La norme ISO/IEC 27000 faisant partie d’une famille de normes. Le but est d’appuyer les professionnels de l’informatique pour atteindre les objectifs…
Un peu d’histoire
Bien avant l’apparition des normes ISO/IEC 27000 dans le milieu de la sécurité de l’information, tout un développement technologique a vu le jour.
Nous avons tous déjà entendu parlé de système d’information, d’algorithmes, langage de programmation. Aussi, nous entendons de plus en plus parler d’intelligence artificielle (IA).
Nous avons également nos fondamentaux au sujet de Dennis Ritchie concernant le développement du langage « C ». Egalement, au sujet de Ken Thompson pour le développement d’Unix entre les années 69 et 73.
Mais ne refaisons pas l’histoire. Nous allons développer le sujet du système de management qualité dans le domaine de la sécurité de l’information.
La qualité et l’informatique, un duo gagnant
Nous mettons en place depuis de nombreuses années dans divers domaines, tels que l’agro-alimentaire, le médical…. des processus qualité. Car, nous émergeons un véritable état d’esprit qui sensibilise les professionnels à la satisfaction et la conformité de nos productions, nos services…
Tout d’abord, la norme ISO/IEC 27000 définit une vue d’ensemble d’un SMSI et fait partie d’une famille de plusieurs normes (27001, 27002…). La première parution de la norme date de 2009. Sa dernière version a été publiée en 2018. L’intégration d’un SMSI au sein d’un organisme est d’autant plus nécessaire lorsque celui-ci collecte, traite, stock et diffuse des données d’une haute importance. Par exemple, dans le monde de la finance ou de la santé… La norme ISO/IEC 27000 a pour principale fonction de définir les grandes lignes d’une mise en œuvre d’un SMSI. Il assure la sécurité de l’information, à savoir:
- La protection de la confidentialité,
- L’intégrité de l’information,
- La disponibilité de l’information aux personnes intéressées,
- l’authenticité,
- L’imputabilité,
- La fiabilité,
- La non-répudiation de l’information.
Un SMSI pour être plus performant
Afin de répondre aux exigences et d’appliquer le SMSI, il est primordial de définir une structure organisationnelle. La première étape consiste à déterminer une politique ainsi que de planifier les activités du système de management.
Il faut souligner que la norme ISO/IEC 27000 s’applique à tous types et tous les organismes dès lors qu’ils utilisent un système d’information.
Par ailleurs, la norme ISO/IEC 27000:2018 permet de définir le SMSI qui encadre les rôles, les objectifs, les principes de surveillance à des personnes compétentes. Elle permet également de gérer les risques : les prévenir, amoindrir, irradier. Elle permet de proposer des actions de corrections et/ou de préventions. De plus, elle rend possible la mise en place d’une certification.
Une certification démontre aux clients, ou autres parties intéressées, que l’organisme répond aux exigences en matière de sécurité. Une certification renforce la confiance avec les parties prenantes.
Enfin, la norme ISO/IEC 27000 permet de définir une méthode pour maintenir une activité régulière destinée à assurer l’efficacité des services. Un SMSI contribue à l’amélioration continue de ses performances.
Pour conclure, le SMSI doit inclure différents aspects pour atteindre les objectifs définis en respectant les exigences:
- Environnement culturel,
- Social,
- Politique,
- Légal,
- Réglementaire,
- Financier,
- Technologique,
- Economique,
- Concurrentiel.
| NORMES DE VOCABULAIRE | NORMES D’EXIGENCES | NORMES DE LIGNES DIRECTRICES | NORMES DE LIGNES DIRECTRICES PROPRES A UN SECTEUR |
|---|---|---|---|
| 27000 | 27001 | 27002 | 27010 |
| 27006 | 27003 | 27011 | |
| 27009 | 27004 | 27017 | |
| 27005 | 27018 | ||
| 27007 | 27019 | ||
| TR27008 | |||
| 27013 | |||
| 27014 | |||
| TR27016 | |||
| 27021 |