Vous êtes sur la page 1sur 44

NORME ISO/IEC

INTERNATIONALE 27000

Quatrime dition
2016-02-15

Technologies de linformation
Techniques de scurit Systmes de
gestion de scurit de linformation
Vue densemble et vocabulaire
Information technology Security techniques Information
security management systems Overview and vocabulary

Numro de rfrence
ISO/IEC 27000:2016(F)

ISO/IEC 2016
ISO/IEC 27000:2016(F)

DOCUMENT PROTG PAR COPYRIGHT


ISO/IEC 2016, Publi en Suisse
Droits de reproduction rservs. Sauf indication contraire, aucune partie de cette publication ne peut tre reproduite ni utilise
sous quelque forme que ce soit et par aucun procd, lectronique ou mcanique, y compris la photocopie, laffichage sur
linternet ou sur un Intranet, sans autorisation crite pralable. Les demandes dautorisation peuvent tre adresses lISO
ladresse ci-aprs ou au comit membre de lISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org

ii ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

Sommaire Page

Avant-propos.................................................................................................................................................................................................................................v
0 Introduction............................................................................................................................................................................................................... 1
0.1 Vue densemble........................................................................................................................................................................................ 1
0.2 La famille de normes du SMSI..................................................................................................................................................... 1
0.3 Objet de la prsente Norme internationale..................................................................................................................... 2
1 Domaine dapplication.................................................................................................................................................................................... 2
2 Termes et dfinitions........................................................................................................................................................................................ 3
3 Systmes de management de la scurit de linformation.....................................................................................15
3.1 Gnralits................................................................................................................................................................................................ 15
3.2 Quest-ce quun SMSI?..................................................................................................................................................................... 15
3.2.1 Vue densemble et principes................................................................................................................................ 15
3.2.2 Linformation..................................................................................................................................................................... 16
3.2.3 Scurit de linformation........................................................................................................................................ 16
3.2.4 Management...................................................................................................................................................................... 17
3.2.5 Systme de management........................................................................................................................................ 17
3.3 Approche processus......................................................................................................................................................................... 17
3.4 Raisons expliquant pourquoi un SMSI est important.......................................................................................... 17
3.5 tablissement, surveillance, maintenance et amlioration dun SMSI................................................. 18
3.5.1 Vue densemble............................................................................................................................................................... 18
3.5.2 Identifier les exigences lies la scurit de linformation...................................................... 19
3.5.3 Apprcier les risques lis la scurit de linformation............................................................. 19
3.5.4 Traiter les risques lis la scurit de linformation..................................................................... 20
3.5.5 Slectionner et mettre en uvre les mesures de scurit......................................................... 20
3.5.6 Surveiller, mettre jour et amliorer lefficacit du SMSI.......................................................... 21
3.5.7 Amlioration continue.............................................................................................................................................. 21
3.6 Facteurs critiques de succs du SMSI................................................................................................................................ 22
3.7 Avantages de la famille de normes du SMSI................................................................................................................ 22
4 La famille de normes du SMSI...............................................................................................................................................................23
4.1 Information gnrales.................................................................................................................................................................... 23
4.2 Normes donnant une vue densemble et dcrivant la terminologie....................................................... 24
4.2.1 ISO/IEC27000 (la prsente Norme internationale)....................................................................... 24
4.3 Normes spcifiant des exigences.......................................................................................................................................... 24
4.3.1 ISO/IEC27001................................................................................................................................................................. 24
4.3.2 ISO/IEC27006................................................................................................................................................................. 24
4.4 Normes dcrivant des lignes directrices gnrales............................................................................................... 25
4.4.1 ISO/IEC27002................................................................................................................................................................. 25
4.4.2 ISO/IEC27003................................................................................................................................................................. 25
4.4.3 ISO/IEC27004................................................................................................................................................................. 25
4.4.4 ISO/IEC27005................................................................................................................................................................. 25
4.4.5 ISO/IEC27007................................................................................................................................................................. 25
4.4.6 ISO/IEC/TR27008....................................................................................................................................................... 26
4.4.7 ISO/IEC27013................................................................................................................................................................. 26
4.4.8 ISO/IEC27014................................................................................................................................................................. 26
4.4.9 ISO/IEC/TR27016....................................................................................................................................................... 27
4.5 Normes dcrivant des lignes directrices propres un secteur................................................................... 27
4.5.1 ISO/IEC27010................................................................................................................................................................. 27
4.5.2 ISO/IEC27011................................................................................................................................................................. 27
4.5.3 ISO/IEC/TR27015....................................................................................................................................................... 27
4.5.4 ISO/IEC27017................................................................................................................................................................. 28
4.5.5 ISO/IEC27018................................................................................................................................................................. 28
4.5.6 ISO/IEC/TR27019....................................................................................................................................................... 28
4.5.7 ISO27799............................................................................................................................................................................. 29

ISO/IEC 2016 Tous droits rservs iii


ISO/IEC 27000:2016(F)

AnnexeA (informative) Formes verbales utilises pour exprimer des dispositions.......................................30


AnnexeB (informative) Termes et proprit des termes.............................................................................................................31
Bibliographie............................................................................................................................................................................................................................ 35

iv ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

Avant-propos
LISO (Organisation internationale de normalisation) et lIEC (Commission lectrotechnique
internationale) forment le systme spcialis de la normalisation mondiale. Les organismes nationaux
membres de lISO ou de lIEC participent llaboration de Normes internationales par lintermdiaire de
comits techniques crs par lorganisme concern pour traiter de domaines particuliers une activit
technique. Les comits techniques de lISO et de lIEC collaborent dans des domaines dintrt commun.
Dautres organismes internationaux, gouvernementaux et non gouvernementaux, en liaison avec lISO
et lIEC participent galement aux travaux. Dans le domaine des technologies de linformation, lISO et
lIEC ont cr un comit technique mixte, lISO/IECJTC1.
Les procdures utilises pour laborer le prsent document et celles destines sa mise jour sont
dcrites dans les Directives ISO/IEC, Partie1. Il convient, en particulier, de prendre note des diffrents
critres dapprobation requis pour les diffrents types de document. Le prsent document a t rdig
conformment aux rgles de rdaction donnes dans les DirectivesISO/IEC, Partie2 (voirhttp://www.
iso.org/directives).
Lattention est appele sur le fait que certains des lments du prsent document peuvent faire lobjet de
droits de proprit intellectuelle ou de droits analogues. LISO ne saurait tre tenue pour responsable
de ne pas avoir identifi de tels droits de proprit et averti de leur existence. Les dtails concernant
les rfrences aux droits de proprit intellectuelle ou autres droits analogues identifis lors de
llaboration du document sont indiqus dans lIntroduction et/ou dans la liste des dclarations de
brevets reues par lISO (voir www.iso.org/brevets).
Les appellations commerciales ventuellement mentionnes dans le prsent document sont donnes
pour information, par souci de commodit, lintention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spcifiques de lISO lis
lvaluation de la conformit, ou pour toute information au sujet de ladhsion de lISO aux principes
de lOMC concernant les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos
Informations supplmentaires.
Le comit charg de llaboration du prsent document est lISO/IECJTC1, Technologies de linformation,
souscomit SC27, Techniques de scurit des technologies de linformation.
Cette quatrime dition annule et remplace la troisime dition (ISO/IEC27000:2014), qui a fait lobjet
dune rvision technique.

ISO/IEC 2016 Tous droits rservs v


NORME INTERNATIONALE ISO/IEC 27000:2016(F)

Technologies de linformation Techniques de scurit


Systmes de gestion de scurit de linformation Vue
densemble et vocabulaire

0 Introduction

0.1 Vue densemble


Les Normes internationales relatives aux systmes de management fournissent un modle en matire
dtablissement et dexploitation dun systme de management. Ce modle comprend les caractristiques
que les experts dans le domaine saccordent reconnatre comme refltant ltat de lart au niveau
international. Le sous-comit ISO/IEC JTC 1/SC 27 bnficie de lexprience dun comit dexperts
qui se consacre llaboration des Normes internationales sur les systmes de management pour la
scurit de linformation, connues galement comme famille de normes du Systme de Management de
la Scurit de lInformation (SMSI).
Grce lutilisation de la famille de normes du SMSI, les organismes peuvent laborer et mettre en uvre
un cadre de rfrence pour grer la scurit de leurs actifs informationnels, y compris les informations
financires, la proprit intellectuelle, les informations sur les employs, ou les informations qui leur
sont confies par des clients ou des tiers. Ils peuvent galement utiliser ces normes pour se prparer
une valuation indpendante de leurs SMSI en matire de protection de linformation.

0.2 La famille de normes du SMSI


La famille de normes du SMSI (voir Article4) a pour objet daider les organismes de tous types et
de toutes tailles dployer et exploiter un SMSI. Elle se compose des Normes internationales
suivantes (indiques ci-dessous par ordre numrique) regroupes sous le titre gnral Technologies de
linformation Techniques de scurit:
ISO/IEC27000, Systmes de management de la scurit de linformation Vue densemble et vocabulaire
ISO/IEC27001, Systmes de management de la scurit de linformation Exigences
ISO/IEC27002, Code de bonnes pratiques pour le management de la scurit de linformation
ISO/IEC27003, Lignes directrices pour la mise en uvre du systme de management de la scurit de
linformation
ISO/IEC27004, Management de la scurit de linformation Mesurage
ISO/IEC27005, Gestion des risques lis la scurit de linformation
ISO/IEC27006, Exigences pour les organismes procdant laudit et la certification des systmes de
management de la scurit de linformation
ISO/IEC27007, Lignes directrices pour laudit des systmes de management de la scurit de linformation
ISO/IEC/TR27008, Lignes directrices pour les auditeurs des contrles de scurit de linformation
ISO/IEC27009, Application de lISO/IEC27001 un secteur spcifique Exigences
ISO/IEC27010, Gestion de la scurit de linformation des communications intersectorielles et
interorganisationnelles

ISO 2016 Tous droits rservs 1


ISO/IEC 27000:2016(F)

ISO/IEC27011, Lignes directrices du management de la scurit de linformation pour les organismes


de tlcommunications sur la base de lISO/IEC27002
ISO/IEC27013, Guide sur la mise en uvre intgre de lISO/IEC27001 et ISO/IEC20000-1
ISO/IEC27014, Gouvernance de la scurit de linformation
ISO/IEC/TR27015, Lignes directrices pour le management de la scurit de linformation pour les
services financiers
ISO/IEC/TR27016, Management de la scurit de linformation conomie organisationnelle
ISO/IEC27017, Code de bonnes pratiques pour les contrles de scurit de linformation fonds sur
lISO/IEC27002 pour les services du nuage
ISO/IEC27018, Code de bonnes pratiques pour la protection des informations personnelles identifiables
(PII) dans linformatique en nuage public agissant comme processeur de PII
ISO/IEC27019, Lignes directrices de management de la scurit de linformation fondes sur
lISO/IEC27002 pour les systmes de contrle des processus spcifiques lindustrie de lnergie
NOTE Le titre gnral Technologies de linformation Techniques de scurit indique que ces Normes
internationales ont t labores par le comit technique mixteISO/IECJTC1, Technologies de linformation,
souscomitSC27, Techniques de scurit des technologies de linformation.

Les Normes internationales qui font galement partie de la famille de normes du SMSI, mais qui ne sont
pas regroupes sous le mme titre gnral, sont les suivantes:
ISO27799, Informatique de sant Management de la scurit de linformation relative la sant en
utilisant lISO/IEC27002

0.3 Objet de la prsente Norme internationale


La prsente Norme internationale offre une vue densemble des systmes de management de la scurit
de linformation et dfinit les termes qui sy rapportent.
NOTE LAnnexeA fournit des claircissements sur la faon dont les formes verbales sont utilises pour
exprimer des exigences et/ou des prconisations dans la famille de normes du SMSI.

