ISO / CEI 27001: 2013 – Technologies de linformation – Techniques de sécurité – Systèmes de management de la sécurité de linformation – Exigences (deuxième édition)
< Norme précédente ^ Monter dun niveau ^ Norme suivante >
Introduction
ISO / CEI 27001 spécifie formellement un système de gestion de la sécurité de linformation, un dispositif de gouvernance comprenant une suite structurée dactivités permettant de gérer les risques liés à linformation (appelés « risques de sécurité de linformation dans la norme) .
Le SMSI est un cadre global à travers lequel la direction identifie, évalue et traite (traite) les risques liés à linformation de lorganisation. Le SMSI garantit que les dispositions de sécurité sont affinées pour suivre le rythme des changements des menaces de sécurité, des vulnérabilités et des impacts commerciaux – un aspect important dans un domaine aussi dynamique et un avantage clé de lapproche flexible axée sur les risques dISO27k par rapport à, dire, PCI-DSS.
La norme couvre tous les types dorganisations (par exemple les entreprises commerciales, les agences gouvernementales, les organisations à but non lucratif) de toutes tailles (des micro-entreprises aux grandes multinationales) dans tous les secteurs (par exemple, la vente au détail, la banque, la défense, la santé , éducation et gouvernement). Il sagit clairement dun mémoire très large.
LISO / CEI 27001 nimpose pas formellement de contrôles de sécurité de linformation spécifiques, car les contrôles requis varient considérablement dans le large éventail dorganisations adoptant la norme. Les contrôles de sécurité de linformation de lISO / CEI 27002 sont résumés dans lannexe A de lISO / CEI 27001, un peu comme un menu. Les organisations adoptant lISO / CEI 27001 sont libres de choisir les contrôles de sécurité de linformation spécifiques applicables à leurs risques dinformation particuliers, en sinspirant de ceux répertoriés dans le menu et en les complétant potentiellement par dautres options à la carte (parfois appelées ensembles de contrôle étendus). Comme pour lISO / CEI 27002, la clé pour sélectionner les contrôles applicables est dentreprendre une évaluation complète des risques dinformation de lorganisation, qui est une partie vitale du SMSI.
En outre, la direction peut choisir déviter, de partager ou accepter les risques liés à linformation plutôt que de les atténuer par des contrôles – une décision de traitement des risques dans le cadre du processus de gestion des risques.
Historique
ISO / CEI 27001 est dérivé de BS 7799 Part 2, publié pour la première fois en tant que tel par le British Standards Institute en 1999.
BS 7799 Part 2 a été révisé en 2002, incorporant explicitement le style Deming Cycle Plan-Do-Check-Act.
BS 7799 partie 2 a été adopté comme première édition dISO / CEI 27001 en 2005 avec divers changements pour refléter ses nouveaux gardiens .
La deuxième édition de lISO / CEI 27001 a été publiée en 2013, après avoir été largement révisée pour saligner sur les autres normes de systèmes de management ISO. PDCA nest plus explicite, mais le concept de raffinement continu et damélioration systématique demeure, à coup sûr.
Structure de la norme
ISO / CEI 27001: 2013 comprend les sections suivantes:
0 Introduction – la norme décrit un processus de gestion systématique risques liés à linformation.
1 Domaine dapplication – il spécifie les exigences génériques du SMSI adaptées aux organisations de tout type, taille ou nature.
2 Références normatives – seule la norme ISO / CEI 27000 est considérée comme absolument essentielle pour utilisateurs de 27001: les autres normes ISO27k sont facultatives.
3 Termes et définitions – voir ISO / CEI 27000.
4 Contexte de lorganisation – comprendre le contexte organisationnel, les besoins et les attentes des «parties intéressées» et la définition de la portée du SMSI. La section 4.4 indique très clairement que «lorganisation doit établir, mettre en œuvre, maintenir et améliorer continuellement» le SMSI.
5 Leadership – la direction doit faire preuve de leadership et dengagement envers le SMSI, mandater la politique et assigner la sécurité de linformation rôles, responsabilités et autorités.
6 Planification – décrit le processus didentification, danalyse et de planification du traitement des risques liés à linformation, et clarifie les objectifs de la sécurité de linformation.
7 Assistance – adéquate, des ressources compétentes doivent être affectées, une sensibilisation accrue, une documentation préparée et contrôlée.
8 Fonctionnement – un peu plus de détails sur lévaluation et le traitement des risques liés à linformation, la gestion des changements et la documentation des choses (en partie pour quils puissent être audités par les auditeurs de certification).
9 Évaluation des performances – surveiller, mesurer, analyser et évaluer / auditer / examiner les contrôles de sécurité de linformation, les processus et le système de gestion, en améliorant systématiquement les choses si nécessaire.
