Académique Documents
Professionnel Documents
Culture Documents
La structure de la version 2013 n’a pas de notion de PDCA explicite. Cette notion
est remplacée par une formulation du type « établir, implémenter, maintenir,
améliorer ». Il n’y a pas d'encouragement à l'approche processus dans
l'introduction, mais une approche processus de fait. Les clauses de 4 à 10 sont
obligatoires. Les parties prenantes sont prise en compte, le périmètre considère
tout le contexte, y compris les exigences. Le leadership est plus axé engagement,
pilotage et management des personnes que « mise en œuvre ». La politique inclut
un engagement de la direction. Une réelle analyse des risques, en intégrant les
notions de risques et opportunités projet, l’appréciation des risques est moins
cadrée par la norme. Il y a une sensibilisation précise, qui fait l’objet d’un
paragraphe entier. En outre il n’y a pas d’indication sur la périodicité de la revue
de direction ni de l’audit, de même pas de notion d’action préventive au sens de la
version 2005.
Cet article traite de la norme ISO/IEC 27001 ainsi que de la mise en œuvre et la
gestion d’un SMSI.
À l’origine, la norme remonte à 2005, avec l’adoption par l’ISO d’une version améliorée de la
norme anglo-saxonne BS 7799-2 :2002 « Technologie de l’information – Guide pratique pour
le management de la sécurité de l’information ».
Cette dernière reprend et complète l’ISO/IEC 17799 (guide incluant des recommandations
pour la sécurisation des informations de l’entreprise) en intégrant la notion de système de
management de la sécurité de l'information (SMSI).