La famille de normes du SMSI comporte des normes qui:


a) dfinissent les exigences relatives un SMSI et ceux qui certifient de tels systmes;
b) apportent des informations directes, des prconisations et/ou une interprtation dtailles
concernant le processus gnral visant tablir, mettre en uvre, maintenir et amliorer un SMSI;
c) prsentent des lignes directrices propres des secteurs particuliers en matire de SMSI;
d) traitent de lvaluation de la conformit dun SMSI.
Les termes et les dfinitions fournis dans la prsente Norme internationale:
couvrent les termes et les dfinitions dusage courant dans la famille de normes du SMSI;
ne couvrent pas lensemble des termes et des dfinitions utiliss dans la famille de normes du SMSI;
ne limitent pas la famille de normes du SMSI en dfinissant de nouveaux termes utiliser.

1 Domaine dapplication
La prsente Norme internationale offre une vue densemble des systmes de management de la scurit
de linformation, ainsi que des termes et dfinitions dusage courant dans la famille de normes du SMSI.

2 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

La prsente Norme internationale est applicable tous les types et toutes les tailles dorganismes (par
exemple: les entreprises commerciales, les organismes publics, les organismes but non lucratif).

2 Termes et dfinitions
Pour les besoins du prsent document, les termes et dfinitions suivants sappliquent:
2.1
contrle daccs
moyens mis en uvre pour assurer que laccs aux actifsest autoris et limit selon les exigences (2.63)
propres la scurit et lactivit mtier
2.2
modle analytique
algorithme ou calcul combinant une ou plusieurs mesures lmentaires (2.10) et/ou mesures
drives(2.22) avec les critres de dcision associs (2.21)
2.3
attaque
tentative de dtruire, de rendre public, de modifier, dinvalider, de voler ou dutiliser sans autorisation
un actif, ou de faire un usage non autoris de celui-ci
2.4
attribut
proprit ou caractristique dun objet (2.55) qui peut tre distingu quantitativement ou
qualitativement par des moyens humains ou automatiques
[SOURCE: ISO/IEC15939:2007, 2.2, modifie Le terme entit a t remplac par objet dans la
dfinition.]
2.5
audit
processus (2.61) mthodique, indpendant et document permettant dobtenir des preuves daudit et de
les valuer de manire objective pour dterminer dans quelle mesure les critres daudit sont satisfaits
Note1 larticle:Un audit peut tre interne (audit de premire partie), externe (audit de seconde ou de tierce
partie) ou combin (associant deux disciplines ou plus).

Note2 larticle:Les termes preuves daudit et critres daudit sont dfinis dans lISO19011.

2.6
champ de laudit
tendue et limites dun audit (2.5)
[SOURCE: ISO19011:2011, 3.14, modifie Suppression de la note1 larticle.]
2.7
authentification
mthode permettant de garantir quune caractristique revendique pour une entit est correcte
2.8
authenticit
proprit selon laquelle une entit est ce quelle revendique tre
2.9
disponibilit
proprit dtre accessible et utilisable la demande par une entit autorise

ISO/IEC 2016 Tous droits rservs 3


ISO/IEC 27000:2016(F)

2.10
mesure lmentaire
mesure (2.47) dfinie en fonction dun attribut (2.4) et de la mthode de mesurage spcifie pour le
quantifier
[SOURCE: ISO/IEC15939:2007, 2.3, modifie Suppression de la note2 larticle.]
Note1larticle:Une mesure lmentaire est fonctionnellement indpendante des autres mesures (2.47).

2.11
comptence
capacit appliquer des connaissances et des aptitudes pour obtenir les rsultats escompts
2.12
confidentialit
proprit selon laquelle linformation nest pas diffuse ni divulgue des personnes, des entits ou des
processus (2.61) non autoriss
2.13
conformit
satisfaction dune exigence (2.63)
Note1larticle:Le terme anglaisconformance est un synonyme, mais il est dconseill.

2.14
consquence
effet dun vnement (2.25) affectant les objectifs (2.56)
[SOURCE: GuideISO73:2009, 3.6.1.3, modifi]
Note1 larticle:Un vnement (2.25) peut entraner une srie de consquences.

Note2 larticle:Une consquence peut tre certaine ou incertaine. Dans le contexte de la scurit de linformation
(2.33), elle est gnralement ngative.

Note3 larticle:Les consquences peuvent tre exprimes de faon qualitative ou quantitative.

Note4 larticle:Des consquences initiales peuvent dclencher des ractions en chane.

2.15
amlioration continue
activit rgulire destine amliorer les performances (2.59)
2.16
mesure de scurit
mesure qui modifie un risque (2.68)
[SOURCE: GuideISO73:2009, 3.8.1.1]
Note1 larticle:Les mesures de scurit comprennent tous les processus (2.61), politiques (2.60), dispositifs,
pratiques ou autres actions qui modifient un risque (2.68).

Note2 larticle:Les mesures de scurit ne peuvent pas toujours aboutir la modification voulue ou suppose.

2.17
objectif dune mesure de scurit
dclaration dcrivant ce qui est attendu de la mise en uvre des mesures de scurit (2.16)
2.18
correction
action visant liminer une non-conformit (2.53) dtecte

4 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

2.19
action corrective
action visant liminer la cause dune non-conformit (2.53) et empcher quelle ne se rpte
2.20
donnes
ensemble des valeurs attribues aux mesures lmentaires (2.10), mesures drives (2.22) et/ou aux
indicateurs (2.30)
[SOURCE: ISO/IEC15939:2007, 2.4, modifie Ajout de la note1 larticle.]
Note1larticle:Cette dfinition sapplique uniquement dans le contexte de lISO/IEC27004.

2.21
critres de dcision
seuils, cibles ou modles utiliss pour dterminer la ncessit dune action ou dun complment
denqute, ou pour dcrire le niveau de confiance dans un rsultat donn
[SOURCE: ISO/IEC15939:2007, 2.7]
2.22
mesure drive
mesure (2.47) dfinie en fonction dau moins deuxmesures lmentaires (2.10)
[SOURCE: ISO/IEC15939:2007, 2.8, modifie Suppression de la note1 larticle.]
2.23
informations documentes
informations devant tre contrles et mises jour par un organisme (2.57) et le support sur lequel
elles sont stockes
Note1 larticle:Les informations documentes peuvent tre dans nimporte quel format, sur nimporte quel
support et provenir de nimporte quelle source.

Note2 larticle:Les informations documentes peuvent se rapporter:

au systme de management (2.46) et aux processus (2.61) associs;

aux informations cres pour permettre lorganisme (2.57) de fonctionner (documentation);

aux preuves des rsultats obtenus (enregistrements).

2.24
efficacit
niveau de ralisation des activits planifies et dobtention des rsultats escompts
2.25
vnement
occurrence ou changement dun ensemble particulier de circonstances
[SOURCE: GuideISO73:2009, 3.5.1.3, modifi Suppression de la note4 larticle.]
Note1 larticle:Un vnement peut tre unique ou se reproduire. Il peut avoir plusieurs causes.

Note2 larticle:Un vnement peut consister en quelque chose qui ne se produit pas.

Note3 larticle:Un vnement peut parfois tre qualifi dincident ou daccident.

ISO/IEC 2016 Tous droits rservs 5


ISO/IEC 27000:2016(F)

2.26
management excutif
personne ou groupe de personnes ayant reu des instances dirigeantes (2.29) la responsabilit de la
mise en uvre des stratgies et politiques afin datteindre les objectifs de lorganisme (2.57)
Note1larticle:Le management excutif est parfois appel la direction (2.84). Il peut comprendre les prsidents
directeurs gnraux, les directeurs financiers, les directeurs des systmes dinformation et autres fonctions
similaires.

2.27
contexte externe
environnement externe dans lequel lorganisme cherche atteindre ses objectifs (2.56)
[SOURCE: GuideISO73:2009, 3.3.1.1]
Note1larticle:Le contexte externe peut inclure les aspects suivants:

lenvironnement culturel, social, politique, lgal, rglementaire, financier, technologique, conomique,


naturel et concurrentiel, au niveau international, national, rgional ou local;

les facteurs cls et tendances ayant un impact dterminant sur les objectifs (2.56) de lorganisme (2.57);

les relations avec les parties prenantes (2.82) externes, les perceptions et valeurs relatives celles-ci.

2.28
gouvernance de la scurit de linformation
systme par lequel un organisme (2.57) conduit et supervise les activits lies la scurit de
linformation (2.33)
2.29
instances dirigeantes
personne ou groupe de personnes ayant la responsabilit des performances (2.59) et de la conformit de
lorganisme (2.57)
Note 1 larticle: Dans certaines juridictions, les instances dirigeantes peuvent tre constitues dun conseil
dadministration.

2.30
indicateur
mesure (2.47) qui fournit une estimation ou une valuation des attributs (2.4) spcifis partir dun
modle analytique (2.2) concernant les besoins dinformation (2.31) dfinis
2.31
besoin dinformation
information ncessaire pour grer les objectifs (2.56), les buts, les risques et les problmes
[SOURCE: ISO/IEC15939:2007, 2.12]
2.32
moyens de traitement de linformation
tout systme, service ou infrastructure de traitement de linformation, ou le local les abritant
2.33
scurit de linformation
protection de la confidentialit (2.12), de lintgrit (2.40) et de la disponibilit (2.9) de linformation
Note1larticle:En outre, dautres proprits, telles que lauthenticit (2.8), limputabilit, la non-rpudiation(2.54)
et la fiabilit (2.62) peuvent galement tre concernes.

2.34
continuit de la scurit de linformation
processus (2.61) et procdures visant assurer la continuit des oprations lies la scurit de
linformation (2.33)

6 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

2.35
vnement li la scurit de linformation
occurrence identifie de ltat dun systme, dun service ou dun rseau indiquant une faille possible
dans la politique (2.60) de scurit de linformation (2.33) ou un chec des mesures de scurit (2.16), ou
encore une situation inconnue jusqualors et pouvant relever de la scurit
2.36
incident li la scurit de linformation
un ou plusieurs vnements lis la scurit de linformation (2.35), indsirables ou inattendus,
prsentant une probabilit forte de compromettre les oprations lies lactivit de lorganisme et de
menacer la scurit de linformation (2.33)
2.37
gestion des incidents lis la scurit de linformation
processus (2.61) visant dtecter, rapporter, apprcier, grer et rsoudre les incidents lis la scurit de
linformation (2.36), ainsi qu en tirer des enseignements
2.38
communaut de partage dinformations
groupe dorganismes (2.57) qui saccordent pour partager les informations
Note1larticle:Un organisme (2.57) peut tre un individu.

2.39
systme dinformation
applications, services, actifs informationnels ou autres composants permettant de grer linformation
2.40
intgrit
proprit dexactitude et de compltude
2.41
partie intresse
personne ou organisme (2.57) susceptible daffecter, dtre affect ou de se sentir lui-mme affect par
une dcision ou une activit
2.42
contexte interne
environnement interne dans lequel lorganisme (2.57) cherche atteindre ses objectifs
[SOURCE: GuideISO73:2009, 3.3.1.2]
Note1larticle:Le contexte interne peut inclure les aspects suivants:

la gouvernance, la structure organisationnelle, les rles et les responsabilits;

les politiques (2.60), objectifs (2.56) et stratgies mises en place pour atteindre ces derniers;

les capacits, en termes de ressources et de connaissances (par exemple: capital, temps, personnel,
processus(2.61), systmes et technologies);

les systmes dinformation (2.39), flux dinformation et processus (2.61) de prise de dcision (formels et
informels);

les relations avec les parties prenantes (2.82) internes, les perceptions et valeurs associes celles-ci;

la culture de lorganisme (2.57);

les normes, lignes directrices et modles adopts par lorganisme (2.57);

la forme et ltendue des relations contractuelles.

ISO/IEC 2016 Tous droits rservs 7


ISO/IEC 27000:2016(F)

2.43
projetSMSI
activits structures entreprises par un organisme (2.57) pour dployer un SMSI
2.44
niveau de risque
importance dun risque (2.68) exprime en termes de combinaison des consquences (2.14) et de leur
vraisemblance (2.45)
[SOURCE: Guide ISO 73:2009, 3.6.1.8, modifi Suppression de ou combinaison de risques de la
dfinition.]
2.45
vraisemblance
possibilit quun vnement survienne
[SOURCE: GuideISO73:2009, 3.6.1.1, modifi Suppression des notes1 et 2 larticle.]
2.46
systme de management
ensemble dlments corrls ou interactifs dun organisme (2.57) visant tablir des politiques (2.60),
des objectifs (2.56) et des processus (2.61) permettant datteindre ces objectifs
Note1 larticle:Un systme de management peut recouvrir une ou plusieurs disciplines.

