modles utiliss pour dterminer la ncessit dune action ou dun complment
denqute, ou pour dcrire le niveau de confiance dans un rsultat donn
[SOURCE: ISO/IEC15939:2007, 2.7]
2.22
mesure drive
mesure (2.47) dfinie en fonction dau moins deuxmesures lmentaires (2.10)
[SOURCE: ISO/IEC15939:2007, 2.8, modifie Suppression de la note1 larticle.]
2.23
informations documentes
informations devant tre contrles et mises jour par un organisme (2.57) et le support sur lequel
elles sont stockes
Note1 larticle:Les informations documentes peuvent tre dans nimporte quel format, sur nimporte quel
support et provenir de nimporte quelle source.
2.24
efficacit
niveau de ralisation des activits planifies et dobtention des rsultats escompts
2.25
vnement
occurrence ou changement dun ensemble particulier de circonstances
[SOURCE: GuideISO73:2009, 3.5.1.3, modifi Suppression de la note4 larticle.]
Note1 larticle:Un vnement peut tre unique ou se reproduire. Il peut avoir plusieurs causes.
Note2 larticle:Un vnement peut consister en quelque chose qui ne se produit pas.
2.26
management excutif
personne ou groupe de personnes ayant reu des instances dirigeantes (2.29) la responsabilit de la
mise en uvre des stratgies et politiques afin datteindre les objectifs de lorganisme (2.57)
Note1larticle:Le management excutif est parfois appel la direction (2.84). Il peut comprendre les prsidents
directeurs gnraux, les directeurs financiers, les directeurs des systmes dinformation et autres fonctions
similaires.
2.27
contexte externe
environnement externe dans lequel lorganisme cherche atteindre ses objectifs (2.56)
[SOURCE: GuideISO73:2009, 3.3.1.1]
Note1larticle:Le contexte externe peut inclure les aspects suivants:
les facteurs cls et tendances ayant un impact dterminant sur les objectifs (2.56) de lorganisme (2.57);
les relations avec les parties prenantes (2.82) externes, les perceptions et valeurs relatives celles-ci.
2.28
gouvernance de la scurit de linformation
systme par lequel un organisme (2.57) conduit et supervise les activits lies la scurit de
linformation (2.33)
2.29
instances dirigeantes
personne ou groupe de personnes ayant la responsabilit des performances (2.59) et de la conformit de
lorganisme (2.57)
Note 1 larticle: Dans certaines juridictions, les instances dirigeantes peuvent tre constitues dun conseil
dadministration.
2.30
indicateur
mesure (2.47) qui fournit une estimation ou une valuation des attributs (2.4) spcifis partir dun
modle analytique (2.2) concernant les besoins dinformation (2.31) dfinis
2.31
besoin dinformation
information ncessaire pour grer les objectifs (2.56), les buts, les risques et les problmes
[SOURCE: ISO/IEC15939:2007, 2.12]
2.32
moyens de traitement de linformation
tout systme, service ou infrastructure de traitement de linformation, ou le local les abritant
2.33
scurit de linformation
protection de la confidentialit (2.12), de lintgrit (2.40) et de la disponibilit (2.9) de linformation
Note1larticle:En outre, dautres proprits, telles que lauthenticit (2.8), limputabilit, la non-rpudiation(2.54)
et la fiabilit (2.62) peuvent galement tre concernes.
2.34
continuit de la scurit de linformation
processus (2.61) et procdures visant assurer la continuit des oprations lies la scurit de
linformation (2.33)
2.35
vnement li la scurit de linformation
occurrence identifie de ltat dun systme, dun service ou dun rseau indiquant une faille possible
dans la politique (2.60) de scurit de linformation (2.33) ou un chec des mesures de scurit (2.16), ou
encore une situation inconnue jusqualors et pouvant relever de la scurit
2.36
incident li la scurit de linformation
un ou plusieurs vnements lis la scurit de linformation (2.35), indsirables ou inattendus,
prsentant une probabilit forte de compromettre les oprations lies lactivit de lorganisme et de
menacer la scurit de linformation (2.33)
2.37
gestion des incidents lis la scurit de linformation
processus (2.61) visant dtecter, rapporter, apprcier, grer et rsoudre les incidents lis la scurit de
linformation (2.36), ainsi qu en tirer des enseignements
2.38
communaut de partage dinformations
groupe dorganismes (2.57) qui saccordent pour partager les informations
Note1larticle:Un organisme (2.57) peut tre un individu.
2.39
systme dinformation
applications, services, actifs informationnels ou autres composants permettant de grer linformation
2.40
intgrit
proprit dexactitude et de compltude
2.41
partie intresse
personne ou organisme (2.57) susceptible daffecter, dtre affect ou de se sentir lui-mme affect par
une dcision ou une activit
2.42
contexte interne
environnement interne dans lequel lorganisme (2.57) cherche atteindre ses objectifs
[SOURCE: GuideISO73:2009, 3.3.1.2]
Note1larticle:Le contexte interne peut inclure les aspects suivants:
les politiques (2.60), objectifs (2.56) et stratgies mises en place pour atteindre ces derniers;
les capacits, en termes de ressources et de connaissances (par exemple: capital, temps, personnel,
processus(2.61), systmes et technologies);
les systmes dinformation (2.39), flux dinformation et processus (2.61) de prise de dcision (formels et
informels);
les relations avec les parties prenantes (2.82) internes, les perceptions et valeurs associes celles-ci;
2.43
projetSMSI
activits structures entreprises par un organisme (2.57) pour dployer un SMSI
2.44
niveau de risque
importance dun risque (2.68) exprime en termes de combinaison des consquences (2.14) et de leur
vraisemblance (2.45)
[SOURCE: Guide ISO 73:2009, 3.6.1.8, modifi Suppression de ou combinaison de risques de la
dfinition.]
2.45
vraisemblance
possibilit quun vnement survienne
[SOURCE: GuideISO73:2009, 3.6.1.1, modifi Suppression des notes1 et 2 larticle.]
2.46
systme de management
ensemble dlments corrls ou interactifs dun organisme (2.57) visant tablir des politiques (2.60),
des objectifs (2.56) et des processus (2.61) permettant datteindre ces objectifs
Note1 larticle:Un systme de management peut recouvrir une ou plusieurs disciplines.
