ISO 27002
Le standard ISO 27002 rassemble des recommandations conçues pour aider une organisation à mettre en œuvre, maintenir, et améliorer sa gestion de la sécurité de l’information.
ISO 27002 propose des centaines de contrôles potentiels et de mécanismes de contrôle conçus pour être déployés suivi les recommandations fournies par ISO 27001. Ces contrôles visent notamment à répondre à des problèmes spécifiques identifiés lors d’une évaluation formelle du risque. Le standard vise également à fournir des recommandations pour le développement de standards de sécurité et de pratiques efficaces de gestion de la sécurité.
ISO 27002 est publié par l’Organisation internationale de standardisation (ISO) et par la Commission électrotechnique internationale (IEC). ISO 27002 était initialement baptisé ISO/IEC 1779, et publié en 200. Il a été mis à jour en 2005, à l’occasion de la publication d’ISO 27001. Les deux standards sont conçus pour être utilisés conjointement, l’un complétant l’autre. Les standards sont régulièrement actualisés pour intégrer des références aux autres standards de sécurité publiés par l’ISO/IEC, tels que ISO 27000 et 27005, ainsi que pour intégrer les bonnes pratiques de sécurité ayant émergé depuis la précédente édition. Celles-ci recouvrent notamment la sélection, l’implémentation et la gestion des contrôles basés l’environnement de risque spécifique à une organisation.
L’édition 2013 d’ISO 27002 contient 114 contrôles, dont ceux relatifs à : la structure, les politiques de sécurité, l’organisation de la sécurité de l’information, la sécurité des ressources humaines, la gestion des actifs IT, le contrôle d’accès, le chiffrement, la sécurité physique et environnementale, la sécurité opérationnelle, la sécurité des communications, l’acquisition, la maintenance et le développement de systèmes d’information, les relations fournisseurs, la gestion des incidents de sécurité, le volet sécurité de la continuité de l’activité, la conformité réglementaire.