Norme ISO / CEI 27001

Technologie de l'information / Techniques de sécurité / Systèmes de management de la sécurité de l'information / Exigences

Avant-propos

L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale) forment le système spécialisé de la normalisation mondiale.

Les organismes nationaux membres de l'ISO ou de la CEI participent  au développement de Normes internationales par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.

Les comités techniques de l'ISO et de la CEI collaborent dans les domaines d'intérêt commun.

D'autres organisations internationales , gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI participent également aux travaux.

Dans le domaines des technologies de l'information l'ISO et la CEI ont créé un comité technique mixte.

Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO / CEI.

La tâche principale du comité technique est d'élaborer les Normes internationales.

Les projets de Normes internationales adoptés par le comité technique sont soumis aux organismes nationaux pour vote.

Leur publication comme Normes internationales requiert l'approbation de 75% au moins des organismes nationaux votants.

L'ISO /CEI 27001 a été élaborée par le comité technique, nous en sommes à la deuxième édition.

La deuxième édition annule et remplace la première édition (ISO /CEI 270001 : 2005) qui a fait l'objet d'une révision

technique.

Introduction

Généralités

La présente Norme internationale a été élaborée pour fournir des exigences en vue de l'établissement, de la mise en œuvre, de la tenue à jour et de l'amélioration continue d'un système de management de la sécurité de l'information.

L'adoption d'un système de management de la sécurité de la sécurité de l'information relève de la décision stratégique de la direction de l'organisation.

La mise en œuvre et l'établissement d'un système de management de la sécurité de l'information d'une organisation tiennent compte des besoins et des objectifs de la dite organisation, de ses exigences de sécurité, de ses processus organisationnels mis en œuvre, ainsi que de la taille et de la structure de l'organisation.

Tous ces facteurs d'influence sont appelés à évoluer dans le temps.

Le système de management de la sécurité de l'information préserve la confidentialité, l'intégrité et la disponibilité de l'information en appliquant un processus de gestion des risques et donne aux parties intéressées l'assurance que les risques sont gérés de manière adéquate.

Il est important que le système de management de la sécurité de l'information fasse partie intégrante des processus et de la structure de management d'ensemble de l'organisation et que la sécurité de l'information soit prise en compte dans la conception des processus, des systèmes d'information et des mesures.

Il est prévu qu'un système de management de la sécurité de l'information évolue conformément aux besoins de l'organisation.

La présente Norme internationale peut être utilisée par les parties internes et externes pour évaluer la capacité de l'organisation à répondre à ses propres exigences en matière de sécurité de l'information.


L'ordre dans lequel les exigences sont présentées dans la présente Norme internationale ne reflète pas leur importance, ni l'ordre dans lequel elles doivent être mises en œuvre.

Les éléments des listes sont énumérés uniquement à des fins de référence.

L'ISO / CEI 27000 décrit une vue d'ensemble et le vocabulaire des systèmes de management de la sécurité de l'information, en se référent à la famille des normes du système de management de la sécurité de l'information avec les termes et les définitions qui s'y rapportent.


Compatibilité avec d'autres systèmes de management

La présente Norme internationale applique la structure de haut niveau, les titres de paragraphe identique, le texte, les termes communs et les définitions fondamentales définies dans l'Annexe SI, des Directives ISO/ CEI, par conséquent, est compatible avec les autres normes de systèmes de management qui se conforment à cette Annexe SL.

Cette approche commune définie dans l'Annexe SL sera utile aux organisations qui choisissent de mettrez en œuvre un système de management unique pour répondre aux exigences de deux ou plusieurs normes de systèmes de management.