10 Impro ement – traiter les conclusions des audits et des examens (par ex. non-conformités et actions correctives), apporter des améliorations constantes au SMSI.
Annexe A Objectifs et contrôles de contrôle de référence – un peu plus en fait quune liste de titres des sections de contrôle dans lISO / CEI 27002. Lannexe est «normative», ce qui implique que les organismes certifiés sont censés lutiliser , mais lorganisme principal déclare quil est libre de sen écarter ou de le compléter afin de faire face à ses risques particuliers en matière dinformation. Lannexe A seule est difficile à interpréter. Veuillez vous référer à lISO / CEI 27002 pour plus de détails utiles sur les commandes, y compris les conseils de mise en œuvre.
Bibliographie – oriente les lecteurs vers cinq normes associées, ainsi que la partie 1 des directives ISO / CEI, pour plus dinformations. De plus, lISO / CEI 27000 est identifiée dans le corps de la norme comme une norme normative (cest-à-dire essentielle) et il existe plusieurs références à lISO 31000 sur la gestion des risques.
Exigences obligatoires pour la certification
ISO / CEI 27001 est une spécification formalisée pour un SMSI avec deux objectifs distincts:
- Elle présente la conception dun SMSI, décrivant les parties importantes à un niveau assez élevé niveau;
- Il peut (éventuellement) être utilisé comme base pour lévaluation formelle de la conformité par des auditeurs de certification accrédités afin de certifier une organisation conforme.
La documentation obligatoire suivante est explicitement requis pour la certification:
- Portée du SMSI (conformément à la clause 4.3)
- Politique de sécurité de linformation (clause 5.2)
- Processus dévaluation des risques liés à linformation ( clause 6.1.2)
- Processus de traitement des risques liés aux informations (clause 6.1.3)
- Objectifs de sécurité de linformation (clause 6.2)
- Preuve de la compétence du personnes travaillant dans le domaine de la sécurité de linformation (clause 7.2)
- Autres documents liés au SMSI jugés nécessaires par lorganisation (clause 7.5.1b)
- Documents de planification et de contrôle opérationnels (clause 8.1)
- Les résultats des évaluations des risques (clause 8.2)
- Les décisions relatives au traitement des risques (clause 8.3)
- Les preuves du suivi et de la mesure de la sécurité de linformation (clause 9.1 )
- Le programme daudit interne du SMSI et les résultats des audits réalisés (clause 9.2)
- Preuve des revues de la haute direction du SMSI (clause 9.3)
- Preuve des non-conformités identifiées et des actions correctives qui en découlent (clause 10.1)
- Divers autres: Lannexe A mentionne mais ne spécifie pas complètement la documentation supplémentaire, y compris les règles dutilisation acceptable des actifs, la politique de contrôle daccès, les procédures dexploitation, la confidentialité ou non -accords de divulgation, principes dingénierie système sécurisé, politique de sécurité de linformation pour les relations avec les fournisseurs, informer les procédures de réponse aux incidents de sécurité, les lois, réglementations et obligations contractuelles pertinentes ainsi que les procédures de conformité associées et les procédures de continuité de la sécurité de linformation. Cependant, bien que lAnnexe A soit normative, les organisations ne sont pas formellement tenues dadopter et de se conformer à lAnnexe A: elles peuvent utiliser dautres structures et approches pour traiter leurs risques liés à linformation.
Les auditeurs de certification le seront presque certainement vérifier que ces quinze types de documentation sont (a) présents, et (b) adaptés à lobjectif.
La norme ne spécifie pas précisément la forme que doit prendre la documentation, mais la section 7.5.2 traite daspects tels que les titres, les auteurs, les formats, les médias, la révision et lapprobation, tandis que 7.5.3 concerne le contrôle des documents , impliquant une approche assez formelle de style ISO 9000. La documentation électronique (comme les pages intranet) est tout aussi bonne que les documents papier, en fait meilleure dans le sens où elle est plus facile à contrôler et à mettre à jour.
Portée du SMSI et déclaration d’applicabilité (SoA)
Considérant que la norme est destinée à conduire la mise en œuvre dun SMSI à léchelle de lentreprise, en veillant à ce que toutes les parties de lorganisation en tirent parti en traitant leurs risques liés à linformation dune manière appropriée et systématiquement gérée , les organisations peuvent définir leur SMSI de manière aussi large ou aussi étroite quelles le souhaitent – en effet, la délimitation est une décision cruciale pour la haute direction (clause 4.3). Une portée documentée du SMSI est lune des exigences obligatoires pour la certification.
