La norme ISO/IEC 27001 est élaborée par l'ISO (Organisation internationale de normalisation) en

collaboration avec l'IEC (Commission électrotechnique internationale). L'ISO est une organisation
internationale indépendante composée de représentants nationaux des organismes de normalisation
de différents pays. L'IEC, quant à elle, est une organisation internationale qui se concentre sur les
normes électriques, électroniques et technologiques.

L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique

internationale) collaborent étroitement pour élaborer la norme ISO/IEC 27001. Cette collaboration
est motivée par plusieurs raisons :

1. Complémentarité des domaines d'expertise : L'ISO et l'IEC ont des compétences et des
connaissances complémentaires dans le domaine de la sécurité de l'information. L'ISO se
concentre sur les aspects généraux de la gestion de la sécurité de l'information, tandis que
l'IEC apporte une expertise spécifique dans les domaines de la technologie de l'information
et de la cyber sécurité. En combinant leurs forces, ils peuvent élaborer une norme plus
complète et pertinente.

première version de la norme ISO 27001 a été publiée en octobre 2005. Cette version initiale était
basée sur la norme britannique BS 7799-2, qui était largement reconnue comme la norme de
référence pour la sécurité de l'information. La norme ISO 27001:2005 a fourni un cadre pour établir,
mettre en œuvre, maintenir et améliorer un système de management de la sécurité de l'information
(SMSI) au sein d'une organisation.

La norme britannique BS 7799-2 a été élaborée par le British Standards Institution (BSI). Le BSI est un
organisme de normalisation et de certification basé au Royaume-Uni. Il est chargé de développer et
de publier des normes dans divers domaines, y compris la sécurité de l'information. La norme BS
7799-2 a été spécifiquement développée pour fournir des lignes directrices sur la mise en place d'un
système de management de la sécurité de l'information (SMSI). Elle a été largement utilisée comme
référence avant que la norme ISO 27001 ne soit publiée.

Différences entre BS et iso 27001v 2005

Les principales différences entre la norme britannique BS 7799-2 et la norme ISO 27001 sont les
suivantes :

1. Portée internationale : La norme BS 7799-2 était une norme britannique qui a été largement
utilisée à l'échelle internationale, mais elle avait une portée plus limitée que la norme ISO
27001, qui est une norme internationale reconnue et adoptée dans le monde entier.

2. Structure et terminologie : La norme BS 7799-2 avait une structure et une terminologie

propres à la norme britannique, tandis que la norme ISO 27001 adopte une structure de haut
niveau similaire à d'autres normes de système de management, ce qui facilite l'intégration
avec d'autres normes de management.
 3. Mise à jour et évolution : La norme BS 7799-2 a été publiée en 1999 et a subi quelques
révisions ultérieures, tandis que la norme ISO 27001 a été publiée pour la première fois en
2005 et a été révisée en 2013 et 2017 pour refléter les changements dans le paysage de la
sécurité de l'information.

4. Niveau de détail : La norme ISO 27001 est plus détaillée et exhaustive que la norme BS 7799-
2. Elle fournit des exigences spécifiques pour la mise en place d'un SMSI et inclut un
ensemble plus large de contrôles de sécurité de l'information dans son annexe A.

5. Reconnaissance internationale : La norme ISO 27001 est largement reconnue et acceptée à

l'échelle internationale en tant que référence pour la gestion de la sécurité de l'information,
ce qui facilite la communication et la collaboration entre les organisations et les pays.

Il convient de noter que la norme ISO 27001 a été développée en s'inspirant de la norme BS 7799-2,
et de nombreux concepts et principes de la norme britannique ont été intégrés dans la norme ISO
27001. Cependant, la norme ISO 27001 a évolué pour répondre aux besoins d'un environnement de
sécurité de l'information en constante évolution et pour offrir une portée internationale plus large.

