Sélectionner une page

Comparaison – ISO 27001 vs. ISO 27002

 

Résumé

 

  • Vous pouvez uniquement obtenir la certification ISO 27001
  • L’ISO 27002 soutient l’ISO 27001 en tant qu’outil de référence/guidage.
  • L’ISO 27002 fournit des détails granulaires sur la description et la mise en œuvre des contrôles mentionnés dans l’ISO 27001.

Si votre monde implique la sécurité de l’information dans un quelconque contexte, vous avez très probablement rencontré la norme ISO 27001:2013. Il s’agit de la norme internationale décrivant les meilleures pratiques pour un ISMS (système de gestion de la sécurité de l’information).

Vous ne connaissez peut-être pas aussi bien une norme supplémentaire de la famille ISO 27000, appelée ISO 27002:2022. Cette norme actualisée fournit des conseils sur la mise en œuvre des contrôles de sécurité énumérés à l’annexe A de la norme ISO 27001.

Il est important de noter que si l’ISO 27001 reste la norme la plus populaire, et bien sûr celle que les organisations certifient, aucune des deux ne doit être considérée indépendamment de l’autre.

Qu’est-ce que l’ISO 27001 ?

Le cadre central de la série ISO 27000 est l’ISO 27001. Il s’agit d’une série de documents détaillant les différentes parties de la gestion de la sécurité de l’information. Cette norme est la ressource pour la mise en œuvre requise du ISMS. Essentiellement, cette documentation est un aperçu de tout ce que vous devez faire pour respecter les normes de conformité.

La norme ISO 27001 est particulièrement utile au début d’un projet. Il constitue également une excellente ressource si une organisation recherche des conseils généraux sans avoir encore défini une mise en œuvre à grande échelle.

Les conditions à remplir sont les suivantes :

  • Constitution d’une équipe de projet et début du projet
  • Faire réaliser une analyse GAP
  • Définition de la portée du ISMS
  • Lancer un processus d’élaboration de politiques de haut niveau
  • Réalisation d’une évaluation des risques
  • Sélection et application des contrôles
  • Initier la documentation des risques
  • Compléter la formation de sensibilisation du personnel
  • Compléter l’évaluation et l’examen d’un audit interne et également
  • Optez pour un audit de certification

Un regard sur la norme ISO 27002

Comme indiqué ci-dessus, la norme ISO 27002 est une norme complémentaire à la norme ISO27001. Il se concentre sur les contrôles de la sécurité de l’information et sur la manière dont les organisations peuvent choisir de les mettre en œuvre.

Ces contrôles se trouvent dans l’annexe A de la norme ISO 27001. Il s’agit de la référence à laquelle la plupart des experts en sécurité de l’information se réfèrent lorsque le sujet des contrôles de sécurité est abordé. Il est important de noter que si la description de chaque contrôle dans l’annexe A ne comporte que quelques phrases, la norme ISO 27002 fait référence à chaque contrôle avec une moyenne d’une page par contrôle.

Cela s’explique par le fait que la norme ISO 27002 doit expliquer comment fonctionne chaque contrôle, quel est l’objectif de ce contrôle et comment ce contrôle particulier peut être mis en œuvre.

Ces contrôles sont regroupés dans la norme ISO 27002 sous quatre domaines :

 

  • Contrôles organisationnels (clause 5)
  • Contrôles des personnes (clause 6)
  • Contrôles physiques (clause 7)
  • Contrôles technologiques (clause 8)

En outre, il y a 2 annexes référencées :

 

  • Annexe A – Utilisation des attributs
  • Annexe B – Correspondance avec ISO/IEC 27002:2013

L’impact ultime de la norme ISO 27002 réside dans sa contribution à la stabilité du ISMS d’une organisation. Une différence essentielle est que la norme ISO 27002 n’est pas destinée à faire la distinction entre les contrôles applicables utilisés ou non au sein d’une organisation. La norme ISO 27002 doit être utilisée comme une référence pour la sélection des contrôles de sécurité plutôt que comme un processus de certification.

Comparaison entre ISO 27001 et ISO 27002

Il existe trois différences notables entre les normes ISO 27001 et ISO 27002 :

Détail

La norme ISO 27001 ne fournit qu’un aperçu de chaque aspect du ISMS. Des conseils spécifiques peuvent être trouvés dans des normes supplémentaires. La norme ISO 27002 est l’une des normes supplémentaires. Vous trouverez un exemple ci-dessous.

De l’ISO 27001

A.6.2.1 Politique relative aux dispositifs mobiles dans la norme ISO 27001:2013

Contrôle

Une politique et des mesures de sécurité complémentaires doivent être adoptées pour gérer les risques liés à l’utilisation de dispositifs mobiles.

 

De la norme ISO 27002

Politique A.6.2.1 relative aux dispositifs mobiles dans la norme ISO 27001:2013

Contrôle

Une politique et des mesures de sécurité complémentaires doivent être adoptées pour gérer les risques liés à l’utilisation de dispositifs mobiles.

