Wiki Informatique - ISO/CEI 27002

ISO/CEI 27002

On this page… (hide)

  1.   1.  Description
  2.   2.  Structure

L’ISO/CEI 27002 est une norme internationale concernant la sécurité de l’information. Elle a été publiée conjointement en 2005 par l’Organisation internationale de normalisation (ISO) et la Commission Electrotechnique Internationale (CEI), révisée en 2013 puis en 2022, dont le titre en français est Sécurité de l’information, cybersécurité et protection de la vie privée — Mesures de sécurité de l’information. Elle fait partie de la suite de normes ISO/CEI 27000.

1.  Description

L’ISO/CEI 27002 est un ensemble de 93 mesures dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous les responsables de la mise en place ou du maintien d’un Système de Management de la Sécurité de l’Information (SMSI). La sécurité de l’information est définie au sein de la norme comme la « préservation de la confidentialité, de l’intégrité et de la disponibilité de l’information ».

Elle n’a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait s’engager à implémenter certaines des mesures de sécurité par exemple. Elle ne fait pas non plus l’objet d’une certification, contrairement à ISO/CEI 27001 avec laquelle il ne faut pas confondre l’ISO/CEI 27002.

L’ISO/CEI 27002 ne fixe pas un niveau de sécurité à atteindre et n’impose pas que toutes les mesures de sécurité soit implémentées obligatoirement. Une entreprise peut tout à fait choisir librement d’implémenter seulement une partie des mesures en fonction des résultats de son analyse de risques par exemple.

2.  Structure

La norme commence avec 4 chapitres introductifs :

  1. Domaine d’application
  2. Référence normatives
  3. Termes, définitions et abréviations
  4. Structure du présent document

Puis il y a 4 chapitres principaux :

  1. Mesures de sécurité organisationnelles
  2. Mesures de sécurité applicables aux personnes
  3. Mesures de sécurité physique
  4. Mesures de sécurité technologiques

Et enfin il y a 2 annexes :

  1. Utilisation des attributs
  2. Correspondance de l’ISO/CEI 27002:2022 avec l’ISO/CEI 27002:2013