Note2 larticle:Les lments du systme comprennent la structure de lorganisme, les rles et responsabilits,
la planification et les oprations.

Note 3 larticle: Le domaine dapplication dun systme de management peut comprendre lorganisme (2.57)
dans son ensemble, certaines des fonctions spcifiques et identifies de lorganisme (2.57), certaines des
sections spcifiques et identifies de lorganisme (2.57), ou bien une ou plusieurs fonctions au sein dun groupe
dorganismes (2.57).

2.47
mesure
variable laquelle on attribue une valeur correspondant au rsultat du mesurage (2.48)
[SOURCE: ISO/IEC15939:2007, 2.15, modifie]
Note1larticle:Le termemesures est utilis pour dsigner collectivement les mesures lmentaires (2.10),
les mesures drives (2.22) et les indicateurs (2.30).

2.48
mesurage
processus (2.61) permettant de dterminer une valeur
Note1larticle:Dans le contexte de la scurit de linformation (2.33), le processus (2.61) de dtermination dune
valeur ncessite des informations concernant lefficacit (2.24) dun systme de management (2.46) de la scurit
de linformation (2.33) et des mesures de scurit (2.16) associes laide dune mthode de mesurage (2.50), dune
fonction de mesurage (2.49), dun modle analytique (2.2) et de critres de dcision (2.21).

2.49
fonction de mesurage
algorithme ou calcul utilis pour combiner au moins deux mesures lmentaires (2.10)
[SOURCE: ISO/IEC15939:2007, 2.20]

8 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

2.50
mthode de mesurage
suite logique doprations dcrites de manire gnrique qui permettent de quantifier un attribut (2.4)
selon une chelle (2.80) spcifie
[SOURCE: ISO/IEC15939:2007, 2.22, modifie Suppression de la note2 larticle.]
Note1larticle:Le type de mthode de mesurage employ dpend de la nature des oprations utilises pour
quantifier un attribut (2.4). On peut en distinguer deux:

le type subjectif: quantification faisant appel au jugement humain;

le type objectif: quantification fonde sur des rgles numriques.

2.51
rsultats de mesurage
un ou plusieurs indicateurs (2.30) et les interprtations associes, rpondant un besoin
dinformation(2.31)
2.52
surveillance
dtermination du statut dun systme, dun processus (2.61) ou dune activit
Note1larticle:Pour dterminer le statut, il peut savrer ncessaire de vrifier, de superviser ou dobserver de
manire critique.

2.53
non-conformit
non-satisfaction dune exigence (2.63)
2.54
non-rpudiation
capacit prouver loccurrence dun vnement (2.25) ou dune action donne(e) et des entits qui en
sont lorigine
2.55
objet
lment caractris par le mesurage (2.48) de ses attributs (2.4)
2.56
objectif
rsultat atteindre
Note1 larticle:Un objectif peut tre stratgique, tactique ou oprationnel.

Note2 larticle:Les objectifs peuvent concerner diffrentes disciplines (par exemple: finance, sant, scurit ou
environnement) et diffrents niveaux (par exemple: au niveau stratgique, lchelle de lorganisme, au niveau
dun projet, dun produit et dun processus (2.61).

Note3 larticle:Un objectif peut tre exprim de diffrentes manires, par exemple: rsultat recherch, but
atteindre, critre oprationnel, objectif en matire de scurit de linformation (2.33), ou laide dautres mots de
sens similaire (par exemple: intention ou cible).

Note4 larticle:Dans le contexte des systmes de management (2.46) de la scurit de linformation (2.33), les
objectifs de scurit de linformation (2.33) sont dfinis par lorganisme, conformment la politique (2.60) de
scurit de linformation (2.33), afin dobtenir des rsultats spcifiques.

ISO/IEC 2016 Tous droits rservs 9


ISO/IEC 27000:2016(F)

2.57
organisme
personne ou groupe de personnes qui exerce ses propres fonctions associes aux responsabilits,
pouvoirs et relations ncessaires pour atteindre ses objectifs (2.56)
Note 1 larticle: Le concept dorganisme inclut, sans sy limiter, les travailleurs indpendants, compagnies,
socits, firmes, entreprises, autorits, partenariats, uvres de bienfaisance ou institutions, ou toute partie ou
combinaison de ceux-ci, constitue en socit de capitaux ou ayant un autre statut, de droit priv ou public.

2.58
externaliser
prendre des dispositions pour quun organisme (2.57) externe prenne en charge une partie des fonctions
ou des processus (2.61) dun organisme (2.57)
Note1larticle:Un organisme externe se situe hors du domaine dapplication du systme de management (2.46),
mais les fonctions ou processus (2.61) externaliss entrent dans le cadre de celui-ci.

2.59
performance
rsultat mesurable
Note1 larticle:La performance peut se rapporter des observations quantitatives ou qualitatives.

Note 2 larticle: La performance peut se rapporter au management des activits, des processus (2.61), des
produits (y compris les services), des systmes ou des organismes (2.57).

2.60
politique
intentions et orientation dun organisme (2.57) telles que formalises par sa direction (2.84)
2.61
processus
ensemble dactivits corrles ou interactives qui transforme des lments dentre en lments de sortie
2.62
fiabilit
proprit relative un comportement et des rsultats prvus et cohrents
2.63
exigence
besoin ou attente formul, gnralement implicite ou obligatoire
Note1 larticle:Gnralement implicite signifie quil est habituel ou courant, pour lorganisme (2.57) et les
parties intresses, que le besoin ou lattente en question soit implicite.

Note2 larticle:Une exigence spcifie est une exigence formule, par exemple une information documente(2.23).

2.64
risque rsiduel
risque (2.68) subsistant aprs le traitement du risque (2.79)
Note1 larticle:Un risque rsiduel peut inclure un risque (2.68) non identifi.

Note2 larticle:Un risque rsiduel peut galement tre appel risque conserv.

2.65
revue
activit entreprise afin de dterminer ladaptation, ladquation et lefficacit (2.24) de lobjet tudi
pour atteindre les objectifs (2.54) tablis
[SOURCE: GuideISO73:2009, 3.8.2.2, modifi Suppression de la note1 larticle.]

10 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

2.66
objet de revue
lment spcifique soumis la revue
2.67
objectif de revue
dclaration dcrivant le rsultat attendu dune revue (2.65)
2.68
risque
effet de lincertitude sur latteinte des objectifs
[SOURCE: GuideISO73:2009, 1.1, modifi]
Note1 larticle:Un effet est un cart, positif ou ngatif, par rapport une attente.

Note2 larticle:Lincertitude est ltat, mme partiel, de dfaut dinformation concernant la comprhension ou
la connaissance dun vnement (2.25), de ses consquences (2.14) ou de sa vraisemblance (2.45).

Note3 larticle:Un risque est souvent caractris en rfrence des vnements (2.25) et des consquences(2.14)
potentiels ou une combinaison des deux.

Note4 larticle:Un risque est souvent exprim en termes de combinaison des consquences (2.14) dun vnement
(2.25) (incluant des changements de circonstances) et de sa vraisemblance (2.45).

Note5 larticle:Dans le contexte des systmes de management (2.46) de la scurit de linformation (2.33),
les risques lis la scurit de linformation (2.33) peuvent tre exprims comme leffet de lincertitude sur les
objectifs (2.56) de scurit de linformation (2.33).

Note6 larticle:Le risque li la scurit de linformation (2.33) est associ la possibilit que des menaces(2.83)
exploitent les vulnrabilits (2.89) dun actif ou dun groupe dactifs informationnels et nuisent donc un
organisme (2.57).

2.69
acceptation du risque
dcision argumente en faveur de la prise dun risque (2.68) particulier
[SOURCE: GuideISO73:2009, 3.7.1.6]
Note1 larticle:Lacceptation du risque peut avoir lieu sans traitement du risque (2.79) ou lors du processus(2.61)
de traitement du risque (2.79).

Note2 larticle:Les risques (2.68) accepts font lobjet dune surveillance (2.52) et dune revue (2.65).

2.70
analyse du risque
processus (2.61) mis en uvre pour comprendre la nature dun risque (2.68) et pour dterminer le
niveau de risque (2.44)
[SOURCE: GuideISO73:2009, 3.6.1]
Note1 larticle:Lanalyse du risque fournit la base de lvaluation du risque (2.74) et des dcisions relatives au
traitement du risque (2.79).

Note2 larticle:Lanalyse du risque inclut lestimation du risque.

2.71
apprciation du risque
ensemble du processus (2.61) didentification du risque (2.75), danalyse du risque (2.70) et dvaluation
du risque (2.74)
[SOURCE: GuideISO73:2009, 3.4.1]

ISO/IEC 2016 Tous droits rservs 11


ISO/IEC 27000:2016(F)

2.72
communication et concertation relatives au risque
processus (2.61) itratifs et continus mis en uvre par un organisme afin de fournir, partager ou obtenir
des informations et dengager un dialogue avec les parties prenantes (2.82) en ce qui concerne la gestion
du risque (2.68)
Note1 larticle:Ces informations peuvent concerner lexistence, la nature, la forme, la vraisemblance (2.45),
limportance, lvaluation, lacceptabilit et le traitement du risque (2.68).

Note2 larticle:La concertation est un processus (2.51) de communication argumente double sens entre un
organisme (2.57) et ses parties prenantes (2.82) sur une question donne avant de prendre une dcision ou de
dterminer une orientation concernant cette question. La concertation est:

un processus (2.61) dont leffet sur une dcision sexerce par linfluence plutt que par le pouvoir, et

une contribution une prise de dcision, et non une prise de dcision conjointe.

2.73
critres de risque
termes de rfrence vis--vis desquels limportance dun risque (2.68) est value
[SOURCE: GuideISO73:2009, 3.3.1.3]
Note1 larticle:Les critres de risque sont fonds sur les objectifs de lorganisme et sur le contexte externe(2.27)
et interne (2.42).

Note2 larticle:Les critres de risque peuvent tre issus de normes, de lois, de politiques (2.60) et dautres
exigences (2.63).

2.74
valuation du risque
processus (2.61) de comparaison des rsultats de lanalyse du risque (2.70) avec les critres du
risque(2.73) afin de dterminer si le risque (2.68) et/ou son importance sont acceptables ou tolrables
[SOURCE: GuideISO73:2009, 3.7.1]
Note1larticle:Lvaluation du risque aide la prise de dcision relative au traitement du risque (2.79).

2.75
identification du risque
processus (2.61) de recherche, de reconnaissance et de description des risques (2.68)
[SOURCE: GuideISO73:2009, 3.5.1]
Note1 larticle:Lidentification du risque comprend lidentification des sources de risque, des vnements(2.25),
de leurs causes et de leurs consquences (2.14) potentielles.

Note2 larticle:Lidentification du risque peut faire appel des donnes historiques, des analyses thoriques
et des avis dexperts et autres personnes comptentes, et tenir compte des besoins des parties prenantes (2.82).

2.76
management du risque
activits coordonnes visant diriger et contrler un organisme (2.57) vis--vis du risque (2.68)
[SOURCE: GuideISO73:2009, 2.1]

12 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

2.77
processus de management du risque
application systmatique de politiques (2.60), procdures et pratiques de management aux activits de
communication, de concertation, dtablissement du contexte, et aux activits didentification, danalyse,
dvaluation, de traitement, de surveillance et de revue du risque (2.68)
[SOURCE: GuideISO73:2009, 3.1, modifi Ajout de la note1 larticle.]
Note1 larticle:LISO/IEC27005 emploie le terme processus (2.61) pour dcrire le management du risque
dans sa globalit. Les lments qui composent le processus (2.61) de management du risque (2.76) sont appels
activits.

