Les auditeurs de systèmes de management de la sécurité de l’information saluent la publication d’ISO/IEC 27007

Lu en quelques minutes
Publié le
Partager sur , ,

Si elles veulent continuer de nous fournir des produits et services répondant à nos attentes, les entreprises vont devoir gérer des volumes de données toujours plus importants. Face à la multiplication des cyberattaques de haut vol, la sécurité de ces informations constitue un sujet de préoccupation majeur pour les consommateurs comme pour les entreprises. 

Les dommages considérables occasionnés par de telles attaques peuvent affecter des célébrités embarrassées par la diffusion de photos compromettantes, entraîner la perte de dossiers médicaux, et aller jusqu’à des demandes de rançon de plusieurs millions adressées aux entreprises les plus puissantes.

Lorsque ces données concernent des informations personnelles, financières ou médicales, les entreprises ont l’obligation légale et morale de les protéger contre les attaques de cybercriminels. C’est à ce niveau que les Normes internationales, telles que celles de la famille ISO/IEC 27000, interviennent en aidant les organisations à gérer la sécurité d’actifs comme des informations financières, des droits de propriété intellectuelle, des informations relatives au personnel ou des données confiées par des tiers.

ISO/IEC 27001, la norme la plus prisée de cette famille, spécifie les exigences relatives à tout système de management de la sécurité de l’information (SMSI). Bien que la certification ne soit pas une exigence obligatoire de cette Norme internationale, une organisation peut demander à être certifiée. 

Pour toute personne chargée de l’audit d’une entreprise donnée, ce processus peut s’avérer complexe, et pour que ce dernier se déroule sans problèmes, l’auditeur doit être préparé et rester attentif aux détails. C’est précisément dans ce but qu’ISO/IEC 27007, Technologies de l’information – Techniques de sécurité – Lignes directrices pour l’audit des systèmes de management de la sécurité de l’information, a été élaborée. La norme, initialement publiée en 2011, vient d’être actualisée et alignée sur la norme ISO/IEC 27001:2013 afin d’aider les deux parties à se préparer soigneusement grâce à des lignes directrices claires.

ISO/IEC 27007 propose des lignes directrices sur la gestion des programmes d’audit de SMSI, la réalisation d’audits internes et externes de SMSI conformément à ISO/IEC 27001, ainsi que sur la compétence et l’évaluation des auditeurs de SMSI. Elle fournit en outre des recommandations détaillées pour l’audit de l’ensemble des exigences d’ISO/IEC 27001. Conçue pour être utilisée conjointement aux lignes directrices d’ISO 19011:2011, elle adopte par ailleurs la structure de cette Norme internationale.

La dernière édition d’ISO/IEC 27007, qui présente des avantages pour toute entreprise, peut être appliquée par tous types d’utilisateurs, y compris les PME.

Barnaby Lewis
Barnaby Lewis

contact pour la presse

press@iso.org

Journaliste, blogueur ou rédacteur ?

Vous souhaitez obtenir des informations exclusives sur les normes, ou simplement en savoir plus sur ce que nous faisons ? Contactez notre équipe ou consultez notre dossier médias.