Note2 larticle:Les lments du systme comprennent la structure de lorganisme, les rles et responsabilits,
la planification et les oprations.
Note 3 larticle: Le domaine dapplication dun systme de management peut comprendre lorganisme (2.57)
dans son ensemble, certaines des fonctions spcifiques et identifies de lorganisme (2.57), certaines des
sections spcifiques et identifies de lorganisme (2.57), ou bien une ou plusieurs fonctions au sein dun groupe
dorganismes (2.57).
2.47
mesure
variable laquelle on attribue une valeur correspondant au rsultat du mesurage (2.48)
[SOURCE: ISO/IEC15939:2007, 2.15, modifie]
Note1larticle:Le termemesures est utilis pour dsigner collectivement les mesures lmentaires (2.10),
les mesures drives (2.22) et les indicateurs (2.30).
2.48
mesurage
processus (2.61) permettant de dterminer une valeur
Note1larticle:Dans le contexte de la scurit de linformation (2.33), le processus (2.61) de dtermination dune
valeur ncessite des informations concernant lefficacit (2.24) dun systme de management (2.46) de la scurit
de linformation (2.33) et des mesures de scurit (2.16) associes laide dune mthode de mesurage (2.50), dune
fonction de mesurage (2.49), dun modle analytique (2.2) et de critres de dcision (2.21).
2.49
fonction de mesurage
algorithme ou calcul utilis pour combiner au moins deux mesures lmentaires (2.10)
[SOURCE: ISO/IEC15939:2007, 2.20]
2.50
mthode de mesurage
suite logique doprations dcrites de manire gnrique qui permettent de quantifier un attribut (2.4)
selon une chelle (2.80) spcifie
[SOURCE: ISO/IEC15939:2007, 2.22, modifie Suppression de la note2 larticle.]
Note1larticle:Le type de mthode de mesurage employ dpend de la nature des oprations utilises pour
quantifier un attribut (2.4). On peut en distinguer deux:
2.51
rsultats de mesurage
un ou plusieurs indicateurs (2.30) et les interprtations associes, rpondant un besoin
dinformation(2.31)
2.52
surveillance
dtermination du statut dun systme, dun processus (2.61) ou dune activit
Note1larticle:Pour dterminer le statut, il peut savrer ncessaire de vrifier, de superviser ou dobserver de
manire critique.
2.53
non-conformit
non-satisfaction dune exigence (2.63)
2.54
non-rpudiation
capacit prouver loccurrence dun vnement (2.25) ou dune action donne(e) et des entits qui en
sont lorigine
2.55
objet
lment caractris par le mesurage (2.48) de ses attributs (2.4)
2.56
objectif
rsultat atteindre
Note1 larticle:Un objectif peut tre stratgique, tactique ou oprationnel.
Note2 larticle:Les objectifs peuvent concerner diffrentes disciplines (par exemple: finance, sant, scurit ou
environnement) et diffrents niveaux (par exemple: au niveau stratgique, lchelle de lorganisme, au niveau
dun projet, dun produit et dun processus (2.61).
Note3 larticle:Un objectif peut tre exprim de diffrentes manires, par exemple: rsultat recherch, but
atteindre, critre oprationnel, objectif en matire de scurit de linformation (2.33), ou laide dautres mots de
sens similaire (par exemple: intention ou cible).
Note4 larticle:Dans le contexte des systmes de management (2.46) de la scurit de linformation (2.33), les
objectifs de scurit de linformation (2.33) sont dfinis par lorganisme, conformment la politique (2.60) de
scurit de linformation (2.33), afin dobtenir des rsultats spcifiques.
2.57
organisme
personne ou groupe de personnes qui exerce ses propres fonctions associes aux responsabilits,
pouvoirs et relations ncessaires pour atteindre ses objectifs (2.56)
Note 1 larticle: Le concept dorganisme inclut, sans sy limiter, les travailleurs indpendants, compagnies,
socits, firmes, entreprises, autorits, partenariats, uvres de bienfaisance ou institutions, ou toute partie ou
combinaison de ceux-ci, constitue en socit de capitaux ou ayant un autre statut, de droit priv ou public.
2.58
externaliser
prendre des dispositions pour quun organisme (2.57) externe prenne en charge une partie des fonctions
ou des processus (2.61) dun organisme (2.57)
Note1larticle:Un organisme externe se situe hors du domaine dapplication du systme de management (2.46),
mais les fonctions ou processus (2.61) externaliss entrent dans le cadre de celui-ci.
2.59
performance
rsultat mesurable
Note1 larticle:La performance peut se rapporter des observations quantitatives ou qualitatives.
Note 2 larticle: La performance peut se rapporter au management des activits, des processus (2.61), des
produits (y compris les services), des systmes ou des organismes (2.57).
2.60
politique
intentions et orientation dun organisme (2.57) telles que formalises par sa direction (2.84)
2.61
processus
ensemble dactivits corrles ou interactives qui transforme des lments dentre en lments de sortie
2.62
fiabilit
proprit relative un comportement et des rsultats prvus et cohrents
2.63
exigence
besoin ou attente formul, gnralement implicite ou obligatoire
Note1 larticle:Gnralement implicite signifie quil est habituel ou courant, pour lorganisme (2.57) et les
parties intresses, que le besoin ou lattente en question soit implicite.
Note2 larticle:Une exigence spcifie est une exigence formule, par exemple une information documente(2.23).
2.64
risque rsiduel
risque (2.68) subsistant aprs le traitement du risque (2.79)
Note1 larticle:Un risque rsiduel peut inclure un risque (2.68) non identifi.
Note2 larticle:Un risque rsiduel peut galement tre appel risque conserv.
2.65
revue
activit entreprise afin de dterminer ladaptation, ladquation et lefficacit (2.24) de lobjet tudi
pour atteindre les objectifs (2.54) tablis
[SOURCE: GuideISO73:2009, 3.8.2.2, modifi Suppression de la note1 larticle.]