Note2 larticle:

Note3 larticle:

2.78
propritaire du risque
personne ou entit ayant la responsabilit du risque (2.68) et ayant autorit pour le grer
[SOURCE: GuideISO73:2009, 3.5.1.5]
2.79
traitement du risque
processus (2.61) destin modifier un risque (2.68)
[SOURCE: GuideISO73:2009, 3.8.1, modifi dcision a t remplac par choix dans la note1
larticle.]
Note1 larticle:Le traitement du risque peut inclure:

un refus du risque (2.68) en dcidant de ne pas dmarrer ni poursuivre lactivit porteuse du risque (2.68);

la prise ou laugmentation dun risque (2.68) afin de saisir une opportunit;

llimination de la source de risque (2.68);

une modification de la vraisemblance (2.45);

une modification des consquences (2.14);

un partage du risque (2.68) avec une ou plusieurs autres parties (incluant des contrats et un financement du
risque);

un maintien du risque (2.68) fond sur un choix argument.

Note2 larticle:Les traitements du risque portant sur les consquences (2.14) ngatives sont parfois
appelsattnuation du risque, limination du risque, prvention du risque et rduction du risque.

Note3 larticle:Le traitement du risque peut crer de nouveaux risques (2.68) ou modifier des risques (2.68)
existants.

2.80
chelle
ensemble ordonn de valeurs, continu ou discontinu, ou ensemble de catgories avec lequel
lattribut(2.4) est mis en correspondance
[SOURCE: ISO/IEC15939:2007, 2.35, modifie]
Note1larticle:Le type dchelle employ dpend de la nature de la relation entre les valeurs de lchelle.
Quatretypes dchelle sont habituellement dfinis:

le type nominal: les valeurs de mesurage (2.48) sont des catgories;

le type ordinal: les valeurs de mesurage (2.48) sont des classements;

ISO/IEC 2016 Tous droits rservs 13


ISO/IEC 27000:2016(F)

le type intervalle: les valeurs de mesurage (2.48) prsentent des distances gales correspondant des
quantits gales de lattribut (2.4);

le type rapport: les valeurs de mesurage (2.48) prsentent des distances gales correspondant des quantits
gales de lattribut (2.4), la valeur zro correspondant labsence de lattribut.

Ceux-ci ne sont que quelques exemples de types dchelle.

2.81
norme relative la mise en uvre de la scurit
document qui spcifie les mthodes de mise en uvre de la scurit
2.82
partie prenante
personne ou organisme (2.57) susceptible daffecter, dtre affect ou de se sentir lui-mme affect par
une dcision ou une activit
[SOURCE: GuideISO73:2009, 3.2.1.1, modifi Suppression de la note1 larticle.]
2.83
menace
cause potentielle dun incident indsirable, qui peut nuire un systme ou un organisme (2.57)
2.84
direction
personne ou groupe de personnes qui dirige et contrle un organisme (2.57) au plus haut niveau
Note 1 larticle: La direction a le pouvoir de dlguer lautorit et de fournir des ressources au sein de
lorganisme (2.57).

Note2 larticle:Si le domaine du systme de management (2.46) ne stend qu une partie de lorganisme(2.57),
la direction en rfre lquipe qui dirige et contrle cette partie de lorganisme (2.57).

2.85
entit de communication des informations scurise
organisme (2.57) indpendant qui prend en charge lchange dinformations dans une communaut de
partage dinformations (2.38)
2.86
unit de mesurage
grandeur particulire, dfinie et adopte par convention, avec laquelle dautres grandeurs de mme
nature sont compares afin dexprimer leur valeur par rapport cette grandeur
[SOURCE: ISO/IEC15939:2007, 2.40, modifie]
2.87
validation
confirmation par des preuves tangibles que les exigences (2.63) pour une utilisation spcifique ou une
application prvues ont t satisfaites
[SOURCE: ISO9000:2015, 3.8.12, modifie]
2.88
vrification
confirmation par des preuves tangibles que les exigences (2.63) spcifies ont t satisfaites
[SOURCE: ISO9000:2015, 3.8.4]
Note1larticle:Le termeessai de conformit pourrait galement tre employ pour dsigner cette notion.

14 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

2.89
vulnrabilit
faille dans un actif ou dans une mesure de scurit (2.16) qui peut tre exploite par une ou plusieurs
menaces (2.83)

3 Systmes de management de la scurit de linformation

3.1 Gnralits
Des organismes de toutes catgories et de toutes tailles:
a) collectent, traitent, stockent et transmettent des informations;
b) reconnaissent que les informations et les processus, systmes, rseaux et personnes associs sont
des actifs importants pour latteinte des objectifs de lorganisme;
c) font face divers types de risques qui peuvent avoir des rpercussions sur le fonctionnement des
actifs; et
d) traitent lexposition aux risques perue en mettant en uvre des mesures de scurit de
linformation.
Toutes les informations dtenues et traites par un organisme sont exposes des menaces telles que
des attaques, des erreurs, des vnements naturels (une inondation ou un incendie, par exemple), etc.,
et sont exposes des vulnrabilits inhrentes leur utilisation. Le terme scurit de linformation
repose, en gnral, sur le fait que linformation est considre comme un actif qui est dot dune valeur
et qui doit bnficier dune protection approprie contre la perte de disponibilit, de confidentialit et
dintgrit, par exemple. Garantir laccs par les personnes qui y sont autorises et qui en ont besoin
des informations exactes et compltes au moment o elles le souhaitent permet de contribuer
lefficacit de lentreprise.
Protger les actifs informationnels en dfinissant, garantissant, maintenant et amliorant efficacement
la scurit de linformation est essentiel pour permettre un organisme datteindre ses objectifs et de
maintenir et amliorer ses obligations lgales et son image. Ces activits coordonnes visant orienter
la mise en uvre de mesures appropries et traiter les risques inacceptables lis la scurit de
linformation, sont gnralement connues comme tant des lments de management de la scurit de
linformation.
tant donn que les risques lis la scurit de linformation et lefficacit des mesures voluent en
fonction de la conjoncture, les organismes doivent:
a) surveiller et valuer lefficacit des mesures de scurit et des procdures mises en uvre;
b) identifier les risques mergents traiter; et
c) slectionner, mettre en uvre et amliorer les mesures de scurit appropries le cas chant.
Pour relier ces activits de scurit de linformation et les coordonner, chaque organisme doit tablir sa
politique et ses objectifs en matire de scurit de linformation et utiliser un systme de management
lui permettant datteindre ces objectifs de manire efficace.

3.2 Quest-ce quun SMSI?

3.2.1 Vue densemble et principes

Un systme de management de la scurit de linformation(SMSI) se compose des politiques, procdures,


lignes directrices et des ressources et activits associes, gres collectivement par un organisme
dans le but de protger ses actifs informationnels. Un SMSI utilise une approche systmatique visant
tablir, mettre en uvre, exploiter, surveiller, rexaminer, maintenir et amliorer la scurit de

ISO/IEC 2016 Tous droits rservs 15


ISO/IEC 27000:2016(F)

linformation dun organisme afin que celui-ci atteigne ses objectifs mtier. Cette approche se fonde sur
lapprciation du risque et sur les niveaux dacceptation du risque dfinis par lorganisme pour traiter
et grer efficacement les risques. Lanalyse des exigences de protection des actifs informationnels
et lapplication des mesures appropries pour assurer comme il se doit la protection de ces actifs,
contribuent la russite de la mise en uvre dun SMSI. Les principes essentiels suivants y contribuent
galement:
a) la sensibilisation la scurit de linformation;
b) lattribution des responsabilits lies la scurit de linformation;
c) la prise en compte de lengagement de la direction et des intrts des parties prenantes;
d) la consolidation des valeurs socitales;
e) les apprciations du risque dterminant les mesures de scurit appropries pour arriver des
niveaux de risque acceptables;
f) lintgration de la scurit comme lment essentiel des systmes et des rseaux dinformation;
g) la prvention et la dtection actives des incidents lis la scurit de linformation;
h) ladoption dune approche globale du management de la scurit de linformation;
i) le rexamen continu de lapprciation de la scurit de linformation et la mise en uvre de
modifications le cas chant.

3.2.2 Linformation

Linformation est un actif qui, comme tous les autres actifs importants de lorganisme, est essentiel son
fonctionnement et qui, par consquent, requiert une protection adquate. Elle peut tre stocke sous
diffrentes formes, notamment numrique (par exemple: des fichiers de donnes stocks sur un support
lectronique ou optique), matrielle (par exemple: sur papier) ou en tant quinformation intangible (par
exemple: les connaissances des salaris). Linformation peut tre transmise par diffrents moyens,
notamment par courrier ou dans le cadre de communications lectroniques ou verbales. Quelle que
soit la forme que prend linformation ou quel que soit son vecteur de transmission, elle requiert une
protection approprie.
Dans de nombreux organismes, linformation dpend des technologies de linformation et des
communications. Ces technologies reprsentent souvent un lment essentiel dans lorganisme et
elles facilitent la cration, le traitement, le stockage, la transmission, la protection et la destruction de
linformation.

3.2.3 Scurit de linformation

La scurit de linformation garantit la confidentialit, la disponibilit et lintgrit de linformation.


Afin de contribuer au succs de lorganisme et sa prennit, et de rduire le plus possible limpact
des incidents lis la scurit de linformation, la scurit de linformation implique lapplication et
le management de mesures de scurit appropries, ce qui sous-entend la prise en compte dun vaste
ventail de menaces.
La scurit de linformation sobtient par la mise en uvre dun ensemble de mesures de scurit
applicables, slectionnes au moyen dun processus dtermin de management du risque et gres
laide dun SMSI contenant les politiques, processus, procdures, structures organisationnelles, logiciels
et matriels permettant de protger les actifs informationnels identifis. Ces mesures doivent tre
spcifies, mises en uvre, surveilles, rexamines et amliores, si ncessaire, pour sassurer quelles
rpondent aux objectifs mtier et scurit de linformation spcifiques de lorganisme. Il est attendu
que les mesures pertinentes de scurit de linformation sintgrent parfaitement aux processus mtier
de lorganisme.

16 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

3.2.4 Management

Le management implique des activits de pilotage, de contrle et damlioration continue de lorganisme


dans des structures appropries. Les activits de management incluent les actions, la manire ou les
pratiques instaures pour organiser, prendre en charge, diriger, superviser et contrler les ressources.
Les structures de management peuvent aller dune personne dans un petit organisme des hirarchies
de management composes dun grand nombre de personnes dans les grands organismes.
Au sens dun SMSI, le management implique la supervision et la prise de dcisions ncessaires
latteinte des objectifs mtier par le biais de la protection des actifs informationnels de lorganisme.
Le management de la scurit de linformation sexprime au travers de la formulation et de lutilisation
de politiques, de procdures et de lignes directrices relatives la scurit de linformation, qui sont
ensuite appliques tous les niveaux de lorganisme par toutes les personnes qui y sont associes.

3.2.5 Systme de management

Un systme de management utilise un cadre de rfrence permettant un organisme datteindre ses


objectifs. Il comprend la structure organisationnelle, les politiques, les activits de planification, les
responsabilits, les pratiques, les procdures, les processus et les ressources.
En termes de scurit de linformation, un systme de management permet un organisme:
a) de satisfaire aux exigences en matire de scurit de linformation des clients et des autres parties
prenantes;
b) damliorer les plans et les activits dun organisme;
c) de rpondre aux objectifs de scurit de linformation de lorganisme;
d) de se conformer aux rglementations, la lgislation et aux autorits sectorielles; et
e) de grer les actifs informationnels dune manire organise qui facilite lamlioration et lajustement
continus aux objectifs actuels de lorganisme.

3.3 Approche processus


Pour fonctionner de manire efficace et efficiente, les organismes doivent identifier et grer de
nombreuses activits. Toute activit qui utilise des ressources doit tre gre pour permettre la
transformation dlments dentre en lments de sortie laide dun ensemble dactivits corrles ou
interactives. Ce type dactivit est galement connu sous le nom de processus. Les lments de sortie
dun processus peuvent tre utiliss en tant qulments dentre dun autre processus et, gnralement,
cette transformation sopre dans des conditions planifies et matrises. Lapproche processus peut
dsigner lapplication dun systme de processus au sein dun organisme, ainsi que lidentification, les
interactions et le management de ces processus.

