ISO/IEC 27003
ISO/IEC 27003 fait partie de la famille de normes ISO/IEC 27000, connue pour fournir des recommandations de bonnes pratiques sur la gestion de la sécurité de l'information au sein d'une organisation. Plus précisément, l'ISO/IEC 27003 se concentre sur les lignes directrices pour la mise en œuvre d'un système de gestion de la sécurité de l'information (ISMS) comme décrit dans l'ISO/IEC 27001, offrant des détails supplémentaires pour aider dans le processus de conception et de mise en œuvre.
Demandez une démonstration des cadres personnalisés de SecureframeDéfinition et objectif
Le principal objectif de l'ISO/IEC 27003 est d'offrir des conseils et un soutien pour les exigences spécifiées dans l'ISO/IEC 27001, aidant les organisations à interpréter et à mettre en œuvre la norme efficacement. Il inclut les processus nécessaires pour planifier, mettre en œuvre, maintenir et améliorer en continu un ISMS.
Organe de direction
La norme est développée et maintenue par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC).
Dernière mise à jour
L'ISO/IEC 27003 a été initialement publiée en 2010. La norme est révisée tous les 5 ans et a été révisée en 2017. Elle est actuellement en cours de révision.
S'applique à
L'ISO/IEC 27003 s'applique à toute organisation, quel que soit son type ou sa taille, qui souhaite mettre en œuvre un ISMS conformément à l'ISO/IEC 27001. Elle est pertinente dans divers secteurs, y compris mais sans s'y limiter, la finance, la santé, les secteurs public et informatique.
Contrôles et exigences
Bien que l'ISO/IEC 27003 n'introduise pas de nouveaux contrôles, il développe les lignes directrices de mise en œuvre pour les contrôles énumérés dans l'ISO/IEC 27001. Les exigences qu'il élucide incluent :
- Contexte de l'Organisation : Comprendre les enjeux internes et externes, les parties intéressées, et la portée de l'ISMS.
- Leadership et Engagement : Implication de la direction et responsabilité pour l'ISMS.
- Planification : Aborder les risques et opportunités, et fixer les objectifs de sécurité de l'information.
- Support : Ressources nécessaires pour l'ISMS, compétences, sensibilisation, communication et gestion des informations documentées.
- Opération : Planification, mise en œuvre et contrôle des processus nécessaires pour répondre aux exigences de sécurité de l'information.
- Évaluation de la performance : Surveillance, mesure, analyse, évaluation, audit interne, et examen de la gestion de l'ISMS.
- Amélioration : Amélioration continue de l'ISMS par des actions correctives.
Veuillez vous référer à la documentation officielle ISO/IEC 27003:2017 pour des détails sur les contrôles et les exigences.
Type d'audit, fréquence et durée
Le type d'audit pour l'ISO/IEC 27003 serait généralement une évaluation de conformité ou un audit interne/externe pour déterminer dans quelle mesure la mise en œuvre du SMSI est alignée avec les recommandations de la norme. Les audits sont généralement menés annuellement, ou selon les besoins, pour garantir l'amélioration continue et la maintenance du SMSI.
La durée d'un audit peut varier en fonction de la taille de l'organisation, de sa complexité et de la maturité du SMSI.