2.66
objet de revue
lment spcifique soumis la revue
2.67
objectif de revue
dclaration dcrivant le rsultat attendu dune revue (2.65)
2.68
risque
effet de lincertitude sur latteinte des objectifs
[SOURCE: GuideISO73:2009, 1.1, modifi]
Note1 larticle:Un effet est un cart, positif ou ngatif, par rapport une attente.
Note2 larticle:Lincertitude est ltat, mme partiel, de dfaut dinformation concernant la comprhension ou
la connaissance dun vnement (2.25), de ses consquences (2.14) ou de sa vraisemblance (2.45).
Note3 larticle:Un risque est souvent caractris en rfrence des vnements (2.25) et des consquences(2.14)
potentiels ou une combinaison des deux.
Note4 larticle:Un risque est souvent exprim en termes de combinaison des consquences (2.14) dun vnement
(2.25) (incluant des changements de circonstances) et de sa vraisemblance (2.45).
Note5 larticle:Dans le contexte des systmes de management (2.46) de la scurit de linformation (2.33),
les risques lis la scurit de linformation (2.33) peuvent tre exprims comme leffet de lincertitude sur les
objectifs (2.56) de scurit de linformation (2.33).
Note6 larticle:Le risque li la scurit de linformation (2.33) est associ la possibilit que des menaces(2.83)
exploitent les vulnrabilits (2.89) dun actif ou dun groupe dactifs informationnels et nuisent donc un
organisme (2.57).
2.69
acceptation du risque
dcision argumente en faveur de la prise dun risque (2.68) particulier
[SOURCE: GuideISO73:2009, 3.7.1.6]
Note1 larticle:Lacceptation du risque peut avoir lieu sans traitement du risque (2.79) ou lors du processus(2.61)
de traitement du risque (2.79).
Note2 larticle:Les risques (2.68) accepts font lobjet dune surveillance (2.52) et dune revue (2.65).
2.70
analyse du risque
processus (2.61) mis en uvre pour comprendre la nature dun risque (2.68) et pour dterminer le
niveau de risque (2.44)
[SOURCE: GuideISO73:2009, 3.6.1]
Note1 larticle:Lanalyse du risque fournit la base de lvaluation du risque (2.74) et des dcisions relatives au
traitement du risque (2.79).
2.71
apprciation du risque
ensemble du processus (2.61) didentification du risque (2.75), danalyse du risque (2.70) et dvaluation
du risque (2.74)
[SOURCE: GuideISO73:2009, 3.4.1]
2.72
communication et concertation relatives au risque
processus (2.61) itratifs et continus mis en uvre par un organisme afin de fournir, partager ou obtenir
des informations et dengager un dialogue avec les parties prenantes (2.82) en ce qui concerne la gestion
du risque (2.68)
Note1 larticle:Ces informations peuvent concerner lexistence, la nature, la forme, la vraisemblance (2.45),
limportance, lvaluation, lacceptabilit et le traitement du risque (2.68).
Note2 larticle:La concertation est un processus (2.51) de communication argumente double sens entre un
organisme (2.57) et ses parties prenantes (2.82) sur une question donne avant de prendre une dcision ou de
dterminer une orientation concernant cette question. La concertation est:
un processus (2.61) dont leffet sur une dcision sexerce par linfluence plutt que par le pouvoir, et
une contribution une prise de dcision, et non une prise de dcision conjointe.
2.73
critres de risque
termes de rfrence vis--vis desquels limportance dun risque (2.68) est value
[SOURCE: GuideISO73:2009, 3.3.1.3]
Note1 larticle:Les critres de risque sont fonds sur les objectifs de lorganisme et sur le contexte externe(2.27)
et interne (2.42).
Note2 larticle:Les critres de risque peuvent tre issus de normes, de lois, de politiques (2.60) et dautres
exigences (2.63).
2.74
valuation du risque
processus (2.61) de comparaison des rsultats de lanalyse du risque (2.70) avec les critres du
risque(2.73) afin de dterminer si le risque (2.68) et/ou son importance sont acceptables ou tolrables
[SOURCE: GuideISO73:2009, 3.7.1]
Note1larticle:Lvaluation du risque aide la prise de dcision relative au traitement du risque (2.79).
2.75
identification du risque
processus (2.61) de recherche, de reconnaissance et de description des risques (2.68)
[SOURCE: GuideISO73:2009, 3.5.1]
Note1 larticle:Lidentification du risque comprend lidentification des sources de risque, des vnements(2.25),
de leurs causes et de leurs consquences (2.14) potentielles.
Note2 larticle:Lidentification du risque peut faire appel des donnes historiques, des analyses thoriques
et des avis dexperts et autres personnes comptentes, et tenir compte des besoins des parties prenantes (2.82).
2.76
management du risque
activits coordonnes visant diriger et contrler un organisme (2.57) vis--vis du risque (2.68)
[SOURCE: GuideISO73:2009, 2.1]
2.77
processus de management du risque
application systmatique de politiques (2.60), procdures et pratiques de management aux activits de
communication, de concertation, dtablissement du contexte, et aux activits didentification, danalyse,
dvaluation, de traitement, de surveillance et de revue du risque (2.68)
[SOURCE: GuideISO73:2009, 3.1, modifi Ajout de la note1 larticle.]
Note1 larticle:LISO/IEC27005 emploie le terme processus (2.61) pour dcrire le management du risque
dans sa globalit. Les lments qui composent le processus (2.61) de management du risque (2.76) sont appels
activits.
Note2 larticle:
Note3 larticle:
2.78
propritaire du risque
personne ou entit ayant la responsabilit du risque (2.68) et ayant autorit pour le grer
[SOURCE: GuideISO73:2009, 3.5.1.5]
2.79
traitement du risque
processus (2.61) destin modifier un risque (2.68)
[SOURCE: GuideISO73:2009, 3.8.1, modifi dcision a t remplac par choix dans la note1
larticle.]
Note1 larticle:Le traitement du risque peut inclure:
un refus du risque (2.68) en dcidant de ne pas dmarrer ni poursuivre lactivit porteuse du risque (2.68);
un partage du risque (2.68) avec une ou plusieurs autres parties (incluant des contrats et un financement du
risque);
Note2 larticle:Les traitements du risque portant sur les consquences (2.14) ngatives sont parfois
appelsattnuation du risque, limination du risque, prvention du risque et rduction du risque.