3.4 Raisons expliquant pourquoi un SMSI est important


Il est ncessaire de traiter les risques associs aux actifs informationnels dun organisme. Mener bien
la scurit de linformation requiert un management du risque et englobe les risques qui dcoulent des
menaces physiques, humaines et technologiques associes aux informations sous toutes leurs formes,
au sein de lorganisme ou utilises par lorganisme.
Pour un organisme, ladoption dun SMSI est, en principe, une dcision stratgique et il est ncessaire
que cette dcision soit intgre sans heurts, dimensionne et actualise en fonction des besoins de
lorganisme.
La conception et la mise en uvre du SMSI dun organisme sont influences par les besoins et les
objectifs de lorganisme, les exigences de scurit, les processus mis en uvre, ainsi que par la taille
et la structure de lorganisme. La conception et la mise en uvre dun SMSI doivent correspondre aux
intrts et aux exigences en matire de scurit de linformation de toutes les parties prenantes de

ISO/IEC 2016 Tous droits rservs 17


ISO/IEC 27000:2016(F)

lorganisme, y compris les clients, les fournisseurs, les partenaires commerciaux, les actionnaires et
toutes les autres tierces parties concernes.
Dans un monde interconnect, linformation et les processus, systmes et rseaux qui sy rapportent
constituent des actifs critiques de lorganisme. Les organismes et leurs systmes et rseaux
dinformations sont confronts des menaces pour la scurit dont les origines sont trs varies: fraude
assiste par ordinateur, espionnage, sabotage, vandalisme, incendies ou inondations, par exemple. Les
dommages causs aux systmes et aux rseaux dinformation par des programmes malveillants, le
piratage informatique et des attaques de type Refus de service sont de plus en plus courants, ambitieux
et sophistiqus.
Le SMSI est important autant pour les activits du secteur public que pour celles du secteur priv. Dans
toutes les branches dactivit, le SMSI est un instrument qui favorise le commerce lectronique et qui
savre essentiel aux activits de management du risque. Linterconnexion des rseaux publics et privs
et le partage des actifs informationnels augmentent les difficults lies au traitement de linformation
et au contrle de son accs. En outre, la distribution de dispositifs de stockage mobiles contenant des
actifs informationnels peut affaiblir lefficacit des mesures de scurit traditionnelles. Quand des
organismes adoptent la famille de normes du SMSI, il est possible de dmontrer leurs partenaires et
aux autres parties intresses que lapplication de principes de scurit de linformation cohrents et
mutuellement reconnaissables est possible.
La scurit de linformation nest pas toujours prise en compte lors de la conception et de llaboration
des systmes dinformation. En outre, elle est souvent envisage comme une solution technique.
Pourtant, la scurit de linformation qui peut tre assure par des moyens techniques est limite et
elle peut savrer inefficace sans laide dun management et de procdures appropris dfinis dans le
contexte dun SMSI. Lintgration aprs coup de la scurit un systme dinformation oprationnel
peut savrer difficile et coteuse. Un SMSI implique une identification des mesures de scurit mises
en place et exige une planification soigne et une grande attention porte aux dtails. titre dexemple,
les contrles daccs, qui peuvent tre techniques (logiques), physiques, administratifs (managriaux)
ou consister en une combinaison de ces diffrents types de contrle, permettent de sassurer que laccs
aux actifs informationnels est autoris et limit conformment aux exigences lies lactivit et la
scurit de linformation.
Ladoption dun SMSI est un lment important de la protection des actifs informationnels qui permet
un organisme:
a) de conforter son assurance concernant la protection correcte des actifs informationnels contre les
menaces et la permanence de cette protection;
b) de maintenir un cadre de rfrence structur et exhaustif visant identifier et apprcier les
risques lis la scurit de linformation, par le choix et la mise en uvre des mesures de scurit
appropries et par la mesure et lamlioration de leur efficacit;
c) damliorer continuellement son environnement de contrle; et
d) de remplir ses obligations lgales et garantir sa conformit rglementaire de manire efficace.

3.5 tablissement, surveillance, maintenance et amlioration dun SMSI

3.5.1 Vue densemble

Un organisme doit suivre les tapes suivantes pour tablir, surveiller, maintenir et amliorer son SMSI:
a) identifier les actifs informationnels et les exigences de scurit de linformation associes
(voir3.5.2);
b) apprcier les risques lis la scurit de linformation (voir 3.5.3) et traiter les risques lis la
scurit de linformation (voir 3.5.4);

18 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

c) slectionner et mettre en uvre les mesures de scurit pertinentes pour grer les risques
inacceptables (voir 3.5.5);
d) surveiller, mettre jour et amliorer lefficacit des mesures de scurit associes aux actifs
informationnels de lorganisme (voir 3.5.6).
Pour sassurer que le SMSI protge efficacement et sans interruption les actifs informationnels de
lorganisme, il est ncessaire de rpter en boucle les tapes (a) (d) afin didentifier les changements
qui affectent les risques, les stratgies de lorganisme ou ses objectifs mtier.

3.5.2 Identifier les exigences lies la scurit de linformation

Dans le cadre de la stratgie globale et des objectifs mtier de lorganisme, de sa taille et de son extension
gographique, les exigences de scurit de linformation peuvent tre identifies par la comprhension
des lments suivants:
a) actifs informationnels identifis et la valeur associe;
b) besoins mtier de lorganisme en traitement, stockage et communication de linformation;
c) exigences lgales, rglementaires et contractuelles.
Pour valuer de manire mthodique les risques associs aux actifs informationnels de lorganisme,
il est ncessaire danalyser les menaces qui psent sur les actifs informationnels, les vulnrabilits
une menace sur les actifs informationnels et la vraisemblance dune telle menace, ainsi que limpact
potentiel dun ventuel incident li la scurit de linformation sur les actifs informationnels. Les
dpenses consacres aux mesures de scurit doivent, en principe, tre proportionnelles limpact de
la concrtisation du risque tel quil est peru par lorganisme.

3.5.3 Apprcier les risques lis la scurit de linformation

La gestion des risques lis la scurit de linformation exige une mthode correcte dapprciation et de
traitement du risque qui peut inclure une estimation des cots et des bnfices, des exigences lgales,
des proccupations des parties prenantes et dautres donnes et variables, si ncessaire.
Il convient que lapprciation du risque identifie, quantifie et hirarchise les risques par rapport
des critres dacceptation du risque et des objectifs pertinents pour lorganisme. Il convient que les
rsultats ainsi obtenus guident la direction dans son action et dans ltablissement de ses priorits en
matire de management des risques lis la scurit de linformation et de mise en uvre des mesures
de scurit slectionnes pour assurer une protection contre ces risques.
Il convient que lapprciation du risque intgre lapproche systmatique consistant estimer
limportance des risques (analyse du risque) et le processus consistant comparer les risques estims
des critres de risque afin de dterminer limportance des risques (valuation du risque).
Il convient de raliser priodiquement des apprciations du risque afin de tenir compte de lvolution des
exigences en matire de scurit de linformation et lvolution de la situation du risque (par exemple:
au niveau des actifs, des menaces, des vulnrabilits, des impacts, de lvaluation du risque), et chaque
changement important. Il convient de mettre en uvre ces apprciations du risque en procdant dune
manire mthodique qui permette de produire des rsultats comparables et reproductibles.
Pour tre efficace, il convient de dfinir clairement ltendue de lapprciation du risque li la scurit
de linformation et dy inclure des relations avec des apprciations du risque portant sur dautres points,
le cas chant.
LISO/IEC 27005 contient des prconisations relatives au management du risque li la scurit
de linformation et des conseils sur lapprciation, le traitement, lacceptation, la surveillance, la
revue du risque et la cration de rapports concernant celui-ci. Elle donne galement des exemples de
mthodologies dapprciation du risque.

ISO/IEC 2016 Tous droits rservs 19


ISO/IEC 27000:2016(F)

3.5.4 Traiter les risques lis la scurit de linformation

Avant denvisager le traitement dun risque, il convient que lorganisme dfinisse des critres afin de
dterminer si tel ou tel risque peut tre accept. Un risque peut tre accept, par exemple, si lon estime
quil est faible ou que son traitement ne sera pas rentable pour lorganisme. Il convient de consigner ces
dcisions.
Suite lapprciation des risques, il est ncessaire de prendre une dcision concernant le traitement
de chacun des risques identifis. Voici quelques exemples doptions possibles en matire de traitement
du risque:
a) lapplication de mesures de scurit appropries pour rduire les risques;
b) lacceptation dlibre et objective des risques, condition quils satisfassent clairement la
politique et aux critres dfinis par lorganisme en matire dacceptation du risque;
c) le refus des risques par linterdiction des actions susceptibles de les provoquer;
d) le partage des risques associs avec dautres parties (par exemple: les assureurs ou les fournisseurs).
Pour les risques quil a t dcid de traiter par lapplication de mesures de scurit appropries, il
convient de slectionner et de mettre en uvre ces mesures.

3.5.5 Slectionner et mettre en uvre les mesures de scurit

Une fois que les exigences de scurit de linformation ont t identifies (voir 3.5.2), que les risques
lis la scurit des actifs informationnels identifis ont t dtermins et apprcis (voir 3.5.3) et
que les dcisions concernant le traitement des risques lis la scurit de linformation ont t prises
(voir 3.5.4), la slection et la mise en uvre des mesures de scurit appropries pour rduire les
risques sappliquent.
Il convient que ces mesures de scurit permettent de ramener les risques un seuil acceptable en
prenant en compte:
a) les exigences et les contraintes de la lgislation et des rglementations nationales et internationales;
b) les objectifs de lorganisme;
c) les exigences et les contraintes dexploitation;
d) le cot de mise en uvre et dexploitation par rapport la rduction effective des risques, et
proportionnellement aux exigences et aux contraintes de lorganisme;
e) leurs objectifs en matire de mise en uvre, de surveillance et damlioration de lefficience et
lefficacit des mesures de scurit de linformation afin de soutenir les objectifs de lorganisme.
Pour mieux rpondre aux exigences de conformit, il convient de documenter la slection et la mise
en uvre des mesures de scurit dans une dclaration dapplicabilit;
f) la ncessit dquilibrer linvestissement consenti pour la mise en uvre et lexploitation des
mesures de scurit, au regard des pertes susceptibles dtre occasionnes par des incidents lis
la scurit de linformation.
Les mesures de scurit spcifies dans lISO/IEC27002 sont reconnues comme de bonnes pratiques
applicables la plupart des organismes et facilement adaptables aux diverses envergures et complexits
des organismes. Dautres normes de la famille de normes du SMSI fournissent des prconisations sur la
slection et lapplication des mesures de scurit de lISO/IEC27002 pour le systme de management de
la scurit de linformation.
Il convient denvisager les mesures de scurit de linformation au stade de conception et de spcification
des exigences relatives aux systmes et aux projets. Tout manquement cette recommandation peut
engendrer des cots supplmentaires et conduire des solutions moins efficaces voire, dans le pire des
cas, une incapacit assurer la scurit adquate. Les mesures de scurit peuvent tre slectionnes

20 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

dans lISO/IEC27002 ou dans dautres ensembles de mesures. De nouvelles mesures de scurit


correspondant aux besoins spcifiques de lorganisme peuvent galement tre dfinies. Il est ncessaire
de reconnatre que certaines mesures de scurit peuvent ne pas tre applicables tous les systmes
dinformation ni tous les environnements, ni tre ralisables pour tous les organismes.
La mise en uvre dun ensemble de mesures de scurit choisi prend parfois du temps et, pendant cette
priode, le niveau de risque peut tre plus lev que ce qui est tolrable long terme. Il convient que les
critres de risque couvrent la tolrabilit des risques court terme, le temps de mettre en uvre les
mesures de scurit. Il convient que les parties intresses soient tenues rgulirement informes des
niveaux de risque estims ou attendus pendant la mise en uvre progressive des mesures de scurit.
Il convient de garder lesprit quaucun ensemble de mesures de scurit ne peut assurer la scurit
complte de linformation. Il convient que la direction mette en uvre dautres actions afin de surveiller,
dvaluer et damliorer lefficience et lefficacit des mesures de scurit de linformation, pour soutenir
les objectifs de lorganisme.
Pour mieux rpondre aux exigences de conformit, il convient de documenter la slection et la mise en
uvre des mesures de scurit dans une dclaration dapplicabilit.

