Suite ISO/CEI 27000

La suite ISO/CEI 27000 (aussi connue sous le nom de Famille des standards SMSI ou ISO27k) comprend les normes de sécurité de l'information publiées conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI, ou IEC en anglais).

Tableau listant les différences entre les standards ISO 27001, notamment ISO 27000, ISO 27001, ISO 27002, ISO 27003, et ISO 27004.

La suite contient des recommandations des meilleures pratiques en management de la sécurité de l'information, pour l'initialisation, l'implémentation ou le maintien de systèmes de management de la sécurité de l'information (SMSI, ou ISMS en anglais), ainsi qu'un nombre croissant de normes liées au SMSI.

Normes publiées

• ISO/CEI 27000 : Introduction et vue globale de la famille des normes relatives au Système de Management de la Sécurité de l'Information (SMSI), ainsi qu'un glossaire des termes communs (2018)
• ISO/CEI 27001 : Norme d'exigences des SMSI, permettant la certification (publiée en 2005, révisée en 2022)
• ISO/CEI 27002 : Guide des bonnes pratiques en SMSI (précédemment connu sous le nom de ISO/CEI 17799, et avant BS 7799 Partie 1 (renuméroté en ISO/CEI 27002:2005 en juillet 2007, dernière révision en 2022)
• ISO/CEI 27003 : Guide d'implémentation d'un SMSI, publié le 3 février 2010 révisée en 2017 (Lignes directrices pour la mise en œuvre du système de management de la sécurité de l'information)
• ISO/CEI 27004 : Norme de mesures de management de la sécurité de l'information (publiée le 12 juillet 2009, révisée en 2016)
• ISO/CEI 27005 : Norme de gestion de risques liés à la sécurité de l'information (publiée le 4 juin 2008, révisée en 2022)
• ISO/CEI 27006 : Guide de processus de certification et d'enregistrement (publié (en) le 1^er décembre 2011, révisée en 2020)
• ISO/CEI 27007 : Guide directeur pour l'audit des SMSI (publié (en) le 14 novembre 2011, révisée en 2017)
• ISO/CEI 27008 : Lignes directrices de vérification en matière de mesures de sécurité (publiée (en) le 15 octobre 2011)
• ISO/CEI 27010 : Gestion de la sécurité de l’information des communications intersectorielles et interorganisationnelles (2015)
• ISO/CEI 27011 : Guide pour l'implémentation de ISO/CEI 27002 dans l'industrie des télécommunications (publié le 15 décembre 2008, révisée en 2016)
• ISO/CEI 27013 : Guide sur la mise en œuvre intégrée de l’ISO/CEI 27001 et de l’ISO/CEI 20000-1 pour la gestion des services (2015)
• ISO/CEI 27014 : Gouvernance de la sécurité de l’information (2013)
• ISO/CEI 27015 : Lignes directrices pour le management de la sécurité de l’information pour les services financiers (2012, actuellement annulée)
• ISO/CEI 27016 : Management de la sécurité de l'information - Économie organisationnelle (2014)
• ISO/CEI 27017 : Code de pratique pour les contrôles de sécurité de l'information fondés sur l'ISO/CEI 27002 pour les services du nuage (2015)
• ISO/CEI 27018 : Guide de pratiques pour la protection des données à caractère personnel (PII - personally identifiable information) dans les clouds publics (publié le 29 juillet 2014)
• ISO/CEI 27019 : Lignes directrices de management de la sécurité de l'information fondées sur l'ISO/CEI 27002 pour les systèmes de contrôle des procédés spécifiques à l'industrie de l'énergie (2017)
• ISO/IEC 27021 : Exigences de compétence pour les professionnels de la gestion des systèmes de management de la sécurité (2017)
• ISO/IEC 27023 : Mappage des éditions révisées de l'ISO/CEI 27001 et de l'ISO/CEI 27002 (2015)
• ISO/CEI 27031 : Lignes directrices pour mise en état des technologies de la communication et de l’information pour continuité des affaires (publiée le 1^er mars 2011)
• NF ISO/IEC 27031 : Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activité (2014)
• ISO/CEI 27032 : Lignes directrices pour la cybersécurité (publiée le 7 juillet 2012)
• ISO/CEI 27033 : Sécurité des réseaux (2010 à 2015)
• ISO/CEI 27034 : Sécurité des applications (2011 à 2018)
• ISO/CEI 27035 : Gestion des incidents de sécurité de l'information (2016)
• ISO/CEI 27036 : Sécurité d'information pour la relation avec le fournisseur (2013 à 2014)
• ISO/CEI 27037 : Lignes directrices pour l'identification, la collecte, l'acquisition et la préservation de preuves numériques (publié le 15 octobre 2012 + 2017 pour la version française)
• ISO/CEI 27038 : Spécifications pour la rédaction et l'expurgation numérique (2014 et 2017 pour la version française)
• ISO/CEI 27039 : Sélection, déploiement et opérations des systèmes de détection d'intrusion (publié le 11 février 2015)
• ISO/CEI 27040 : Sécurité de stockage (publié le 5 janvier 2015 + 2017 pour la version française)
• ISO/CEI 27701 : Normes d'exigences complétant l'ISO/CEI 27001 sur les sujets de protection de la vie privée (publié en août 2019)
• ISO 27799 : Guide pour l'implémentation de ISO/CEI 27002 dans l'industrie de la santé (publié le 12 juin 2008, révisée en 2016), sera probablement renommé en 2701x

Normes en préparation

Voir aussi

• ISO/CEI 15408 : Critères d’évaluation de la sécurité des technologies de l’information

•   Portail de la sécurité de l’information