Bien que la déclaration dapplicabilité ne soit pas explicitement définie, cest une exigence obligatoire de la section 6.1.3. SoA fait référence aux résultats des évaluations des risques liés à linformation et, en particulier, aux décisions relatives au traitement de ces risques. Le SoA peut, par exemple, prendre la forme dune matrice identifiant divers types dinformations sur les risques sur un axe et les options de traitement des risques sur lautre, montrant comment les risques doivent être traités dans le corps, et peut-être qui en est responsable. Il fait généralement référence aux contrôles pertinents de lISO / CEI 27002, mais lorganisation peut utiliser un cadre complètement différent tel que NIST SP800-53, la norme ISF, BMIS et / ou COBIT ou une approche personnalisée.Les objectifs et contrôles de contrôle de la sécurité de linformation de la norme ISO / CEI 27002 sont fournis sous forme de liste de contrôle à lAnnexe A afin déviter de «négliger les contrôles nécessaires»: ils ne sont pas obligatoires.
Le champ dapplication du SMSI et le SoA sont essentiels si un tiers a lintention de se fier au certificat de conformité ISO / IEC 27001 dune organisation. Si le champ dapplication ISO / CEI 27001 dune organisation inclut uniquement «Acme Ltd. Department X», par exemple, le certificat associé ne dit absolument rien sur létat de la sécurité des informations dans «Acme Ltd. Department Y» ou «Acme Ltd.» De même, si, pour une raison quelconque, la direction décide daccepter les risques de logiciels malveillants sans mettre en œuvre des contrôles antivirus conventionnels, les auditeurs de certification peuvent contester une affirmation aussi audacieuse mais, à condition que les analyses et décisions associées soient valables, cela ne justifierait pas à lui seul refuser de certifier lorganisation car les contrôles antivirus ne sont en fait pas obligatoires.
Métriques
En vigueur (sans utiliser réellement le terme « métriques ») , lédition 2013 de la norme nécessite lutilisation de mesures sur la performance et lefficacité du SMSI de lorganisation et des contrôles de sécurité de linformation. La section 9, «Évaluation des performances», exige que lorganisation détermine et implémente des mesures de sécurité appropriées … mais ne donne que des exigences de haut niveau.
Offres ISO / CEI 27004 des conseils sur quoi et comment mesurer afin de satisfaire lexigence et dévaluer les performances du SMSI – une approche éminemment sensée pas différente de celle décrite dans PRAGMATIC Security Metrics.
Certification
La conformité certifiée ISO / CEI 27001 par un organisme de certification accrédité et respecté est entièrement facultative mais est de plus en plus demandée aux fournisseurs et partenaires commerciaux par des organisations qui sont (à juste titre!) préoccupées par la sécurité des leurs informations et sur les risques liés aux informations tout au long de la chaîne dapprovisionnement / du réseau dapprovisionnement.
La certification apporte un certain nombre davantages au-delà de la simple conformité, de la même manière quune Le certificat ISO 9000 en dit plus n simplement «Nous sommes une organisation de qualité». Une évaluation indépendante apporte nécessairement une certaine rigueur et une certaine formalité au processus de mise en œuvre (ce qui implique des améliorations de la sécurité de linformation et tous les avantages que procure la réduction des risques), et nécessite invariablement lapprobation de la direction générale (ce qui est un avantage en termes de sensibilisation à la sécurité, au moins!).
Le certificat a un potentiel marketing et une valeur de marque, ce qui montre que lorganisation prend la gestion de la sécurité de linformation au sérieux. Cependant, comme indiqué ci-dessus, la valeur dassurance du certificat dépend fortement de la portée du SMSI et du SoA – en dautres termes, ne faites pas trop confiance au certificat de conformité ISO / IEC 27001 dune organisation si vous êtes fortement dépendant de ses informations. Sécurité. De la même manière que la conformité certifiée PCI-DSS ne signifie pas «Nous garantissons la sécurité des données de carte de crédit et autres informations personnelles», la conformité certifiée ISO / IEC 27001 est un signe positif mais pas une garantie absolue sur la sécurité des informations dune organisation . Il dit « Nous avons un SMSI conforme en place », et non « Nous sommes en sécurité », une distinction subtile mais importante.
Statut de la norme
La norme ISO / CEI 27001 était la première publiée en 2005.
La norme a été entièrement réécrite et publiée en 2013. Il sagissait bien plus que de peaufiner le contenu de lédition 2005 puisque lISO a insisté sur des changements substantiels pour aligner cette norme sur dautres normes de systèmes de management.
ISO / CEI 27002 a été largement révisée et republiée en même temps, cest pourquoi lAnnexe A de lISO / CEI 27001 a également été complètement mise à jour: voir la page ISO / CEI 27002 pour en savoir plus.