Conseils de mise en œuvre

Lors de l’utilisation de dispositifs mobiles, il convient de veiller tout particulièrement à ce que les informations professionnelles ne soient pas compromises. La politique relative aux appareils mobiles doit tenir compte des risques liés au travail avec des appareils mobiles dans des environnements non protégés.

La politique relative aux appareils mobiles doit tenir compte des éléments suivants

  1. a) l’enregistrement des appareils mobiles ;
  2. b) les exigences en matière de protection physique ;
  3. c) restriction pour l’installation du logiciel ;
  4. d) les exigences relatives aux versions des logiciels des dispositifs mobiles et à l’application des correctifs ;
  5. e) la restriction de la connexion aux services d’information ;
  6. f) les contrôles d’accès ;
  7. g) les techniques cryptographiques ;
  8. h) la protection contre les logiciels malveillants ;
  9. i) la désactivation, l’effacement ou le verrouillage à distance ;
  10. j) les sauvegardes ;
  11. k) l’utilisation de services web et d’applications web.

Il convient de faire preuve de prudence lors de l’utilisation d’appareils mobiles dans des lieux publics, des salles de réunion et d’autres zones non protégées. Une protection doit être mise en place pour éviter l’accès non autorisé ou la divulgation des informations stockées et traitées par ces dispositifs, par exemple en utilisant des techniques cryptographiques et en imposant l’utilisation d’informations d’authentification secrètes.

Les appareils mobiles doivent également être protégés physiquement contre le vol, notamment lorsqu’ils sont laissés, par exemple, dans les voitures et autres moyens de transport, les chambres d’hôtel, les centres de conférence et les lieux de réunion. Une procédure spécifique tenant compte des exigences légales, d’assurance et autres exigences de sécurité de l’organisation doit être établie pour les cas de vol ou de perte de dispositifs mobiles. Les appareils contenant des informations commerciales importantes, sensibles ou critiques ne doivent pas être laissés sans surveillance et, dans la mesure du possible, doivent être physiquement verrouillés, ou des verrous spéciaux doivent être utilisés pour sécuriser les appareils.

Une formation doit être organisée pour le personnel utilisant des appareils mobiles afin de le sensibiliser aux risques supplémentaires résultant de cette façon de travailler et aux contrôles à mettre en place.

Lorsque la politique relative aux appareils mobiles autorise l’utilisation d’appareils mobiles privés, la politique et les mesures de sécurité connexes doivent également prendre en compte :

    1. a) la séparation de l’usage privé et de l’usage professionnel des appareils, y compris l’utilisation d’un logiciel permettant cette séparation et la protection des données professionnelles sur un appareil privé ;
    2. b) ne donner accès aux informations professionnelles qu’après la signature par les utilisateurs d’un accord d’utilisateur final reconnaissant leurs obligations (protection physique, mise à jour des logiciels, etc.), renonçant à la propriété des données professionnelles, autorisant l’effacement à distance des données par l’organisation en cas de vol ou de perte de l’appareil ou lorsqu’ils ne sont plus autorisés à utiliser le service. Cette politique doit tenir compte de la législation sur la protection de la vie privée.

Certification

Vous ne pouvez certifier que la norme ISO 27001 et non la norme ISO 27002. En effet, l’ISO 27001 est la norme de gestion qui fournit une liste complète des exigences de conformité. La norme ISO 27002, en tant que norme supplémentaire, ne traite qu’un aspect spécifique d’un ISMS.

Applicabilité

Lors de la mise en œuvre d’un ISMS, il est important de comprendre que tous les contrôles de sécurité ne s’appliqueront pas à votre organisation.

Cela est clairement mentionné dans la norme ISO 27001, qui précise que les organisations doivent procéder à une évaluation des risques afin d’identifier et de hiérarchiser les menaces pour la sécurité des informations.

La norme ISO 27002 ne mentionne pas cette partie. Par conséquent, si vous deviez utiliser uniquement cette norme, il serait extrêmement difficile de déterminer les contrôles qu’une organisation doit adopter.

Quand chaque norme peut-elle être utilisée ?

Bien que les normes ISO 27001 et ISO 27002 fassent partie de la même série ISO, elles ont des fonctions différentes qui sont très utiles bien que dans des circonstances différentes.

 

La norme ISO 27001 est idéale pour une organisation qui souhaite commencer à planifier un cadre ISMS. Son objectif principal est d’assurer la sécurité de l’infrastructure de sécurité de l’information. Son objectif secondaire est d’obtenir une certification.

 

Les organisations devraient utiliser la norme ISO 27001 lorsqu’elles :

  • L’intention de certifier aux normes internationales
  • Ne disposent pas d’un ISMS en place
  • cherchent à évaluer et à atténuer les risques pour la sécurité dans l’organisation
  • Doit se conformer aux exigences légales, commerciales ou réglementaires.