Note3 larticle:Le traitement du risque peut crer de nouveaux risques (2.68) ou modifier des risques (2.68)
existants.
2.80
chelle
ensemble ordonn de valeurs, continu ou discontinu, ou ensemble de catgories avec lequel
lattribut(2.4) est mis en correspondance
[SOURCE: ISO/IEC15939:2007, 2.35, modifie]
Note1larticle:Le type dchelle employ dpend de la nature de la relation entre les valeurs de lchelle.
Quatretypes dchelle sont habituellement dfinis:
le type intervalle: les valeurs de mesurage (2.48) prsentent des distances gales correspondant des
quantits gales de lattribut (2.4);
le type rapport: les valeurs de mesurage (2.48) prsentent des distances gales correspondant des quantits
gales de lattribut (2.4), la valeur zro correspondant labsence de lattribut.
2.81
norme relative la mise en uvre de la scurit
document qui spcifie les mthodes de mise en uvre de la scurit
2.82
partie prenante
personne ou organisme (2.57) susceptible daffecter, dtre affect ou de se sentir lui-mme affect par
une dcision ou une activit
[SOURCE: GuideISO73:2009, 3.2.1.1, modifi Suppression de la note1 larticle.]
2.83
menace
cause potentielle dun incident indsirable, qui peut nuire un systme ou un organisme (2.57)
2.84
direction
personne ou groupe de personnes qui dirige et contrle un organisme (2.57) au plus haut niveau
Note 1 larticle: La direction a le pouvoir de dlguer lautorit et de fournir des ressources au sein de
lorganisme (2.57).
Note2 larticle:Si le domaine du systme de management (2.46) ne stend qu une partie de lorganisme(2.57),
la direction en rfre lquipe qui dirige et contrle cette partie de lorganisme (2.57).
2.85
entit de communication des informations scurise
organisme (2.57) indpendant qui prend en charge lchange dinformations dans une communaut de
partage dinformations (2.38)
2.86
unit de mesurage
grandeur particulire, dfinie et adopte par convention, avec laquelle dautres grandeurs de mme
nature sont compares afin dexprimer leur valeur par rapport cette grandeur
[SOURCE: ISO/IEC15939:2007, 2.40, modifie]
2.87
validation
confirmation par des preuves tangibles que les exigences (2.63) pour une utilisation spcifique ou une
application prvues ont t satisfaites
[SOURCE: ISO9000:2015, 3.8.12, modifie]
2.88
vrification
confirmation par des preuves tangibles que les exigences (2.63) spcifies ont t satisfaites
[SOURCE: ISO9000:2015, 3.8.4]
Note1larticle:Le termeessai de conformit pourrait galement tre employ pour dsigner cette notion.
2.89
vulnrabilit
faille dans un actif ou dans une mesure de scurit (2.16) qui peut tre exploite par une ou plusieurs
menaces (2.83)
3.1 Gnralits
Des organismes de toutes catgories et de toutes tailles:
a) collectent, traitent, stockent et transmettent des informations;
b) reconnaissent que les informations et les processus, systmes, rseaux et personnes associs sont
des actifs importants pour latteinte des objectifs de lorganisme;
c) font face divers types de risques qui peuvent avoir des rpercussions sur le fonctionnement des
actifs; et
d) traitent lexposition aux risques perue en mettant en uvre des mesures de scurit de
linformation.
Toutes les informations dtenues et traites par un organisme sont exposes des menaces telles que
des attaques, des erreurs, des vnements naturels (une inondation ou un incendie, par exemple), etc.,
et sont exposes des vulnrabilits inhrentes leur utilisation. Le terme scurit de linformation
repose, en gnral, sur le fait que linformation est considre comme un actif qui est dot dune valeur
et qui doit bnficier dune protection approprie contre la perte de disponibilit, de confidentialit et
dintgrit, par exemple. Garantir laccs par les personnes qui y sont autorises et qui en ont besoin
des informations exactes et compltes au moment o elles le souhaitent permet de contribuer
lefficacit de lentreprise.
Protger les actifs informationnels en dfinissant, garantissant, maintenant et amliorant efficacement
la scurit de linformation est essentiel pour permettre un organisme datteindre ses objectifs et de
maintenir et amliorer ses obligations lgales et son image. Ces activits coordonnes visant orienter
la mise en uvre de mesures appropries et traiter les risques inacceptables lis la scurit de
linformation, sont gnralement connues comme tant des lments de management de la scurit de
linformation.
tant donn que les risques lis la scurit de linformation et lefficacit des mesures voluent en
fonction de la conjoncture, les organismes doivent:
a) surveiller et valuer lefficacit des mesures de scurit et des procdures mises en uvre;
b) identifier les risques mergents traiter; et
c) slectionner, mettre en uvre et amliorer les mesures de scurit appropries le cas chant.
Pour relier ces activits de scurit de linformation et les coordonner, chaque organisme doit tablir sa
politique et ses objectifs en matire de scurit de linformation et utiliser un systme de management
lui permettant datteindre ces objectifs de manire efficace.
linformation dun organisme afin que celui-ci atteigne ses objectifs mtier. Cette approche se fonde sur
lapprciation du risque et sur les niveaux dacceptation du risque dfinis par lorganisme pour traiter
et grer efficacement les risques. Lanalyse des exigences de protection des actifs informationnels
et lapplication des mesures appropries pour assurer comme il se doit la protection de ces actifs,
contribuent la russite de la mise en uvre dun SMSI. Les principes essentiels suivants y contribuent
galement:
a) la sensibilisation la scurit de linformation;
b) lattribution des responsabilits lies la scurit de linformation;
c) la prise en compte de lengagement de la direction et des intrts des parties prenantes;
d) la consolidation des valeurs socitales;
e) les apprciations du risque dterminant les mesures de scurit appropries pour arriver des
niveaux de risque acceptables;
f) lintgration de la scurit comme lment essentiel des systmes et des rseaux dinformation;
g) la prvention et la dtection actives des incidents lis la scurit de linformation;
h) ladoption dune approche globale du management de la scurit de linformation;
i) le rexamen continu de lapprciation de la scurit de linformation et la mise en uvre de
modifications le cas chant.