3.5.6 Surveiller, mettre jour et amliorer lefficacit du SMSI

Tout organisme doit maintenir et amliorer son SMSI en surveillant et apprciant ses performances par
rapport ses politiques et ses objectifs, ainsi quen soumettant ses rsultats la direction des fins
de vrification. Cette procdure va permettre de contrler que le SMSI contient des mesures de scurit
permettant de traiter les risques appartenant au domaine dapplication du SMSI. En outre, elle va
permettre dapporter la preuve de la vrification et de la traabilit des actions correctives, prventives
et damlioration en se fondant sur les enregistrements de ces points de surveillance.

3.5.7 Amlioration continue

Le but de lamlioration continue dun SMSI est daugmenter la probabilit de raliser des objectifs
en matire de prservation de la confidentialit, de disponibilit et dintgrit de linformation.
Lamlioration continue est centre sur la recherche de possibilits damlioration, sans partir du
principe que les activits de management existantes sont suffisantes, ou aussi appropries que possible.
Voici quelques exemples de ces actions:
a) lanalyse et lvaluation de la situation existante pour identifier des domaines damlioration;
b) ltablissement des objectifs damlioration;
c) la recherche de solutions possibles pour atteindre ces objectifs;
d) lvaluation de ces solutions et la ralisation dune slection;
e) la mise en uvre de la solution choisie;
f) le mesurage, la vrification, lanalyse et lvaluation des rsultats de la mise en uvre pour
dterminer si les objectifs ont t atteints;
g) lofficialisation des modifications.
Si ncessaire, les rsultats sont tudis afin didentifier dautres opportunits damlioration. Dans
cette optique, lamlioration est une activit continue, ce qui signifie que les actions sont rptes
frquemment. Les retours dinformation des clients et des autres parties intresses, les audits et la
revue du systme de management de la scurit de linformation peuvent galement tre utiliss pour
identifier des opportunits damlioration.

ISO/IEC 2016 Tous droits rservs 21


ISO/IEC 27000:2016(F)

3.6 Facteurs critiques de succs du SMSI


De nombreux facteurs sont essentiels pour russir la mise en uvre dun SMSI permettant un
organisme de rpondre ses objectifs mtier. Voici quelques exemples de facteurs critiques de succs:
a) une politique, des objectifs et des activits de scurit de linformation en phase avec les objectifs
de lorganisme;
b) une approche et un cadre pour la conception, la mise en uvre, la surveillance, le maintien et
lamlioration de la scurit de linformation, cohrents avec la culture de lorganisme;
c) une adhsion et un engagement visibles tous les niveaux du management, notamment au niveau
de la direction;
d) une comprhension des exigences de protection des actifs informationnels via lapplication de
mesures de management du risque li la scurit de linformation (voir ISO/IEC27005);
e) un programme efficace de sensibilisation, de formation et dducation la scurit de linformation,
qui informe tous les salaris et autres parties concernes de leurs obligations en matire de
scurit de linformation, telles quelles sont dtailles dans les politiques, normes, etc. en matire
de scurit de linformation, et qui les motive agir en consquence;
f) un processus efficace de gestion des incidents lis la scurit de linformation;
g) une approche efficace de management de la continuit de lactivit;
h) un systme de mesurage utilis pour valuer la performance du management de la scurit de
linformation et des suggestions damlioration issues des retours dinformation.
Un SMSI augmente la probabilit de voir un organisme runir de faon cohrente les facteurs critiques
de succs ncessaires la protection de ses actifs informationnels.

3.7 Avantages de la famille de normes du SMSI


Les avantages de la mise en uvre dun SMSI dcoulent principalement dune rduction des risques lis
la scurit de linformation ( savoir la rduction de la probabilit et/ou de limpact des incidents lis
la scurit de linformation). Plus prcisment, les avantages proposs pour permettre un organisme
de bnficier dune russite durable suite ladoption de la famille de normes du SMSI comprennent:
a) une mthode structure soutenant le processus de dfinition, de mise en uvre, dexploitation et
de maintenance dun SMSI intgr et align, valeur ajoute, exhaustif et rentable, qui rponde aux
besoins de lorganisme sur diffrents sites et modes de fonctionnement;
b) une aide la direction permettant de grer et dexploiter de faon cohrente et responsable
lapproche du management de la scurit de linformation, dans le contexte de gouvernance et
de management des risques de lentreprise, comprenant des actions dducation et de formation
sur le management global de la scurit de linformation, destines aux responsables mtier et
propritaires systme;
c) la promotion de bonnes pratiques de scurit de linformation admises dans le monde entier, de
faon non dogmatique, qui donnent aux organismes la latitude ncessaire pour adopter et amliorer
les mesures de scurit appropries qui conviennent leurs situations spcifiques et pour les
mettre jour face aux changements internes et externes;
d) la mise disposition dun langage et de fondements conceptuels communs de scurit de
linformation, qui favorisent la confiance envers les partenaires commerciaux qui possdent un
SMSI conforme, en particulier sils sollicitent la certification selon lISO/IEC 27001 auprs dun
organisme de certification accrdit;
e) le renforcement de la confiance accorde lorganisme par les parties prenantes;
f) la satisfaction des attentes et besoins socitaux;

22 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

g) une gestion conomique plus efficace des investissements dans le domaine de la scurit de
linformation.

4 La famille de normes du SMSI

4.1 Information gnrales


La famille de normes du SMSI se compose de normes interdpendantes, dj publies ou en
cours dlaboration, et comporte un certain nombre de composantes structurelles importantes.
Ces composantes sarticulent autour de normes directives qui dcrivent les exigences du
SMSI(ISO/IEC27001), les exigences des organismes de certification (ISO/IEC27006) pour les entits en
charge de la certification de la conformit lISO/IEC27001, et le cadre des exigences supplmentaires
pour les mises en uvre du SMSI propres des secteurs particuliers (ISO/IEC27009). Dautres normes
fournissent des prconisations sur divers aspects de la mise en uvre dun SMSI, avec un processus
gnrique ainsi que des prconisations spcifiques un secteur.
Les relations au sein de la famille de normes du SMSI sont illustres la Figure1.

Figure1 Relations au sein de la famille de normes du SMSI

a) Chacune des normes de la famille du SMSI est dcrite ci-dessous daprs son type (ou son rle)
au sein de la famille de normes du SMSI et daprs son numro de rfrence. Les paragraphes
applicables sont les suivants: Normes donnant une vue densemble et dcrivant la terminologie
(voir4.2);
b) Normes spcifiant des exigences (voir4.3);
c) Normes dcrivant des lignes directrices gnrales (voir4.4); ou
d) Normes dcrivant des lignes directrices propres un secteur (voir4.5).

ISO/IEC 2016 Tous droits rservs 23


ISO/IEC 27000:2016(F)

4.2 Normes donnant une vue densemble et dcrivant la terminologie

4.2.1 ISO/IEC27000 (la prsente Norme internationale)

Technologies de linformation Techniques de scurit Systmes de management de la scurit de


linformation Vue densemble et vocabulaire
Domaine dapplication: La prsente Norme internationale fournit aux organismes et aux personnes:
a) une vue densemble de la famille de normes du SMSI;
b) une introduction aux systmes de management de la scurit de linformation; et
c) les termes et les dfinitions utiliss dans la famille de normes du SMSI.
Objectif: La prsente Norme internationale dcrit les principes essentiels des systmes de management
de la scurit de linformation, qui constituent lobjet de la famille de normes du SMSI, et dfinit les
termes qui sy rapportent.

4.3 Normes spcifiant des exigences

4.3.1 ISO/IEC27001

Technologies de linformation Techniques de scurit Systmes de management de la scurit de


linformation Exigences
Domaine dapplication: Cette Norme internationale spcifie les exigences relatives ltablissement,
la mise en uvre, lexploitation, la surveillance, la revue, la maintenance et lamlioration
des systmes de management de la scurit de linformation (SMSI) formaliss, dans le contexte des
risques globaux lis lactivit de lorganisme. Elle spcifie les exigences relatives la mise en uvre
de mesures de scurit de linformation adaptes aux besoins de chaque organisme ou de ses parties
constitutives. Cette Norme internationale peut tre utilise par tous les organismes, quels que soient
leur type, leur taille et leur nature.
Objectif: LISO/IEC27001 fournit des exigences normatives relatives llaboration et lexploitation
dun SMSI, y compris un ensemble de mesures de scurit destines la matrise et lattnuation des
risques associs aux actifs informationnels que lorganisme cherche protger en mettant en uvre
sonSMSI. Les organismes qui exploitent un SMSI peuvent faire auditer et certifier sa conformit. Les
objectifs et mesures de scurit dfinis dans lISO/IEC27001, AnnexeA doivent tre slectionns, en
fonction des besoins, dans le cadre de ce processus de SMSI, pour satisfaire aux exigences identifies. Les
objectifs et mesures de scurit rpertoris dans lISO/IEC27001, TableauA.1 dcoulent directement
de ceux qui sont rpertoris dans lISO/IEC27002, Articles5 18, avec lesquels ils sont en adquation.

4.3.2 ISO/IEC27006

Technologies de linformation Techniques de scurit Exigences pour les organismes procdant


laudit et la certification des systmes de management de la scurit de linformation
Domaine dapplication: Cette Norme internationale spcifie des exigences et fournit des prconisations
pour les organismes procdant laudit et la certification de SMSI conformment lISO/IEC27001, en
plus des exigences figurant dans lISO/IEC17021. Elle a pour principal objet de faciliter laccrditation
des organismes de certification qui procdent la certification de SMSI selon lISO/IEC27001.
Objectif: LISO/IEC 27006 complte lISO/IEC 17021 en dfinissant les exigences permettant aux
organismes de certification dobtenir une accrditation et en les autorisant ainsi dlivrer des
certifications de conformit satisfaisant aux exigences stipules dans lISO/IEC27001.

24 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

4.4 Normes dcrivant des lignes directrices gnrales

4.4.1 ISO/IEC27002

Technologies de linformation Techniques de scurit Code de bonnes pratiques pour le management


de la scurit de linformation
Domaine dapplication: Cette Norme internationale fournit une liste dobjectifs de mesures de scurit
communment accepts et de mesures de scurit issues des bonnes pratiques utiliser comme
prconisations lors de la slection et de la mise en uvre des mesures de scurit destines assurer la
scurit de linformation.
Objectif: LISO/IEC27002 fournit des prconisations pour la mise en uvre des mesures de scurit de
linformation. Les Articles5 18, en particulier, fournissent des recommandations de mise en uvre
et des prconisations relatives aux bonnes pratiques qui accompagnent les mesures spcifies dans
lISO/IEC27001, A.5 A.18.

4.4.2 ISO/IEC27003

Technologies de linformation Techniques de scurit Lignes directrices pour la mise en uvre du


systme de management de la scurit de linformation
Domaine dapplication: Cette Norme internationale fournit des prconisations pratiques de mise
en uvre et apporte des informations complmentaires pour ltablissement, la mise en uvre,
lexploitation, la surveillance, la revue, la maintenance et lamlioration dun SMSI selon lISO/IEC27001.
Objectif: LISO/IEC27003 fournit une approche oriente processus pour la russite de la mise en uvre
dun SMSI conformment lISO/IEC27001.

4.4.3 ISO/IEC27004

Technologies de linformation Techniques de scurit Management de la scurit de linformation


Mesurage
Domaine dapplication: Cette Norme internationale fournit des prconisations et des conseils sur
llaboration et lutilisation de mesurages permettant dapprcier lefficacit du SMSI, des objectifs de
mesure de scurit et des mesures de scurit utiliss pour mettre en uvre et grer la scurit de
linformation, conformment aux spcifications de lISO/IEC27001.
Objectif: LISO/IEC27004 fournit un cadre de mesurage qui permet dapprcier lefficacit du SMSI
mesurer selon lISO/IEC27001.

