ISO/CEI 27003

< ISO
ISO/CEI 27003
Status Publiée
Version 2 (2017)
Organisation Organisation internationale de normalisation
Comité ISO/IEC JTC 1/SC 27
Série Famille ISO/CEI 27000
Domaine Management de la sécurité de l'information
Site internet https://www.iso.org/fr/standard/63417.html

L'ISO/CEI 27003 est une norme internationale concernant la sécurité de l'information. Elle a été publiée conjointement en 2010, puis révisée en 2017, par l'organisation internationale de normalisation (ISO) et la Commission Électrotechnique Internationale (CEI). Son titre en français est Technologies de l'information — Techniques de sécurité —Systèmes de management de la sécurité de l'information — Lignes directrices[1]. Elle fait partie de la série ISO/CEI 27000 et ne fait pas l'objet d'une certification.

Description

L'ISO/CEI 27003 fournit des recommandations pour la mise en œuvre d'un Système de Management de la Sécurité de l'Information (SMSI). Tandis que l'ISO/CEI 27001 spécifie les exigences pour établir, mettre en œuvre, entretenir et améliorer en continu un SMSI, l'ISO/CEI 27003 explique comment le mettre en place. Elle fournit une méthode pour aider les entreprises à passer de la théorie à la pratique afin de faciliter la mise en place d'un SMSI adapté à leurs besoins[2].

Structure de la norme

L'ISO/CEI 27003 n'est pas disponible en français. Les titres ci-dessous sont donc tirés de la version anglaise de la norme.

En plus des sections introductives et informatives, il y a 7 chapitres principaux[3] :

  1. Context of the organization
    1. Understanding the organization and its context
    2. Understanding the needs and expectations of interested parties
    3. Determining the scope of the information security management system
    4. Information security management system
  2. Leadership
    1. Leadership and commitment
    2. Policy
    3. Organizational roles, responsibilities and authorities
  3. Planning
    1. Actions to address risks and opportunities
    2. Information security objectives and planning to achieve them
  4. Support
    1. Resources
    2. Competence
    3. Awareness
    4. Communication
    5. Documented information
  5. Operation
    1. Operational planning and control
    2. Information security risk assessment
    3. Information security risk treatment
  6. Performance evaluation
    1. Monitoring, measurement, analysis and evaluation
    2. Internal audit
    3. Management review
  7. Improvement
    1. Nonconformity and corrective action
    2. Continual improvement

Il y a une annexe :

  • Annexe A : Policy framework

La structure de l'ISO/CEI 27003:2017 est alignée avec celle de l'ISO/CEI 27001:2013 pour faciliter la compréhension[4].

Avantages

L'utilisation de l'ISO/CEI 27003 durant la conception d'un SMSI permet à une entreprise de bénéficier de nombreux avantages[2]:

  • Amélioration de la conformité avec les exigences réglementaires et les standards internationaux
  • Réduction des risques de sécurité grâce à l'utilisation d'une méthode systématique et documentée
  • Renforcement de la confiance des parties prenantes internes et externes grâce à un engagement clair en faveur de la sécurité de l'information
  • Gain de temps et d’efficacité dans la gestion des risques de sécurité.

Notes et références

  1. « ISO/IEC 27003:2017 », sur ISO (consulté le ).
  2. 1 2 Anthony Bouyer, « ISO 27003 : Guide complet pour la mise en œuvre d’un SMSI efficace », sur Make IT Safe, solution d'évaluation et de pilotage de la conformité, (consulté le ).
  3. « Sommaire et parties introductives ISO/CEI 27003 ».
  4. (en-US) Anwita, « ISO 27003: The Blueprint for Effective ISMS Implementation », sur Sprinto, (consulté le ).

Voir aussi

  • icône décorative Portail de la sécurité de l’information
  • icône décorative Portail de la sécurité informatique
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons – Attribution – Partage à l’identique. Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.