Si vous vous préparez à construire un système de gestion de la sécurité de l'information, vous avez probablement rencontré à la fois l'ISO 27001 et l'ISO 27002.
Les deux sont des normes de sécurité de l'information créées par l'Organisation internationale de normalisation qui expliquent comment créer un SGSI robuste. Les deux discutent des contrôles de sécurité que les organisations peuvent mettre en place pour protéger leurs données.
Alors, quelle est la différence entre les normes ISO 27001 et 27002 ?
Bien que leur objectif se chevauche, chacune a un focus différent.
- ISO 27001 explique comment les entreprises peuvent construire un SGSI conforme, depuis la définition du périmètre de leur système et l'élaboration de politiques jusqu'à la formation du personnel.
- ISO 27002 se concentre spécifiquement sur les contrôles. Il développe l'aperçu de l'Annexe A de l'ISO 27001 pour approfondir le but, la conception et la mise en œuvre de chaque contrôle.
C'est la version en bref.
Mais il y a beaucoup plus de détails dans ISO 27001 par rapport à 27002.
Dans cet article, nous couvrirons les différences essentielles et expliquerons quand utiliser chaque norme.
Qu'est-ce que l'ISO 27001 ?
ISO 27001 est un cadre pour la sécurité de l'information. Il décrit comment établir un système de gestion de la sécurité de l'information (SGSI) pour héberger des données sensibles, y compris :
- Définir le périmètre du SGSI
- Réaliser une analyse des écarts
- Développer des politiques et des contrôles
- Créer de la documentation
- Former le personnel
- Réaliser des audits internes
- Réaliser un audit de certification
- Maintenir la conformité par des audits de surveillance et de recertification
Obtenir la certification ISO 27001 est une façon pour les entreprises de prouver à leurs clients que leurs données seront en sécurité. En tant que norme internationalement respectée, l'ISO 27001 est aussi un moyen pour les entreprises de gagner un avantage concurrentiel et de s'étendre sur les marchés mondiaux.
Qu'est-ce que l'ISO 27002 ?
ISO 27002 décrit les contrôles spécifiques que les organisations pourraient choisir de mettre en œuvre pour construire un SGSI conforme.
La norme ISO 27001 inclut l'Annexe A, qui discute brièvement des contrôles spécifiques de sécurité de l'information qu'une entreprise peut mettre en place pour sécuriser son SGSI.
Mais tandis que l'Annexe A couvre chaque contrôle en une ou deux phrases, l'ISO 27002 va beaucoup plus en détail. Elle inclut l'objectif de chaque contrôle, son fonctionnement et ce que les entreprises peuvent faire pour le mettre en œuvre avec succès.
Quelle est la différence entre ISO 27001 et ISO 27002 ?
ISO 27001 est ce qu'on appelle une norme de gestion. Les normes de gestion expliquent comment gérer un système — dans le cas de l'ISO 27001, un système de gestion de la sécurité de l'information.
L'ISO 27002 n'est pas une norme de gestion. C'est un ensemble de lignes directrices et de techniques de sécurité.
Bien que vous puissiez passer un audit pour obtenir la certification ISO 27001, vous ne pouvez pas obtenir la certification ISO 27002.
Il y a également une grande différence dans le niveau de détail abordé par chaque norme.
Par exemple, la norme ISO 27001 explique comment mettre en œuvre un SGSI : les responsabilités de la direction de l'entreprise, comment définir et mesurer les objectifs, comment réaliser un audit interne et les contrôles qu'une entreprise peut mettre en place.
Mais il ne se penche pas sur les détails spécifiques de chaque contrôle. ISO 27002 le fait.
Quelle norme ISO utiliser et quand ?
Chaque norme de la série ISO 27000 a un but et un objectif spécifiques.
Pour l'ISO 27001, cet objectif est de construire un SMSI. La mise en œuvre de contrôles spécifiques pour ce SMSI est l'objectif de l'ISO 27002. L'ISO 27005 concerne l'évaluation et la gestion des risques. Et ainsi de suite.
Utilisez les exigences de l'ISO 27001 pour guider la conception et la construction de votre SMSI afin de garantir la conformité. Une fois que vous avez identifié les contrôles que vous allez mettre en œuvre, utilisez l'ISO 27002 comme référence pour connaître les détails spécifiques de leur fonctionnement.
Si vous êtes prêt à commencer le parcours pour obtenir la certification ISO 27001, notre plateforme d'automatisation de la conformité peut simplifier l'ensemble du processus du début à la fin. Nous vous aiderons à construire un SMSI conforme, à gérer les risques, à combler les lacunes et à être prêt pour l'audit à 100 % en un temps record.