ISO 27002

ISO 27002 ISO 27001 ISO 27004 ISO 27002

ISO 27002 ISO 27002 ISO 27001 ISO 22301 ISO 27002 ISO 27004

ISO 27001 ISO 27001 ISO 27001 ISO 27005 ISO 27001 ISO 27001

Obtenir Réalisation
Définition du Conception Mise en
l’approbation Analyse d’une
périmètre du du SMSI 9 œuvre du
pour lancer le commerciale 7 évaluation
SMSI 6 SMSI 10
SMSI 5 des risques 8

SMSI approuvé, analyse Résultats de Plan de traitement Projets de mise en

Champ Plan de mise en
de rentabilisation l’analyse des des risques et œuvre du SSISM
d’application du œuvre de l’ISMS
écarts sélection du contrôle
SMSI
Exigences relatives Procédures ISMS et
Inventaire des Rapport d’évaluation documentation de
Politiques du aux enregistrements
actifs des risques contrôle
SMSI ISMS
d’information
Description du Documentation de la
Contexte de Description de processus de procédure de mesure
l’organisation l’évaluation des publication de l’ISMS ISMS
4 risques

ISO 31000

Chronologie
 ISO 27002

ISO 27001

Obtenir Définition du
l’approbation périmètre du
pour lancer le SMSI 6
SMSI 5

Analyse de rentabilisation
approuvée du SMSI

Compréhension de Compréhension des Détermination du domaine Système de management

Contexte de l’organisation et son besoins et attentes des d’application du système de la sécurité de
l’organisation 4 contexte 4.1 (5.4.1 parties intéressées 4.2 de management de la l’information 4.4
/31000) sécurité de l’information
4.3

ISO 31000

Chronologie
 Actions à mettre en œuvre face
aux risques et opportunités 6.1

ISO 27002 ISO 27002

ISO 27001 ISO 27001

5Leadership 5 Planification 6
 Leadership et engagement 5.1
ISO 27002 A5.5 Contacts avec les autorités
A5.6 Contacts avec des groupes
d'intérêt spécifiques
ISO 27001
A5.9 Inventaire des
informations et autres actifs
associés
Leadership 5 A5.16 Gestion des identités
A5.24 Planification et préparation
de la gestion des incidents de
sécurité de l'information
A5.25 Evaluation des événements
de sécurité de l'information et
prise de décision
A5.27 Tirer des enseignements des
incidents de sécurité de
l'information
A5.29 Sécurité de l'information
Contexte de
l’organisation 4 pendant une perturbation
A5.31 Exigences légales,
statutaires, réglementaires et
contractuelles
ISO 31000 A5.32 Droits de propriété
intellectuelle
A5.35 Révision indépendante de la
sécurité de l'information
Politique 5.2
A5.1 Orientations de la
direction en matière de
sécurité de l’information
A5.7 Renseignement sur
les menaces
A5.8 Sécurité de
l'information dans la
gestion de projet
A5.10 Utilisation correcte
des informations et autres
actifs associés
A5.11 Restitution des actifs
A5.12 Classification des
informations
A5.13 Marquage des informations
A5.14 Transfert des informations
A5.15 Contrôle d'accès
A5.17 Informations d'authentification
A5.19 Sécurité de l'information
dans les relations avec les
fournisseurs
Rôles, responsabilité et autorités
au sein de l’organisation 5.3
A5.20 La sécurité de l'information
dans les accords conclus avec les
A5.2 Fonctions et responsabilités
fournisseurs
liées à la sécurité de l'information
A5.21 Gestion de la sécurité de A5.3 Séparation des tâches
l'information dans la chaîne
d'approvisionnement des A5.4 Responsabilités de la direction
technologies de l'information et de
la communication (TIC) A5.18 Droits d'accès
A5.22 Surveillance, révision et
gestion des changements des
services fournisseurs
A5.23 Sécurité de l'information
dans l'utilisation de services en
nuage
A5.26 Réponse aux incidents de
sécurité de l'information
A5.28 Collecte de preuves
A5.30 Préparation des TIC pour la
continuité d'activité
A5.33 Protection des enregistrements
A5.34 Protection de la vie privée et
des données à caractère personnel
(DCP)
A5.36 Conformité aux politiques,
règles et normes de sécurité de
l'information
A5.37 Procédures d'exploitation
documentées