4.4.4 ISO/IEC27005

Technologies de linformation Techniques de scurit Gestion des risques lis la scurit de


linformation
Domaine dapplication: Cette Norme internationale fournit des lignes directrices pour la gestion des
risques lis la scurit de linformation. Lapproche dcrite dans cette Norme internationale vient
tayer les concepts gnraux noncs dans lISO/IEC27001.
Objectif: LISO/IEC27005 fournit des prconisations pour la mise en uvre dune approche de gestion
des risques oriente processus afin daider la bonne mise en uvre et la satisfaction des exigences
de gestion des risques lis la scurit de linformation de lISO/IEC27001.

4.4.5 ISO/IEC27007

Technologies de linformation Techniques de scurit Lignes directrices pour laudit des systmes de
management de la scurit de linformation

ISO/IEC 2016 Tous droits rservs 25


ISO/IEC 27000:2016(F)

Domaine dapplication: Cette Norme internationale fournit des prconisations sur la ralisation
des audits de SMSI, ainsi que des lignes directrices sur les comptences des auditeurs de systmes
de management de la scurit de linformation, en complment des lignes directrices figurant
danslISO19011,qui sont applicables aux systmes de management en gnral.
Objectif: LISO/IEC27007 fournit des prconisations aux organismes qui doivent effectuer des audits
internes ou externes sur un SMSI ou grer un programme daudit de SMSI conformment aux exigences
spcifies dans lISO/IEC27001.

4.4.6 ISO/IEC/TR27008

Technologies de linformation Techniques de scurit Lignes directrices pour les auditeurs des
contrles de scurit de linformation
Domaine dapplication: Ce Rapport technique fournit des prconisations pour la revue de la mise en
uvre et de lexploitation des mesures de scurit, y compris le contrle de la conformit technique des
mesures de scurit en place dans les systmes dinformation, conformment aux normes de scurit
de linformation tablies dun organisme.
Objectif: Ce Rapport technique met laccent sur les revues des mesures de scurit de linformation, y
compris le contrle de leur conformit technique, par rapport une norme relative la mise en uvre
de la scurit de linformation, tablie par lorganisme. Il na pas pour objet de fournir des prconisations
spcifiques sur le contrle de la conformit en ce qui concerne le mesurage, lapprciation du risque
ou laudit dun SMSI tels que spcifis dans lISO/IEC 27004, lISO/IEC 27005 ou lISO/IEC 27007,
respectivement. Ce Rapport technique nest pas destin laudit des systmes de management.

4.4.7 ISO/IEC27013

Technologies de linformation Techniques de scurit Guide sur la mise en uvre intgre de


lISO/IEC27001 et ISO/IEC20000-1
Domaine dapplication: Cette Norme internationale fournit des prconisations relatives la mise en
uvre intgre de lISO/IEC27001 et de lISO/IEC20000-1 aux organismes qui souhaitent:
a) mettre en uvre lISO/IEC27001 alors quils ont dj adopt lISO/IEC20000-1 et vice-versa;
b) mettre en uvre lISO/IEC27001 et lISO/IEC20000-1 simultanment;
c) intgrer les systmes de management existants de lISO/IEC27001 et de lISO/IEC20000-1.
Cette Norme internationale se concentre exclusivement sur la mise en uvre intgre dun systme de
management de la scurit de linformation(SMSI) tel que spcifi dans lISO/IEC27001 et dun systme
de management des services(SMS) tel que spcifi dans lISO/IEC20000-1.
Objectif: Permettre aux organismes de mieux comprendre les caractristiques, les ressemblances et
les diffrences de lISO/IEC27001 et de lISO/IEC20000-1 afin de faciliter la planification dun systme
de management intgr, conforme ces deux Normes internationales.

4.4.8 ISO/IEC27014

Technologies de linformation Techniques de scurit Gouvernance de la scurit de linformation


Domaine dapplication: Cette Norme internationale fournit des prconisations sur des principes et
des processus de gouvernance de la scurit de linformation grce auxquels les organismes peuvent
valuer, diriger et surveiller le management de la scurit de linformation.
Objectif: La scurit de linformation reprsente aujourdhui un enjeu majeur pour les organismes.
Ceux-ci ne sont pas seulement confronts des exigences rglementaires toujours plus nombreuses, ils
savent galement que lchec des mesures de scurit de linformation quils mettent en place peut avoir
un impact direct sur leur rputation. Cest pourquoi les instances dirigeantes, dans le cadre de leurs

26 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

responsabilits en matire de gouvernance, doivent de plus en plus souvent superviser la scurit de


linformation afin dassurer latteinte des objectifs de lorganisme.

4.4.9 ISO/IEC/TR27016

Technologies de linformation Techniques de scurit Management de la scurit de linformation


conomie organisationnelle
Domaine dapplication: Ce Rapport technique fournit une mthodologie qui permet aux organismes
de mieux comprendre, dun point de vue conomique, comment valuer avec plus de prcision les actifs
informationnels identifis, valuer les risques pesant potentiellement sur ces actifs informationnels,
apprcier la valeur apporte par les mesures de protection de linformation ces actifs informationnels
et dterminer le niveau optimal de ressources mettre en uvre pour assurer la scurit de ces actifs
informationnels.
Objectif: Ce Rapport technique vient complter la famille de normes du SMSI en ajoutant un point de
vue conomique la protection des actifs informationnels dun organisme dans le contexte plus gnral
de lenvironnement socital dans lequel il volue, et en fournissant des lignes directrices concernant la
manire dappliquer lconomie organisationnelle de la scurit de linformation par le biais de modles
et dexemples.

4.5 Normes dcrivant des lignes directrices propres un secteur

4.5.1 ISO/IEC27010

Technologies de linformation Techniques de scurit Gestion de la scurit de linformation des


communications intersectorielles et interorganisationnelles
Domaine dapplication: Cette Norme internationale fournit des lignes directrices qui viennent
complter les prconisations donnes dans la famille de normes ISO/IEC27000 en ce qui concerne la
mise en uvre du management de la scurit de linformation au sein des communauts de partage
dinformations. Elle fournit, en outre, des mesures de scurit et des prconisations portant plus
prcisment sur la mise en place, la mise en uvre, le maintien et lamlioration de la scurit de
linformation dans les communications interorganisationnelles et intersectorielles.
Objectif: Cette Norme internationale est applicable toutes les formes dchange et de partage
dinformations sensibles, prives et publiques, sur le plan national et international, au sein dune mme
branche dactivit/dun mme secteur de march ou entre un secteur et un autre. Elle peut en particulier
sappliquer aux changes et aux partages dinformations se rapportant la fourniture, la maintenance
et la protection de linfrastructure critique dun organisme ou dun tat-nation.

4.5.2 ISO/IEC27011

Technologies de linformation Techniques de scurit Lignes directrices du management de la scurit


de linformation pour les organismes de tlcommunications sur la base de lISO/IEC27002
Domaine dapplication: Cette Norme internationale fournit des lignes directrices relatives la mise en
uvre des mesures de scurit de linformation dans les organismes de tlcommunications.
Objectif: LISO/IEC27011 permet aux organismes de tlcommunications de satisfaire aux exigences
de rfrence de management de la scurit de linformation concernant la confidentialit, lintgrit, la
disponibilit et toute autre proprit de scurit pertinente.

4.5.3 ISO/IEC/TR27015

Technologies de linformation Techniques de scurit Lignes directrices pour le management de la


scurit de linformation pour les services financiers

ISO/IEC 2016 Tous droits rservs 27


ISO/IEC 27000:2016(F)

Domaine dapplication: Ce Rapport technique fournit des lignes directrices qui compltent les
prconisations contenues dans la famille de normes ISO/IEC27000 et relatives la mise en place,
la mise en uvre, au maintien et lamlioration de la scurit de linformation dans les organismes
proposant des services financiers.
Objectif: Ce Rapport technique est un supplment spcialis de lISO/IEC27001 et de lISO/IEC27002.
Il est destin tre utilis par les organismes proposant des services financiers dans le cadre des
activits suivantes:
a) mise en place, mise en uvre, maintenance et amlioration dun systme de management de la
scurit de linformation fond sur lISO/IEC27001;
b) conception et mise en uvre des mesures de scurit dfinies dans lISO/IEC 27002 ou dans la
prsente Norme internationale.

4.5.4 ISO/IEC27017

Technologies de linformation Techniques de scurit Code de bonnes pratiques pour les contrles de
scurit de linformation fonds sur lISO/IEC27002 pour les services du nuage
Domaine dapplication: LISO/IEC 27017 contient des lignes directrices relatives aux mesures de
scurit de linformation applicables la prestation et lutilisation de services dinformatique en
nuage, par exemple:
des prconisations supplmentaires concernant la mise en uvre des mesures de scurit
pertinentes spcifies dans lISO/IEC27002;
des mesures de scurit supplmentaires et des prconisations de mise en uvre spcifiquement
lis aux services dinformatique en nuage.
Objectif: Cette Norme internationale fournit des prconisations concernant les mesures de scurit et
la mise en uvre destines aux prestataires de services dinformatique en nuage et leurs clients.

4.5.5 ISO/IEC27018

Technologies de linformation Techniques de scurit Code de bonnes pratiques pour la protection


des informations personnelles identifiables (PII) dans linformatique en nuage public agissant comme
processeur de PII
Domaine dapplication: LISO/IEC27018 tablit des objectifs de mesure de scurit communment
accepts, des mesures de scurit et des lignes directrices de mise en uvre de mesures destines
protger les informations personnelles identifiables(PII) conformment aux principes de respect de la
vie prive de lISO/IEC29100 pour lenvironnement informatique en nuage public.
Objectif: Cette Norme internationale sapplique aux organismes, y compris les socits publiques et
prives, les entits gouvernementales et les organismes but non lucratif, qui offrent des services de
traitement de linformation en tant que processeurs de PII via linformatique en nuage sous contrat
auprs dautres organismes. Les lignes directrices de cette Norme internationale peuvent galement
sappliquer aux organismes agissant en tant que contrleurs de PII; toutefois, ces contrleurs peuvent
tre soumis une lgislation, des rglements et des obligations supplmentaires en matire de
protection des PII qui ne sappliquent pas aux processeurs de PII, et ceux-ci ne sont pas couverts dans
cette Norme internationale.

4.5.6 ISO/IEC/TR27019

Technologies de linformation Techniques de scurit Lignes directrices de management de la scurit


de linformation fondes sur lISO/IEC27002 pour les systmes de contrle des processus spcifiques
lindustrie de lnergie

28 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

Domaine dapplication: LISO/IEC/TR 27019 contient des lignes directrices concernant les mesures
de scurit de linformation mettre en uvre dans les systmes de contrle des processus utiliss
par les oprateurs nergtiques pour contrler et surveiller la gnration, la transmission, le stockage
et la distribution de lnergie lectrique, du gaz et de la chaleur, ainsi que dans le cadre du contrle des
processus associs. Elle concerne notamment les systmes, applications et composants suivants:
technologie informatique gnrale de contrle, de surveillance et dautomatisation des processus,
centrale et distribue, et systmes informatiques utiliss pour son exploitation, tels que les
dispositifs de programmation et de paramtrage;
contrleurs numriques et composants dautomatisation tels que les dispositifs de contrle et
de terrain ou les automates programmables, y compris les lments de capteurs et organes de
commande numriques;
tous les autres systmes informatiques utiliss pour prendre en charge le domaine du contrle des
processus, par exemple pour les tches de visualisation de donnes supplmentaires et des fins de
contrle, de surveillance, darchivage de donnes et de documentation;
technologie gnrale de communications utilise dans le domaine du contrle des processus, par
exemple les rseaux, la tlmesure, les applications de tlconduite et les technologies de commande
distance;
dispositifs numriques de comptage et de mesurage destins par exemple mesurer les valeurs
relatives la consommation, la gnration ou lmission dnergie;
systmes numriques de protection et de scurit tels que les relais de protection ou les API de
scurit;
composants distribus denvironnements de rseaux intelligents futurs;
tous les logiciels, micrologiciels et applications installs sur les systmes mentionns ci-dessus.
Objectif: Outre les objectifs et mesures de scurit prsents dans lISO/IEC27002, ce Rapport technique
contient des lignes directrices concernant les systmes utiliss par les oprateurs nergtiques et
les fournisseurs dnergie et relatives aux mesures de scurit de linformation rpondant dautres
exigences spciales.