Une fois qu’une organisation a identifié les contrôles qui seront mis en œuvre, ISO 27002 peut être référencée comme guide sur le fonctionnement de chaque contrôle.

Comment Interfacing peut aider à alléger le fardeau de la documentation ISO/IEC 27001

Avec la complexité croissante de la gestion des exigences de la série ISO 27000, l’organisation des informations dans un lieu central devient de plus en plus importante. Lorsqu’un auditeur se rendra sur place, il évaluera la surveillance exercée par la direction sur ses fournisseurs de services tiers ainsi que les propres contrôles de l’entreprise. La majorité de cette surveillance tourne principalement autour de la documentation et de la capacité de l’examiner. Pour le prouver à un auditeur, il faut lui fournir un système de gestion des documents qui peut s’appuyer sur la précision et la rapidité d’accès au qui, au quand et au comment des objectifs opérationnels de l’organisation.

 

La solution de plateforme numérique Enterprise Process Center® d’Interfacing maintient une bibliothèque complète de :

  • Processus
  • Procédures
  • Rôles et responsabilités
  • Risques
  • Toutes les exigences
  • Politiques internes
  • Indicateurs alignés (KPI)
  • Indicateurs contrôlés (suivi)

 

Tout cela au sein d’un système de gestion intégré (IMS) centralisé, permettant à votre organisation d’accélérer la certification et de simplifier la création, la communication (nouveautés et modifications) et la mise à jour des contrôles de sécurité de l’information, des processus et de la documentation associée/relative.

De plus, l’IMS d’Interfacing offre également un système de gestion de la qualité pour automatiser la formation de vos différents contrôles et audits (action item management/CAPA) ainsi que la gestion de toute votre documentation, vos fichiers, vos processus, vos procédures, vos rôles, vos risques et vos contrôles.

Nous proposons une bibliothèque complète de contenu pour lancer votre programme ou l’utiliser comme bibliothèque de référence pour les contrôles opérationnels utilisés pour valider la maturité de votre documentation ISO 27001 actuelle.

conformité et risque

Pourquoi Interfacing?

L’Enterprise Process Center® (EPC) d’Interfacing vous fournit un outil pour contrôler vos processus de conformité en vous aidant à gérer l’audit, l’évaluation et l’exécution de la gestion de vos processus commerciaux sous-jacents. La conformité sera ainsi plus facile et plus transparente dans toute votre organisation.

Enterprise Process Center®donnera à votre entreprise la possibilité de surveiller et de gérer automatiquement et en permanence vos initiatives de conformité. La mise en œuvre de contrôles associés aux processus et aux tâches garantit que les exigences de conformité sont respectées, tandis que le suivi et la documentation automatiques de tous les changements de processus donnent à la direction une surveillance complète.

Si vous souhaitez en savoir plus ou discuter de la manière dont Interfacing peut aider votre organisation, assurez-vous de cliquer ci-dessous.

Nous contacter pour plus d’informations.

développement rapide d'application low-code

Audit et conformité

Gérez efficacement la complexité de votre entreprise et la transformation continue grâce à des solutions de gestion de la qualité, des performances et de la conformité basées sur les processus.

conformité et risque

Services de gestion de la conformité

La conformité est un élément essentiel du processus de contrôle interne de toute organisation, aidant à contrôler le contenu et à réduire les coûts.

développement rapide d'application low-code

Gagnez en transparence avec Enterprise Process Center®

Le logiciel Digital Twin Organization d’Interfacing fournit la transparence et la gouvernance pour améliorer la qualité, l’efficacité et assurer la conformité réglementaire.

développement rapide d'application low-code

Lisez nos blogs

Prenez un moment pour lire les blogs sur GXP, la conformité réglementaire, les tendances actuelles et bien plus encore!

Découvrez comment votre organisation bénéficie d’une solution d’Interfacing.

L’un des principaux facteurs de différenciation d’Interfacing par rapport aux autres sociétés de conseil en transformation numérique et d’affaire est qu’Interfacing propose sa propre solution technologique innovante pour soutenir les programmes de transformation. Les solutions logicielles d’Interfacing offrent la transparence nécessaire pour réduire la complexité, améliorer l’exécution et faciliter l’agilité et le changement.

Le système de gestion intégré d’Interfacing est un guichet unique pour la gestion des programmes de transformation. Nous savons que c’est un environnement très concurrentiel. C’est pour cette raison que notre force réside dans notre engagement à maintenir la flexibilité tout au long du cycle de vie du projet que ce soit dans nos produits innovants ou dans notre équipe d’experts.

Essayez-le maintenant gratuitement!

Documentez, améliorez, standardisez et surveillez vos processus d’affaires, risques et performances avec le logiciel de gestion des processus d’affaires (BPM) d’Interfacing, l’Enterprise Process Center® !