3.2.2 Linformation
Linformation est un actif qui, comme tous les autres actifs importants de lorganisme, est essentiel son
fonctionnement et qui, par consquent, requiert une protection adquate. Elle peut tre stocke sous
diffrentes formes, notamment numrique (par exemple: des fichiers de donnes stocks sur un support
lectronique ou optique), matrielle (par exemple: sur papier) ou en tant quinformation intangible (par
exemple: les connaissances des salaris). Linformation peut tre transmise par diffrents moyens,
notamment par courrier ou dans le cadre de communications lectroniques ou verbales. Quelle que
soit la forme que prend linformation ou quel que soit son vecteur de transmission, elle requiert une
protection approprie.
Dans de nombreux organismes, linformation dpend des technologies de linformation et des
communications. Ces technologies reprsentent souvent un lment essentiel dans lorganisme et
elles facilitent la cration, le traitement, le stockage, la transmission, la protection et la destruction de
linformation.
3.2.4 Management
lorganisme, y compris les clients, les fournisseurs, les partenaires commerciaux, les actionnaires et
toutes les autres tierces parties concernes.
Dans un monde interconnect, linformation et les processus, systmes et rseaux qui sy rapportent
constituent des actifs critiques de lorganisme. Les organismes et leurs systmes et rseaux
dinformations sont confronts des menaces pour la scurit dont les origines sont trs varies: fraude
assiste par ordinateur, espionnage, sabotage, vandalisme, incendies ou inondations, par exemple. Les
dommages causs aux systmes et aux rseaux dinformation par des programmes malveillants, le
piratage informatique et des attaques de type Refus de service sont de plus en plus courants, ambitieux
et sophistiqus.
Le SMSI est important autant pour les activits du secteur public que pour celles du secteur priv. Dans
toutes les branches dactivit, le SMSI est un instrument qui favorise le commerce lectronique et qui
savre essentiel aux activits de management du risque. Linterconnexion des rseaux publics et privs
et le partage des actifs informationnels augmentent les difficults lies au traitement de linformation
et au contrle de son accs. En outre, la distribution de dispositifs de stockage mobiles contenant des
actifs informationnels peut affaiblir lefficacit des mesures de scurit traditionnelles. Quand des
organismes adoptent la famille de normes du SMSI, il est possible de dmontrer leurs partenaires et
aux autres parties intresses que lapplication de principes de scurit de linformation cohrents et
mutuellement reconnaissables est possible.
La scurit de linformation nest pas toujours prise en compte lors de la conception et de llaboration
des systmes dinformation. En outre, elle est souvent envisage comme une solution technique.
Pourtant, la scurit de linformation qui peut tre assure par des moyens techniques est limite et
elle peut savrer inefficace sans laide dun management et de procdures appropris dfinis dans le
contexte dun SMSI. Lintgration aprs coup de la scurit un systme dinformation oprationnel
peut savrer difficile et coteuse. Un SMSI implique une identification des mesures de scurit mises
en place et exige une planification soigne et une grande attention porte aux dtails. titre dexemple,
les contrles daccs, qui peuvent tre techniques (logiques), physiques, administratifs (managriaux)
ou consister en une combinaison de ces diffrents types de contrle, permettent de sassurer que laccs
aux actifs informationnels est autoris et limit conformment aux exigences lies lactivit et la
scurit de linformation.
Ladoption dun SMSI est un lment important de la protection des actifs informationnels qui permet
un organisme:
a) de conforter son assurance concernant la protection correcte des actifs informationnels contre les
menaces et la permanence de cette protection;
b) de maintenir un cadre de rfrence structur et exhaustif visant identifier et apprcier les
risques lis la scurit de linformation, par le choix et la mise en uvre des mesures de scurit
appropries et par la mesure et lamlioration de leur efficacit;
c) damliorer continuellement son environnement de contrle; et
d) de remplir ses obligations lgales et garantir sa conformit rglementaire de manire efficace.
Un organisme doit suivre les tapes suivantes pour tablir, surveiller, maintenir et amliorer son SMSI:
a) identifier les actifs informationnels et les exigences de scurit de linformation associes
(voir3.5.2);
b) apprcier les risques lis la scurit de linformation (voir 3.5.3) et traiter les risques lis la
scurit de linformation (voir 3.5.4);
c) slectionner et mettre en uvre les mesures de scurit pertinentes pour grer les risques
inacceptables (voir 3.5.5);
d) surveiller, mettre jour et amliorer lefficacit des mesures de scurit associes aux actifs
informationnels de lorganisme (voir 3.5.6).
Pour sassurer que le SMSI protge efficacement et sans interruption les actifs informationnels de
lorganisme, il est ncessaire de rpter en boucle les tapes (a) (d) afin didentifier les changements
qui affectent les risques, les stratgies de lorganisme ou ses objectifs mtier.
Dans le cadre de la stratgie globale et des objectifs mtier de lorganisme, de sa taille et de son extension
gographique, les exigences de scurit de linformation peuvent tre identifies par la comprhension
des lments suivants:
a) actifs informationnels identifis et la valeur associe;
b) besoins mtier de lorganisme en traitement, stockage et communication de linformation;
c) exigences lgales, rglementaires et contractuelles.
Pour valuer de manire mthodique les risques associs aux actifs informationnels de lorganisme,
il est ncessaire danalyser les menaces qui psent sur les actifs informationnels, les vulnrabilits
une menace sur les actifs informationnels et la vraisemblance dune telle menace, ainsi que limpact
potentiel dun ventuel incident li la scurit de linformation sur les actifs informationnels. Les
dpenses consacres aux mesures de scurit doivent, en principe, tre proportionnelles limpact de
la concrtisation du risque tel quil est peru par lorganisme.
La gestion des risques lis la scurit de linformation exige une mthode correcte dapprciation et de
traitement du risque qui peut inclure une estimation des cots et des bnfices, des exigences lgales,
des proccupations des parties prenantes et dautres donnes et variables, si ncessaire.