Un corrigendum technique de 2014 a clarifié que linformation est, après tout, un atout. Golly.
Un deuxième corrig technique endum en 2015 a précisé que les organisations sont formellement tenues didentifier létat de mise en œuvre de leurs contrôles de sécurité de linformation dans le SoA.
Un troisième rectificatif technique proposé a fait un bond en avant: le SC 27 a résisté à lenvie de continuer à peaufiner le norme inutilement avec des modifications qui auraient dû être proposées lors de sa rédaction et qui n’ont peut-être pas été acceptées de toute façon. Bien quelle nait pas été abordée, la préoccupation est valable: la norme confond en effet le risque informationnel avec les risques liés au système de management. Il aurait dû sattaquer au dernier mais au contraire sattaquer au premier.
Une période détude sest penchée sur la valeur et le but de lAnnexe A par rapport au SoA, concluant que lAnnexe A est un lien utile vers lISO / CEI 27002, mais le libellé du corps principal devrait indiquer clairement que lAnnexe A est entièrement facultative: les organisations peuvent adopter tout ensemble de contrôles (ou même dautres traitements des risques) quelles jugent approprié pour traiter leurs risques informationnels, à condition que le processus de sélection, de mise en œuvre, de gestion, de surveillance et de maintien des traitements des risques réponde aux principales exigences de lorganisme – en en dautres termes, lensemble du processus relève du SMSI.
La prochaine version de lISO / CEI 27001 incorporera nécessairement des changements importants reflétant la prochaine mise à jour de lISO / CEI 27002 (ce qui signifie réécrire lAnnexe A, encore une fois) plus certaines modifications du libellé du corps principal à la suite des révisions en cours de lannexe SL …
Commentaires personnels
Annexe SL (anciennement connue sous le nom de «Projet de guide 83», parfois «Annexe L» ) lannexe 2 spécifie le texte standard et la structure commune à toutes les normes de systèmes de management ISO et ISO / CEI couvrant lassurance qualité, la protection de lenvironnement, etc. Lidée est que les managers qui connaissent lun quelconque des systèmes de management comprennent les principes de base sous-tendant tous les autres. Des concepts tels que la certification, la politique, la non-conformité, le contrôle des documents, les audits internes et les revues de direction sont communs à toutes les normes des systèmes de management, et en fait les processus peuvent, dans une large mesure, être normalisés au sein de lorganisation.
Lors de la prochaine mise à jour cette année, lannexe SL appendice 2 sera probablement (si elle est approuvée):
- Définir le risque comme «effet dincertitude» (en supprimant «des objectifs» de la définition utilisée dans la version actuelle de lISO / CEI 27000) avec 4 notes (en supprimant les 2 dernières des 6 notes de la définition actuelle). Reste à savoir si cette simplification aide, nuit ou na aucun effet sur ISO27k.
- Remplacez «résultats» par «résultats» – une modification effectuée principalement pour faciliter la traduction.
- Inclure «Planification des modifications», cest-à-dire que toute modification du système de gestion doit être effectuée «en de manière planifiée.
- Remplacer « externalisé » par « fourni en externe » pour englober lexternalisation, la sous-traitance et les achats conventionnels.
- Spécifier séparément les exigences générales relatives aux audits internes (9.2.1) et pour le programme daudit interne (9.2.2).
- Spécifier séparément les exigences générales pour les revues de direction (9.3.1) et pour leurs intrants (9.3.2) et extrants (9.3.3).
- Insister à nouveau sur la nécessité dune amélioration proactive du système de management en plus de réponses réactives aux lacunes.
- Mandater divers autres changements de libellé à toutes les normes de systèmes de management ISO, y compris (vraisemblablement) la prochaine publication de lISO / CEI 27001.
La confusion du SC 27 sur la signification voulue du terme «actif informationnel» persiste: la décision dabandonner la définition nition dun «actif informationnel» de lISO / CEI 27000 plutôt que dun véritable «bottom-out», ce problème peut avoir été une erreur tactique. Le retour au terme «actif», défini de manière très large comme quelque chose de valeur, conduit à des problèmes tout au long de la norme ISO27k si le terme est remplacé par sa définition littérale et explicite. Une brique est un actif, tandis quun smartphone en brique est un passif. «Valeur» est un concept nébuleux. Il est juste de demander « De valeur pour qui? » De plus, étant donné que lorganisation agit en tant que dépositaire de certaines informations appartenant à dautres, y compris les informations personnelles et exclusives qui nécessitent une protection adéquate. Est-ce que cela devrait être couvert par le SMSI, ou non? Il sagit dune situation désordonnée, peu claire et finalement insatisfaisante pour un norme internationale.