ISO 27001 vs ISO 27002 : Quelle est la différence ?

Toute personne intéressée par la sécurité de l'information aura rencontré la norme ISO 27001, une norme internationale décrivant les meilleures pratiques pour un SMSI (Système de Management de la Sécurité de l'Information).


Cependant, vous pourriez ne pas être aussi familier avec ISO 27002. Il s'agit d'une norme supplémentaire qui fournit des conseils sur la façon de mettre en œuvre les contrôles de sécurité répertoriés à l'annexe A de ISO 27001.


Bien que ISO 27001 soit la norme la plus connue et celle à laquelle les organisations se certifient, aucune des deux ne peut être considérée de manière isolée. Cette article explique pourquoi c'est le cas, vous aidant ainsi à comprendre comment fonctionnent chaque norme et les différences entre elles.

Qu'est-ce que ISO 27001 ?

ISO 27001 est le cadre central de la série ISO 27000, qui est une série de documents relatifs à diverses parties de la gestion de la sécurité de l'information.


La norme contient les exigences de mise en œuvre pour un SMSI. Ce sont essentiellement un aperçu de tout ce que vous devez faire en termes de conformité.


Cela est particulièrement utile au début d'un projet, ou si vous recherchez des conseils généraux, mais ce n'est pas suffisant pour s'engager dans un projet de mise en œuvre à grande échelle.

Pour répondre à ces exigences, les organisations doivent :

  • Rassemblez une équipe de projet et lancez le projet;
  • Effectuer une analyse des lacunes;
  • Définir le périmètre du SMSI;
  • Lancer un développement de politiques de haut niveau; En savoir plus : Politique de sécurité de l’information ISO 27001
  • Effectuer une évaluation des risques;
  • Sélectionnez et appliquez des contrôles;
  • Développer une documentation des risques;
  • Organiser une formation de sensibilisation du personnel;
  • Évaluer, examiner et effectuer un audit interne; et
  • Optez pour un audit de certification.
ISO 27001 Système de Management de la Sécurité de l'Information

ISO 27001 Système de Management de la Sécurité de l'Information

Qu'est-ce que la norme ISO 27002 ?

ISO 27002 est une norme supplémentaire qui se concentre sur les contrôles de sécurité de l'information que les organisations pourraient choisir d'implémenter.


Ces contrôles sont répertoriés dans l'annexe A de ISO 27001, vous verrez souvent des experts de la sécurité de l'information se référer à cette annexe lors de discussion des contrôles de sécurité de l'information. Cependant, alors que l'annexe A décrit simplement chaque contrôle en une ou deux phrases, ISO 27002 consacre une moyenne d'une page par contrôle.


En effet, là ou ISO 27001 énumère seulement des contrôles dans son annexe A, la norme ISO 27002 explique comment fonctionne chaque contrôle, quel est son objectif et comment vous pouvez l'implémenter.


Pour en savoir plus sur les contrôles de l'annexe A de la norme ISO 27001, recevez gratuitement et en quelques minutes par email à travers le formulaire ci-dessous, notre outil démonstratif utiliser par les auditeurs ISO 27001 afin de lister et évaluer les contrôles d'une organisation :

Les différences entre ISO 27001 et ISO 27002

Il existe trois principales différences entre ISO 27001 et ISO 27001 :

Détail

Si ISO 27001 serait entrée dans autant de détails que ISO 27002, elle serait inutilement longue et compliquée. Au lieu de cela, ISO 27001 fournit un aperçu de chaque aspect d'un SMSI, avec des conseils spécifiques développés dans des normes supplémentaires. ISO 27002 n'est qu'une d'entre elles.


Par exemple, ISO 27003 couvre les directives de mise en œuvre des SMSI et ISO 27004 couvre la surveillance, la mesure, l'analyse et l'évaluation des SMSI.

Certification

Si vous êtes une organisation, vous pouvez vous certifier ISO 27001 mais pas ISO 27002. Cela parce que ISO 27001 est une norme de gestion qui fournit une liste complète des exigences de conformité, tandis que les normes supplémentaires telles que ISO 27002 abordent seulement un aspect spécifique d'un SMSI.


Cependant, une personne peut se certifier aussi bien ISO 27001 que ISO 27002 afin de gagner en crédibilité et ainsi se démarquer dans le monde du travail.

Applicabilité

Une chose clé à considérer lors de la mise en œuvre d'un SMSI est que tous les contrôles de sécurité de l'information existant ne s'appliqueront pas forcément à votre organisation.


ISO 27001 indique clairement qu'une organisation doit effectuer une évaluation des risques pour identifier et hiérarchiser les menaces de sécurité de l'information qui la concerne. De ce fait, tous les contrôles répertorié dans l'annexe A de ISO 27701 ne s'applique donc pas forcément sur une organisation.


Par exemple si vous n'avez pas de fournisseur, vous ne pouvez pas surveiller des services externaliser inexistant. Dans ISO 27002, il n'y a pas cette notion d'exclure du périmètre de votre SMSI les contrôles qui ne s'applique pas à votre organisation, donc si vous deviez appliquer la norme en elle-même et ainsi ne pas réaliser d'identification de vos actifs, il serait pratiquement impossible de déterminer les contrôles que vous devriez adopter ou non.

Quand utiliser quelle norme

ISO 27001 et ISO 27002 ont des objectifs différents et seront utiles dans différentes circonstances.


Si vous débutez avec la norme ou planifiez votre cadre de mise en œuvre des SMSI, ISO 27001 est idéal. Vous devez vous référer à ISO 27002 une fois que vous avez identifié les contrôles que vous mettrez en œuvre pour en savoir plus sur le fonctionnement de chacun.

PARTAGER

Ne manquez rien !

Ne manquez rien des derniers cours complets, formations et ressources (ex: checklist) de l'essentiel de la sécurité informatique en s'inscrivant à notre newsletter.

NOUS SUIVRE

À PROPOS

Securessential permet d'approfondir ses connaissances sur les certifications de la sécurité informatique telle que ISO 27001 Lead Implementer, d'interagir avec nos professionnels, etc.