Il convient que lapprciation du risque identifie, quantifie et hirarchise les risques par rapport
des critres dacceptation du risque et des objectifs pertinents pour lorganisme. Il convient que les
rsultats ainsi obtenus guident la direction dans son action et dans ltablissement de ses priorits en
matire de management des risques lis la scurit de linformation et de mise en uvre des mesures
de scurit slectionnes pour assurer une protection contre ces risques.
Il convient que lapprciation du risque intgre lapproche systmatique consistant estimer
limportance des risques (analyse du risque) et le processus consistant comparer les risques estims
des critres de risque afin de dterminer limportance des risques (valuation du risque).
Il convient de raliser priodiquement des apprciations du risque afin de tenir compte de lvolution des
exigences en matire de scurit de linformation et lvolution de la situation du risque (par exemple:
au niveau des actifs, des menaces, des vulnrabilits, des impacts, de lvaluation du risque), et chaque
changement important. Il convient de mettre en uvre ces apprciations du risque en procdant dune
manire mthodique qui permette de produire des rsultats comparables et reproductibles.
Pour tre efficace, il convient de dfinir clairement ltendue de lapprciation du risque li la scurit
de linformation et dy inclure des relations avec des apprciations du risque portant sur dautres points,
le cas chant.
LISO/IEC 27005 contient des prconisations relatives au management du risque li la scurit
de linformation et des conseils sur lapprciation, le traitement, lacceptation, la surveillance, la
revue du risque et la cration de rapports concernant celui-ci. Elle donne galement des exemples de
mthodologies dapprciation du risque.
Avant denvisager le traitement dun risque, il convient que lorganisme dfinisse des critres afin de
dterminer si tel ou tel risque peut tre accept. Un risque peut tre accept, par exemple, si lon estime
quil est faible ou que son traitement ne sera pas rentable pour lorganisme. Il convient de consigner ces
dcisions.
Suite lapprciation des risques, il est ncessaire de prendre une dcision concernant le traitement
de chacun des risques identifis. Voici quelques exemples doptions possibles en matire de traitement
du risque:
a) lapplication de mesures de scurit appropries pour rduire les risques;
b) lacceptation dlibre et objective des risques, condition quils satisfassent clairement la
politique et aux critres dfinis par lorganisme en matire dacceptation du risque;
c) le refus des risques par linterdiction des actions susceptibles de les provoquer;
d) le partage des risques associs avec dautres parties (par exemple: les assureurs ou les fournisseurs).
Pour les risques quil a t dcid de traiter par lapplication de mesures de scurit appropries, il
convient de slectionner et de mettre en uvre ces mesures.
Une fois que les exigences de scurit de linformation ont t identifies (voir 3.5.2), que les risques
lis la scurit des actifs informationnels identifis ont t dtermins et apprcis (voir 3.5.3) et
que les dcisions concernant le traitement des risques lis la scurit de linformation ont t prises
(voir 3.5.4), la slection et la mise en uvre des mesures de scurit appropries pour rduire les
risques sappliquent.
Il convient que ces mesures de scurit permettent de ramener les risques un seuil acceptable en
prenant en compte:
a) les exigences et les contraintes de la lgislation et des rglementations nationales et internationales;
b) les objectifs de lorganisme;
c) les exigences et les contraintes dexploitation;
d) le cot de mise en uvre et dexploitation par rapport la rduction effective des risques, et
proportionnellement aux exigences et aux contraintes de lorganisme;
e) leurs objectifs en matire de mise en uvre, de surveillance et damlioration de lefficience et
lefficacit des mesures de scurit de linformation afin de soutenir les objectifs de lorganisme.
Pour mieux rpondre aux exigences de conformit, il convient de documenter la slection et la mise
en uvre des mesures de scurit dans une dclaration dapplicabilit;
f) la ncessit dquilibrer linvestissement consenti pour la mise en uvre et lexploitation des
mesures de scurit, au regard des pertes susceptibles dtre occasionnes par des incidents lis
la scurit de linformation.
Les mesures de scurit spcifies dans lISO/IEC27002 sont reconnues comme de bonnes pratiques
applicables la plupart des organismes et facilement adaptables aux diverses envergures et complexits
des organismes. Dautres normes de la famille de normes du SMSI fournissent des prconisations sur la
slection et lapplication des mesures de scurit de lISO/IEC27002 pour le systme de management de
la scurit de linformation.
Il convient denvisager les mesures de scurit de linformation au stade de conception et de spcification
des exigences relatives aux systmes et aux projets. Tout manquement cette recommandation peut
engendrer des cots supplmentaires et conduire des solutions moins efficaces voire, dans le pire des
cas, une incapacit assurer la scurit adquate. Les mesures de scurit peuvent tre slectionnes
Tout organisme doit maintenir et amliorer son SMSI en surveillant et apprciant ses performances par
rapport ses politiques et ses objectifs, ainsi quen soumettant ses rsultats la direction des fins
de vrification. Cette procdure va permettre de contrler que le SMSI contient des mesures de scurit
permettant de traiter les risques appartenant au domaine dapplication du SMSI. En outre, elle va
permettre dapporter la preuve de la vrification et de la traabilit des actions correctives, prventives
et damlioration en se fondant sur les enregistrements de ces points de surveillance.
Le but de lamlioration continue dun SMSI est daugmenter la probabilit de raliser des objectifs
en matire de prservation de la confidentialit, de disponibilit et dintgrit de linformation.
Lamlioration continue est centre sur la recherche de possibilits damlioration, sans partir du
principe que les activits de management existantes sont suffisantes, ou aussi appropries que possible.
Voici quelques exemples de ces actions:
a) lanalyse et lvaluation de la situation existante pour identifier des domaines damlioration;
b) ltablissement des objectifs damlioration;
c) la recherche de solutions possibles pour atteindre ces objectifs;
d) lvaluation de ces solutions et la ralisation dune slection;
e) la mise en uvre de la solution choisie;
f) le mesurage, la vrification, lanalyse et lvaluation des rsultats de la mise en uvre pour
dterminer si les objectifs ont t atteints;
g) lofficialisation des modifications.