4.5.7 ISO27799

Informatique de sant Management de la scurit de linformation relative la sant en utilisant


lISO/IEC27002
Domaine dapplication: Cette Norme internationale contient des lignes directrices relatives la mise
en uvre du management de la scurit de linformation dans les organismes de sant.
Objectif: LISO 27799 propose aux organismes de sant une adaptation des lignes directrices de
lISO/IEC27002 propres leur cur de mtier, qui sajoutent aux prconisations fournies pour satisfaire
aux exigences de lISO/IEC27001, AnnexeA.

ISO/IEC 2016 Tous droits rservs 29


ISO/IEC 27000:2016(F)

AnnexeA
(informative)

Formes verbales utilises pour exprimer des dispositions

Lapplication des diffrents documents de la famille de normes du SMSI nest pas obligatoire. Cependant,
ce caractre obligatoire peut leur tre confr par la lgislation ou par un contrat, par exemple. Afin
de pouvoir revendiquer la conformit un document, lutilisateur doit tre capable didentifier les
exigences satisfaire. Lutilisateur doit galement tre en mesure de distinguer ces exigences des autres
recommandations pour lesquelles il existe une certaine libert de choix.
Le tableau suivant explique la faon dont un document de la famille de normes du SMSI doit tre
interprt en fonction des expressions verbales utilises, qui peuvent exprimer des exigences ou des
recommandations.
Ce tableau se fonde sur les dispositions des DirectivesISO/IEC, Partie2:2011, Rgles de structure et de
rdaction des Normes internationales, AnnexeH.

INDICATION EXPLICATION
Exigence Les termesdoi(ven)t et ne doi(ven)t pas indiquent des exigences quil faut stric-
tement respecter, aucun cart ntant permis, pour tre conforme au document.
Recommandation Les termesil convient de et il convient de ne pas indiquent quentre plusieurs
possibilits, une est recommande comme tant particulirement approprie sans
que les autres soient mentionnes ni exclues, ou bien quune certaine ligne de conduite
est prfrable mais pas ncessairement exige, ou encore ( la forme ngative) quune
certaine possibilit ou ligne de conduite est dconseille mais pas interdite.
Permission Les termespeu(ven)t et peu(ven)t ne pas indiquent une ligne de conduite autori-
se dans les limites du document.
Possibilit Les termespeu(ven)t et ne peu(ven)t pas indiquent une possibilit.

30 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

AnnexeB
(informative)

Termes et proprit des termes

B.1 Proprit des termes


Le propritaire dun terme de la famille de normes ISO/IEC27000 est la norme dans laquelle ce
terme est initialement dfini. Le propritaire du terme est galement responsable de la gestion de sa
dfinition, cest--dire quil doit:
fournir cette dfinition;
la vrifier;
la mettre jour; et
la supprimer.
NOTE 1 LISO/IEC27000 nest jamais considre comme propritaire dun terme.

NOTE 2 LISO/IEC27001 et lISO/IEC27006, en tant que normes directives (cest--dire contenant des
exigences), prvalent toujours comme propritaires respectifs dun terme.

B.2 Termes utiliss dans ces Normes internationales


B.2.1 ISO/IEC27001

audit 2.5 mesurage 2.48


disponibilit 2.9 surveillance 2.52
comptence 2.11 non-conformit 2.53
confidentialit 2.12 objectif 2.56
conformit 2.13 organisme 2.57
amlioration continue 2.15 externaliser 2.58
mesure de scurit 2.16 performance 2.59
correction 2.18 politique 2.60
action corrective 2.19 processus 2.61
informations documentes 2.23 exigence 2.63
efficacit 2.24 revue 2.65
scurit de linformation 2.33 risque 2.68
intgrit 2.40 propritaire du risque 2.78
partie intresse 2.41 direction 2.84
systme de management 2.46

ISO/IEC 2016 Tous droits rservs 31


ISO/IEC 27000:2016(F)

B.2.2 ISO/IEC27002

contrle daccs 2.1 vnement li la scurit de 2.35


linformation
attaque 2.3 incident li la scurit de 2.36
linformation
authentification 2.7 gestion des incidents lis la scu- 2.37
rit de linformation
authenticit 2.8 systme dinformation 2.39
objectif dune mesure de scurit 2.17 non-rpudiation 2.54
moyens de traitement de linforma- 2.32 fiabilit 2.62
tion
continuit de la scurit de linfor- 2.34
mation

B.2.3 ISO/IEC27003

projetSMSI 2.43

B.2.4 ISO/IEC27004

modle analytique 2.2 fonction de mesurage 2.49


attribut 2.4 mthode de mesurage 2.50
mesure lmentaire 2.10 rsultats de mesurage 2.51
donnes 2.20 objet 2.55
critres de dcision 2.21 chelle 2.80
mesure drive 2.22 unit de mesurage 2.86
indicateur 2.30 validation 2.87
besoin dinformation 2.31 vrification 2.88
mesure 2.47

B.2.5 ISO/IEC27005

consquence 2.14 communication et concertation 2.72


relatives au risque
vnement 2.25 critres de risque 2.73
contexte externe 2.27 valuation du risque 2.74
contexte interne 2.42 identification du risque 2.75
niveau de risque 2.44 management du risque 2.76
vraisemblance 2.45 processus de management du 2.77
risque
risque rsiduel 2.64 traitement du risque 2.79
acceptation du risque 2.69 menace 2.83
analyse du risque 2.70 vulnrabilit 2.89
apprciation du risque 2.71

32 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

B.2.6 ISO/IEC27006

documents de certification
marque

B.2.7 ISO/IEC27007

champ de laudit 2.6

B.2.8 ISO/IEC/TR27008

objet de revue 2.66 norme relative la mise en uvre 2.81


de la scurit
objectif de revue 2.67

B.2.9 ISO/IEC27010

communaut de partage dinforma- 2.38 entit de communication des 2.85


tions informations scurise

B.2.10 ISO/IEC27011

collocation installations de tlcommunications


centre de communication organismes de tlcommunications
communications essentielles enregistrements de tlcommunications
non-divulgation de communications services de tlcommunications
informations personnelles client de services de tlcommunications
appel prioritaire utilisateur de services de tlcommunications
applications de tlcommunications installations de terminal
activits de tlcommunications utilisateur

salle dquipement de tlcommunications

B.2.11 ISO/IEC27014

management excutif 2.26 instances dirigeantes 2.29


gouvernance de la scurit de 2.28 partie prenante 2.82
linformation

ISO/IEC 2016 Tous droits rservs 33


ISO/IEC 27000:2016(F)

B.2.12 ISO/IEC/TR27015

services financiers

B.2.13 ISO/IEC/TR27016

perte annuelle estime (ALE- annualized loss


perte
expectancy)
valeur directe valeur marchande
comparaison conomique valeur actualise nette
facteur conomique rsultat non conomique
justification conomique valeur actuelle
valeur conomique ajoute cot dopportunit
conomie valeur pour lentreprise
valeur attendue exigences rglementaires
valeur tendue rendement du capital investi
valeur indirecte valeur socitale
conomie de la scurit de linformation valeur
management de la scurit de linformation(MSI) valeur risque

B.2.14 ISO/IEC/TR27017

capacit multilocation scurise


violation de donnes machine virtuelle

B.2.15 ISO/IEC/TR27018

violation de donnes processeur de PII


informations personnelles identifiables (PII- per- traitement des PII
sonally identifiable information)
contrleur de PII fournisseur de service en nuage public
PII principal

B.2.16 ISO/IEC/TR27019

blackout maintenance
CERT- Computer Emergency Response Team API
infrastructure critique systme de contrle des processus
dbogage scurit
distribution systmes de scurit
installation dquipement nergtique rseaux intelligents
approvisionnement en nergie dclaration dapplicabilit (SOA- statement of applicability)
oprateur nergtique systme de transmission
interface homme-machine, IHM

34 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

Bibliographie

[1] ISO/IEC17021, valuation de la conformit Exigences pour les organismes procdant laudit et
la certification des systmes de management
[2] ISO9000:2015, Systmes de management de la qualit Principes essentiels et vocabulaire
[3] ISO19011:2011, Lignes directrices pour laudit des systmes de management
[4] ISO/IEC27001, Technologies de linformation Techniques de scurit Systmes de management
de la scurit de linformation Exigences
[5] ISO/IEC27002, Technologies de linformation Techniques de scurit Code de bonne pratique
pour le management de la scurit de linformation
[6] ISO/IEC27003, Technologies de linformation Techniques de scurit Lignes directrices pour
la mise en uvre du systme de management de la scurit de linformation
[7] ISO/IEC 27004, Technologies de linformation Techniques de scurit Management de la
scurit de linformation Mesurage
[8] ISO/IEC27005, Technologies de linformation Techniques de scurit Gestion des risques lis
la scurit de linformation
[9] ISO/IEC 27006, Technologies de linformation Techniques de scurit Exigences pour les
organismes procdant laudit et la certification des systmes de management de la scurit de
linformation
[10] ISO/IEC27007, Technologies de linformation Techniques de scurit Lignes directrices pour
laudit des systmes de management de la scurit de linformation
[11] ISO/IEC/TR27008, Technologies de linformation Techniques de scurit Lignes directrices
pour les auditeurs des contrles de scurit de linformation
[12] ISO/IEC 27009, Technologies de linformation Techniques de scurit Application de
lISO/IEC27001 un secteur spcifique Exigences
[13] ISO/IEC27010, Technologies de linformation Techniques de scurit Gestion de la scurit de
linformation des communications intersectorielles et interorganisationnelles
[14] ISO/IEC 27011, Technologies de linformation Techniques de scurit Lignes directrices du
management de la scurit de linformation pour les organismes de tlcommunications sur la base
de lISO/IEC27002
[15] ISO/IEC 27013, Technologies de linformation Techniques de scurit Guide sur la mise en
oeuvre intgre dISO/IEC 27001 et ISO/IEC 20000-1
[16] ISO/IEC 27014, Technologies de linformation Techniques de scurit Gouvernance de la
scurit de linformation
[17] ISO/IEC/TR27015, Technologies de linformation Techniques de scurit Lignes directrices
pour le management de la scurit de linformation pour les services financiers
[18] ISO/IEC/TR27016, Technologies de linformation Techniques de scurit Management de la
scurit de linformation conomie organisationnelle
[19] ISO/IEC27017, Technologies de linformation Techniques de scurit Code de pratique pour les
contrles de scurit de linformation fonds sur lISO/IEC 27002 pour les services du nuage

ISO/IEC 2016 Tous droits rservs 35


ISO/IEC 27000:2016(F)

[20] ISO/IEC27018, Technologies de linformation Techniques de scurit Code de bonnes pratiques


pour la protection des informations personnelles identifiables (PII) dans linformatique en nuage
public agissant comme processeur de PII
[20] ISO/IEC 27019, Technologies de linformation Techniques de scurit Lignes directrices
de management de la scurit de linformation fondes sur lISO/IEC27002 pour les systmes de
contrle des processus spcifiques lindustrie de lnergie
[21] ISO27799, Informatique de sant Management de la scurit de linformation relative la sant
en utilisant lISO/IEC27002
[22] GuideISO73:2009, Management du risque Vocabulaire
[23] ISO/IEC15939:2007, Ingnierie des systmes et du logiciel Processus de mesure
[24] ISO/IEC20000-1:2011, Technologies de linformation Gestion des services Partie1: Exigences
du systme de management des services

36 ISO/IEC 2016 Tous droits rservs


ISO/IEC 27000:2016(F)

ICS01.040.35; 35.040
Prix bas sur 34 pages

ISO/IEC 2016 Tous droits rservs