ISO 27001 par rapport à ISO 27002
Étant donné que l'ISO 27000 est une série de normes initiées par l'ISO pour assurer la sûreté et la sécurité au sein des organisations du monde entier, il vaut la peine de connaître la différence entre ISO 27001 et ISO 27002, deux des normes de la série ISO 27000. Ces normes ont été initiées au profit des organisations et également pour fournir un service de qualité aux clients. Cet article analyse les différences entre ISO 27001 et ISO 27002.
Qu'est-ce que l'ISO 27001?
La norme ISO 27001 est d'assurer la sécurité de l'information et la protection des données dans les organisations du monde entier. Cette norme est si importante pour les entreprises dans la protection de leurs clients et des informations confidentielles de l'organisation contre les menaces. La mise en œuvre du système de gestion de la sécurité de l'information garantirait la qualité, la sécurité, le service et la fiabilité des produits de l'organisation qui peuvent être sauvegardés à son plus haut niveau.
L'objectif principal de la norme est de fournir des exigences pour l'établissement, la mise en œuvre, le maintien et l'amélioration continue d'un système de gestion de la sécurité de l'information (SMSI). Dans la plupart des entreprises, les décisions d'adoption de ces types de normes sont prises par la direction. En outre, l'exigence d'avoir ce type de système de sécurité de l'information pour l'organisation découle de divers facteurs tels que les buts et objectifs organisationnels, les exigences de sécurité, la taille et la structure de l'organisation, etc.
Dans la version précédente de la norme en 2005, elle a été développée sur la base du cycle PDCA, modèle Plan-Do-Check-Act pour structurer les processus et cela était de manière à refléter les principes énoncés par les lignes directrices de l'OECG. La nouvelle version de 2013 met l'accent sur la mesure et l'évaluation de l'efficacité de la performance organisationnelle dans le SMSI. Il a également inclus une section basée sur l'externalisation et une plus grande concentration est donnée à la sécurité de l'information dans les organisations.
Qu'est-ce que l'ISO 27002?
La norme ISO 27002 a été initialement créée en tant que norme ISO 17799 basée sur le code de bonnes pratiques pour la sécurité de l'information. Il met en évidence divers mécanismes de contrôle de la sécurité pour les organisations conformément à la norme ISO 27001.
La norme a été établie sur la base de diverses lignes directrices et principes pour lancer, mettre en œuvre, améliorer et maintenir la gestion de la sécurité de l'information au sein d'une organisation. Les contrôles réels de la norme répondent à des exigences spécifiques par le biais d'une évaluation formelle des risques. La norme se compose de lignes directrices spécifiques pour l'évolution des normes de sécurité organisationnelles et des pratiques efficaces de gestion de la sécurité qui seraient utiles pour renforcer la confiance dans les activités interorganisationnelles.
La version existante de la norme a été publiée en 2013 comme ISO 27002: 2013 avec 114 contrôles. Le facteur le plus important à noter est qu'au fil des ans, un certain nombre de versions spécifiques à l'industrie de l'ISO 27002 ont été développées ou sont en cours de développement dans des domaines tels que le secteur de la santé, la fabrication, etc.
Quelle est la différence entre ISO 27001 et ISO 27002?
• La norme ISO 27001 exprime les exigences en matière de gestion de la sécurité de l'information dans les organisations et la norme ISO 27002 fournit un soutien et des conseils à ceux qui sont responsables du lancement, de la mise en œuvre ou du maintien des systèmes de gestion de la sécurité de l'information (SMSI).
• ISO 27001 est une norme d'audit basée sur des exigences auditables, tandis que ISO 27002 est un guide de mise en œuvre basé sur des suggestions de bonnes pratiques.
• ISO 27001 comprend une liste de contrôles de gestion pour les organisations tandis que ISO 27002 a une liste de contrôles opérationnels pour les organisations.
• ISO 27001 peut être utilisée pour auditer et certifier le système de gestion de la sécurité de l'information de l'organisation et ISO 27002 peut être utilisée pour évaluer l'exhaustivité du programme de sécurité de l'information d'une organisation.
Attribution d'image: «CIAJMK1209» par John M. Kennedy T. (CC BY-SA 3.0)