Si ncessaire, les rsultats sont tudis afin didentifier dautres opportunits damlioration. Dans
cette optique, lamlioration est une activit continue, ce qui signifie que les actions sont rptes
frquemment. Les retours dinformation des clients et des autres parties intresses, les audits et la
revue du systme de management de la scurit de linformation peuvent galement tre utiliss pour
identifier des opportunits damlioration.
g) une gestion conomique plus efficace des investissements dans le domaine de la scurit de
linformation.
a) Chacune des normes de la famille du SMSI est dcrite ci-dessous daprs son type (ou son rle)
au sein de la famille de normes du SMSI et daprs son numro de rfrence. Les paragraphes
applicables sont les suivants: Normes donnant une vue densemble et dcrivant la terminologie
(voir4.2);
b) Normes spcifiant des exigences (voir4.3);
c) Normes dcrivant des lignes directrices gnrales (voir4.4); ou
d) Normes dcrivant des lignes directrices propres un secteur (voir4.5).
4.3.1 ISO/IEC27001
4.3.2 ISO/IEC27006
4.4.1 ISO/IEC27002
4.4.2 ISO/IEC27003
4.4.3 ISO/IEC27004
4.4.4 ISO/IEC27005
4.4.5 ISO/IEC27007
Technologies de linformation Techniques de scurit Lignes directrices pour laudit des systmes de
management de la scurit de linformation
Domaine dapplication: Cette Norme internationale fournit des prconisations sur la ralisation
des audits de SMSI, ainsi que des lignes directrices sur les comptences des auditeurs de systmes
de management de la scurit de linformation, en complment des lignes directrices figurant
danslISO19011,qui sont applicables aux systmes de management en gnral.
Objectif: LISO/IEC27007 fournit des prconisations aux organismes qui doivent effectuer des audits
internes ou externes sur un SMSI ou grer un programme daudit de SMSI conformment aux exigences
spcifies dans lISO/IEC27001.
4.4.6 ISO/IEC/TR27008
Technologies de linformation Techniques de scurit Lignes directrices pour les auditeurs des
contrles de scurit de linformation
Domaine dapplication: Ce Rapport technique fournit des prconisations pour la revue de la mise en
uvre et de lexploitation des mesures de scurit, y compris le contrle de la conformit technique des
mesures de scurit en place dans les systmes dinformation, conformment aux normes de scurit
de linformation tablies dun organisme.
Objectif: Ce Rapport technique met laccent sur les revues des mesures de scurit de linformation, y
compris le contrle de leur conformit technique, par rapport une norme relative la mise en uvre
de la scurit de linformation, tablie par lorganisme. Il na pas pour objet de fournir des prconisations
spcifiques sur le contrle de la conformit en ce qui concerne le mesurage, lapprciation du risque
ou laudit dun SMSI tels que spcifis dans lISO/IEC 27004, lISO/IEC 27005 ou lISO/IEC 27007,
respectivement. Ce Rapport technique nest pas destin laudit des systmes de management.
4.4.7 ISO/IEC27013
4.4.8 ISO/IEC27014
4.4.9 ISO/IEC/TR27016
4.5.1 ISO/IEC27010
4.5.2 ISO/IEC27011
4.5.3 ISO/IEC/TR27015
Domaine dapplication: Ce Rapport technique fournit des lignes directrices qui compltent les
prconisations contenues dans la famille de normes ISO/IEC27000 et relatives la mise en place,
la mise en uvre, au maintien et lamlioration de la scurit de linformation dans les organismes
proposant des services financiers.
Objectif: Ce Rapport technique est un supplment spcialis de lISO/IEC27001 et de lISO/IEC27002.
Il est destin tre utilis par les organismes proposant des services financiers dans le cadre des
activits suivantes:
a) mise en place, mise en uvre, maintenance et amlioration dun systme de management de la
scurit de linformation fond sur lISO/IEC27001;
b) conception et mise en uvre des mesures de scurit dfinies dans lISO/IEC 27002 ou dans la
prsente Norme internationale.
4.5.4 ISO/IEC27017
Technologies de linformation Techniques de scurit Code de bonnes pratiques pour les contrles de
scurit de linformation fonds sur lISO/IEC27002 pour les services du nuage
Domaine dapplication: LISO/IEC 27017 contient des lignes directrices relatives aux mesures de
scurit de linformation applicables la prestation et lutilisation de services dinformatique en
nuage, par exemple:
des prconisations supplmentaires concernant la mise en uvre des mesures de scurit
pertinentes spcifies dans lISO/IEC27002;
des mesures de scurit supplmentaires et des prconisations de mise en uvre spcifiquement
lis aux services dinformatique en nuage.
Objectif: Cette Norme internationale fournit des prconisations concernant les mesures de scurit et
la mise en uvre destines aux prestataires de services dinformatique en nuage et leurs clients.
4.5.5 ISO/IEC27018
4.5.6 ISO/IEC/TR27019
Domaine dapplication: LISO/IEC/TR 27019 contient des lignes directrices concernant les mesures
de scurit de linformation mettre en uvre dans les systmes de contrle des processus utiliss
par les oprateurs nergtiques pour contrler et surveiller la gnration, la transmission, le stockage
et la distribution de lnergie lectrique, du gaz et de la chaleur, ainsi que dans le cadre du contrle des
processus associs. Elle concerne notamment les systmes, applications et composants suivants:
technologie informatique gnrale de contrle, de surveillance et dautomatisation des processus,
centrale et distribue, et systmes informatiques utiliss pour son exploitation, tels que les
dispositifs de programmation et de paramtrage;
contrleurs numriques et composants dautomatisation tels que les dispositifs de contrle et
de terrain ou les automates programmables, y compris les lments de capteurs et organes de
commande numriques;
tous les autres systmes informatiques utiliss pour prendre en charge le domaine du contrle des
processus, par exemple pour les tches de visualisation de donnes supplmentaires et des fins de
contrle, de surveillance, darchivage de donnes et de documentation;
technologie gnrale de communications utilise dans le domaine du contrle des processus, par
exemple les rseaux, la tlmesure, les applications de tlconduite et les technologies de commande
distance;
dispositifs numriques de comptage et de mesurage destins par exemple mesurer les valeurs
relatives la consommation, la gnration ou lmission dnergie;
systmes numriques de protection et de scurit tels que les relais de protection ou les API de
scurit;
composants distribus denvironnements de rseaux intelligents futurs;
tous les logiciels, micrologiciels et applications installs sur les systmes mentionns ci-dessus.
