Il est en effet devenu politiquement, commercialement et économiquement impératif de fournir à certains secteurs spécifiques – la finance, les transports, les soins de santé et des projets d’infrastructures tels que les villes intelligentes par exemple – une protection plus adaptée contre les menaces qui pèsent sur la sécurité de leurs informations. C’est dans cette optique que vient d’être publiée ISO/IEC 27001, destinée à aider les normalisateurs dans cette voie, en leur fournissant des conseils et des recommandations sur les modalités de l’établissement de normes pour l’application d’ISO/IEC 27001 aux différents secteurs du marché.
ISO/IEC 27009, Technologies de l’information – Techniques de sécurité – Application de l’ISO/IEC 27001 à un secteur spécifique – Exigences, vient compléter les normes de la famille ISO/IEC 27000 afin d’optimiser l’efficacité d’ISO/IEC 27001. Elle explique comment inclure, en sus des spécifications d’ISO/IEC 27001, des exigences et des contrôles complémentaires applicables à des secteurs spécifiques, de manière à assurer la cohérence des normes élaborées dans cette famille.
Pour Edward Humphreys, Animateur de l’ISO/IEC SC 27/WG 1, le groupe de travail qui a élaboré la norme en question, « alors qu’ISO/IEC 27001 établit un langage international véritablement commun pour le management de la sécurité de l’information, ISO/IEC 27009 consolide ce langage commun pour chaque secteur spécifique et guide le travail d’élaboration des normes applicables à la sécurité et à la confidentialité des données propres à chacun des secteurs concernés. »
« Nous avons déjà établi plusieurs normes sectorielles : ISO/IEC 27011 pour les télécommunications, ISO/IEC 27017 pour les services du nuage et ISO/IEC 27019 pour le secteur de l’énergie. Dans ces normes, des contrôles complémentaires à ceux d’ISO/IEC 27001 ont été définis pour répondre aux exigences propres des secteurs spécifiques concernés. C’est en élaborant ces normes, qu’il est clairement apparu qu’avec une structure harmonisée, l’emploi d’un langage fondé sur ISO/IEC 27001 et la mise à disposition de recommandations précises, les futurs travaux sur des normes sectorielles de même nature seraient nettement plus efficaces, tout en évitant les doubles emplois. »
Tel est l’objet d’ISO/IEC 27009 : faire en sorte d’adopter, lors de l’élaboration de nouvelles normes ou de la révision de normes sectorielles spécifiques, une approche cohérente avec celle d’ISO/IEC 27001. Elle fournit donc des conseils pour compléter, affiner ou interpréter les exigences d’ISO/IEC 27001, en indiquant comment ajuster les recommandations d’ISO/IEC 27002 ou y apporter des compléments spécifiques pour leur mise en œuvre dans les secteurs concernés.
Vous pouvez acheter la norme ISO/IEC 27009 auprès du membre de l’ISO pour votre pays ou sur l’ISO Store.