Quand et où l'ISO 27001 a-t-elle vu le jour ?

Pour comprendre l'objectif de la norme ISO 27001, il est important de savoir comment le cadre a été créé.

Une brève histoire de l'ISO 27001

La norme ISO/IEC 27001 est publiée par l'Organisation internationale de normalisation en partenariat avec la Commission électrotechnique internationale.

Au début des années 1990, le ministère britannique du Commerce et de l'Industrie (DTI) a demandé au Commercial Computer Security Centre (CCSC) de créer un ensemble de critères d'évaluation pour déterminer la sécurité des produits informatiques. (Cela a conduit à la création de l'ITSEC.)

Le CCSC a également été chargé de créer un code de bonnes pratiques pour la sécurité de l'information. Le résultat a été un document connu sous le nom de DISC PD003. Les travaux sur DISC PD003 se sont poursuivis et ont été scindés en deux grandes parties : BS7799-1 et BS7799-2.

À la fin des années 1990, le document BS7799-1 a été organisé en 10 sections, chacune décrivant une série de contrôles et d'objectifs de contrôle. Ce document a jeté les bases de la norme ISO 27002.

Pendant ce temps, BS7799-2 a créé une norme formelle pour le développement d'un système de gestion de la sécurité de l'information (SGSI). Publié pour la première fois en 1998 par le British Standards Institution (BSI), ce document a finalement évolué vers l'ISO 27001.

En décembre 2000, l'Organisation internationale de normalisation (ISO) a adopté BS7799-1 comme base pour la création de sa norme ISO/IEC 17799.

L'ISO/IEC a tenu une réunion à Oslo en avril 2001 pour discuter des révisions majeures de l'ISO 17799, et les travaux sur une nouvelle version de la norme se sont poursuivis de 2001 à 2004. La nouvelle version de l'ISO 17799 a été votée et confirmée en avril 2005 à Vienne et publiée en juin 2005.

Pendant ce temps, en octobre 2005, BS7799-2 a été officiellement adopté comme ISO 27001.

Depuis lors, il y a eu quelques mises à jour : en 2007, l'ISO 17799 a été renommée ISO 27002. Et en 2017, l'ISO/IEC 27001:2013 a été publiée comme la dernière version de la norme, incorporant des modifications mineures de formulation et de formatage.

L'origine du système de gestion de la sécurité de l'information (SGSI)

À mesure que les entreprises entraient dans l'ère numérique et que la sécurité des données devenait une priorité, la plupart des entreprises disposaient de contrôles de sécurité spécifiques. Cependant, ces contrôles étaient généralement mis en œuvre de manière ad hoc ou dans le but de suivre diverses meilleures pratiques. Différents départements et lieux de travail avaient différents contrôles et processus, rendant les initiatives plus larges comme la planification de la continuité des activités difficiles.

Le concept de système de gestion de la sécurité de l'information (ISMS) a été introduit pour aider les entreprises à adopter une approche holistique et systématique de la sécurité de l'information à l'échelle de l'organisation. La construction et le maintien d'un ISMS aident les entreprises à adopter une approche plus réfléchie et intentionnelle pour identifier et gérer les risques.

La norme ISO 27001 détaille les exigences pour construire, maintenir et améliorer continuellement un ISMS.