Objectif: Outre les objectifs et mesures de scurit prsents dans lISO/IEC27002, ce Rapport technique
contient des lignes directrices concernant les systmes utiliss par les oprateurs nergtiques et
les fournisseurs dnergie et relatives aux mesures de scurit de linformation rpondant dautres
exigences spciales.
4.5.7 ISO27799
AnnexeA
(informative)
Lapplication des diffrents documents de la famille de normes du SMSI nest pas obligatoire. Cependant,
ce caractre obligatoire peut leur tre confr par la lgislation ou par un contrat, par exemple. Afin
de pouvoir revendiquer la conformit un document, lutilisateur doit tre capable didentifier les
exigences satisfaire. Lutilisateur doit galement tre en mesure de distinguer ces exigences des autres
recommandations pour lesquelles il existe une certaine libert de choix.
Le tableau suivant explique la faon dont un document de la famille de normes du SMSI doit tre
interprt en fonction des expressions verbales utilises, qui peuvent exprimer des exigences ou des
recommandations.
Ce tableau se fonde sur les dispositions des DirectivesISO/IEC, Partie2:2011, Rgles de structure et de
rdaction des Normes internationales, AnnexeH.
INDICATION EXPLICATION
Exigence Les termesdoi(ven)t et ne doi(ven)t pas indiquent des exigences quil faut stric-
tement respecter, aucun cart ntant permis, pour tre conforme au document.
Recommandation Les termesil convient de et il convient de ne pas indiquent quentre plusieurs
possibilits, une est recommande comme tant particulirement approprie sans
que les autres soient mentionnes ni exclues, ou bien quune certaine ligne de conduite
est prfrable mais pas ncessairement exige, ou encore ( la forme ngative) quune
certaine possibilit ou ligne de conduite est dconseille mais pas interdite.
Permission Les termespeu(ven)t et peu(ven)t ne pas indiquent une ligne de conduite autori-
se dans les limites du document.
Possibilit Les termespeu(ven)t et ne peu(ven)t pas indiquent une possibilit.
AnnexeB
(informative)
NOTE 2 LISO/IEC27001 et lISO/IEC27006, en tant que normes directives (cest--dire contenant des
exigences), prvalent toujours comme propritaires respectifs dun terme.
B.2.2 ISO/IEC27002
B.2.3 ISO/IEC27003
projetSMSI 2.43
B.2.4 ISO/IEC27004
B.2.5 ISO/IEC27005
B.2.6 ISO/IEC27006
documents de certification
marque
B.2.7 ISO/IEC27007
B.2.8 ISO/IEC/TR27008
B.2.9 ISO/IEC27010
B.2.10 ISO/IEC27011
B.2.11 ISO/IEC27014
B.2.12 ISO/IEC/TR27015
services financiers
B.2.13 ISO/IEC/TR27016
B.2.14 ISO/IEC/TR27017
B.2.15 ISO/IEC/TR27018
B.2.16 ISO/IEC/TR27019
blackout maintenance
CERT- Computer Emergency Response Team API
infrastructure critique systme de contrle des processus
dbogage scurit
distribution systmes de scurit
installation dquipement nergtique rseaux intelligents
approvisionnement en nergie dclaration dapplicabilit (SOA- statement of applicability)
oprateur nergtique systme de transmission
interface homme-machine, IHM
Bibliographie
[1] ISO/IEC17021, valuation de la conformit Exigences pour les organismes procdant laudit et
la certification des systmes de management
[2] ISO9000:2015, Systmes de management de la qualit Principes essentiels et vocabulaire
[3] ISO19011:2011, Lignes directrices pour laudit des systmes de management
[4] ISO/IEC27001, Technologies de linformation Techniques de scurit Systmes de management
de la scurit de linformation Exigences
[5] ISO/IEC27002, Technologies de linformation Techniques de scurit Code de bonne pratique
pour le management de la scurit de linformation
[6] ISO/IEC27003, Technologies de linformation Techniques de scurit Lignes directrices pour
la mise en uvre du systme de management de la scurit de linformation
[7] ISO/IEC 27004, Technologies de linformation Techniques de scurit Management de la
scurit de linformation Mesurage
[8] ISO/IEC27005, Technologies de linformation Techniques de scurit Gestion des risques lis
la scurit de linformation
[9] ISO/IEC 27006, Technologies de linformation Techniques de scurit Exigences pour les
organismes procdant laudit et la certification des systmes de management de la scurit de
linformation
[10] ISO/IEC27007, Technologies de linformation Techniques de scurit Lignes directrices pour
laudit des systmes de management de la scurit de linformation
[11] ISO/IEC/TR27008, Technologies de linformation Techniques de scurit Lignes directrices
pour les auditeurs des contrles de scurit de linformation
[12] ISO/IEC 27009, Technologies de linformation Techniques de scurit Application de
lISO/IEC27001 un secteur spcifique Exigences
[13] ISO/IEC27010, Technologies de linformation Techniques de scurit Gestion de la scurit de
linformation des communications intersectorielles et interorganisationnelles
[14] ISO/IEC 27011, Technologies de linformation Techniques de scurit Lignes directrices du
management de la scurit de linformation pour les organismes de tlcommunications sur la base
de lISO/IEC27002
[15] ISO/IEC 27013, Technologies de linformation Techniques de scurit Guide sur la mise en
oeuvre intgre dISO/IEC 27001 et ISO/IEC 20000-1
[16] ISO/IEC 27014, Technologies de linformation Techniques de scurit Gouvernance de la
scurit de linformation
[17] ISO/IEC/TR27015, Technologies de linformation Techniques de scurit Lignes directrices
pour le management de la scurit de linformation pour les services financiers
[18] ISO/IEC/TR27016, Technologies de linformation Techniques de scurit Management de la
scurit de linformation conomie organisationnelle
[19] ISO/IEC27017, Technologies de linformation Techniques de scurit Code de pratique pour les
contrles de scurit de linformation fonds sur lISO/IEC 27002 pour les services du nuage
ICS01.040.35; 35.040
Prix bas sur 34 pages