Le standard ISO 27002 (anciennement appelé ISO 17799) est un ensemble de recommandations pour la gestion de la sécurité de l’information issu de la norme britannique BS7799:1, il couvre autant les aspects techniques, administratifs que juridiques et peut être utilisé par n’importe quel organisme quel que soit son activité et sa dimension.
Ces aspects sont regroupés au travers de dix grandes thématiques :
- La politique de sécurité : pour exprimer les objectifs et les exigences de la direction
- L’organisation de la sécurité : pour définir les rôles et responsabilités des gestionnaires, utilisateurs, contractuels et fournisseurs de services, propriétaires des biens et pour définir les mécanismes de sécurité à mettre en place afin d’assurer la sécurisation de l’accès des tiers aux informations et ressources de l’organisme.
- La classification et le contrôle de biens : pour faire l’inventaire des biens, leur affecter un propriétaire, les classifier ; déterminer leur niveau de protection et établir les mesures de sécurité à mettre en place selon leur utilisation.
- La sécurité du personnel : pour intégrer la sécurité dans les procédures de définition des tâches et des ressources afin de réduire les risques d’origine humaine par la formation des utilisateurs et la gestion des incidents.
- La sécurité physique : pour préciser les mesures à mettre en place pour sécuriser le matériel et éviter les accès non autorisés dans les locaux ainsi que les dommages pouvant affecter les biens et les opérations quotidiennes.
- La gestion des opérations et des communications : pour assurer le bon fonctionnement des équipements, la sécurité des réseaux de télécommunication, des systèmes d’exploitation et des applications et établir les procédures relatives à toutes les opérations de sauvegarde et d’échange de données à travers les réseaux.
- Le contrôle des accès : pour mettre en place un contrôle pour l’accès au réseau, aux applications et aux données afin de se protéger contre les intrusions externes et les abus internes.
- Le développement et la maintenance des systèmes : pour définir des règles de sécurité dans l’acquisition, le développement, l’implantation et l’entretien des systèmes d’informations.
- La gestion de la continuité d’activité : pour élaborer un plan de continuité et de relève de services, un plan de sauvegarde de données et des applications pour parer aux interruptions des activités et protéger les tâches sensibles des effets de pannes majeures ou des catastrophes.
- La conformité à la réglementation interne et externe : pour s’assurer du respect des lois et des réglementations, ainsi que de l’efficacité des procédures et des mesures de sécurité mises en place, en relation avec la politique de sécurité de l’information.
Bien que les principales thématiques de la norme version 2000 aient été conservées, la norme ISO 17799 : 2005 vient d’appréhender de nouvelles thématiques qui consistent surtout à identifier les menaces, déterminer les vulnérabilités et procéder à l’analyse des risques identifiés en tenant compte des paramètres suivants : sensibilité des actifs informationnels de l’entreprise, impact économique des sinistres potentiels, probabilité de leur survenance et coût des mesures proposées.