La nouvelle mise a jours

La mise à jour de la norme ISO 27001 apporte plusieurs avantages importants pour les organisations.
Voici les principaux bénéfices de cette nouvelle version :

1. Gestion des risques plus efficace : Les contrôles de sécurité de l'annexe A ont été améliorés
pour refléter les scénarios actuels auxquels les entreprises sont confrontées. Cela permet
une gestion des risques plus efficace en prenant en compte les menaces et les vulnérabilités
actuelles.

2. Réévaluation des risques et des menaces : La mise à jour de la norme aide les entreprises à
réévaluer leurs risques et leurs menaces, et à mettre en place des contrôles de sécurité
adaptés à un environnement caractérisé par une interconnectivité croissante, l'utilisation du
cloud, l'automatisation, les logiciels malveillants et les ransomwares, ainsi que d'autres
vulnérabilités.

3. Inclusion de la cybersécurité et de la protection de la vie privée : La norme élargit son champ

d'application pour inclure la cybersécurité et la protection de la vie privée, ce qui permet de
mieux connecter le système de gestion de la sécurité de l'information à ces enjeux critiques
auxquels les entreprises sont confrontées.

4. Structure et présentation améliorées : La nouvelle version de la norme offre une meilleure

structure et une présentation plus claire des contrôles de l'annexe A. Le langage utilisé est
également plus clair et plus simple, facilitant ainsi la compréhension et l'application de la
norme.

En résumé, la mise à jour de la norme ISO 27001 permet aux entreprises de mieux comprendre, gérer
et atténuer les nouveaux risques et menaces dans leur contexte opérationnel. Les avantages d'un
système de gestion conforme à l'ISO/IEC 27001 et de la certification restent les mêmes, mais la
nouvelle version permet une meilleure adaptation aux défis actuels en matière de sécurité de
l'information. Peu importe que votre organisation soit en cours de transition vers la nouvelle version
ou qu'elle vise la certification, DNV peut fournir tous les services et le soutien nécessaires pour
garantir une conclusion réussie du processus.

L'inclusion de la cybersécurité et de la protection de la vie privée dans la norme ISO 27001 signifie
que la nouvelle version prend en compte ces domaines importants dans le contexte de la sécurité de
l'information. La cybersécurité fait référence à la protection des systèmes informatiques contre les
attaques, les intrusions et les pertes de données, tandis que la protection de la vie privée se
concentre sur la collecte, l'utilisation et la conservation appropriées des informations personnelles.

En élargissant son champ d'application pour inclure ces aspects, la norme ISO 27001 reconnaît
l'importance croissante de la cybersécurité et de la protection de la vie privée dans l'environnement
des affaires actuel. Les entreprises font face à des défis croissants liés aux cyberattaques, aux
violations de données et aux préoccupations croissantes en matière de confidentialité des
informations personnelles.

Cette inclusion permet de mieux connecter le système de gestion de la sécurité de l'information

(SMSI) avec ces enjeux critiques. Les organisations doivent désormais prendre en compte non
seulement la protection de l'information, mais également la cybersécurité et la protection de la vie
privée dans leurs stratégies et leurs contrôles de sécurité. Cela permet une approche plus holistique
de la sécurité de l'information, en prenant en compte les risques liés à la confidentialité, à l'intégrité
et à la disponibilité des données, ainsi qu'à la protection contre les cybermenaces.

En intégrant ces aspects dans la norme ISO 27001, les entreprises sont encouragées à mettre en
place des mesures de sécurité appropriées pour faire face aux risques liés à la cybersécurité et à la
protection de la vie privée. Cela permet d'assurer une meilleure protection des informations
sensibles et de répondre aux attentes croissantes des parties prenantes en matière de confidentialité
et de sécurité des données.

En résumé, l'inclusion de la cybersécurité et de la protection de la vie privée dans la norme ISO 27001
permet de renforcer le lien entre la sécurité de l'information et ces enjeux critiques, offrant ainsi aux
entreprises des orientations plus complètes pour la gestion de leurs risques et la protection de leurs
informations.

La diffrerence entre

Selon l'article mentionné, voici quelques différences entre les versions ISO 27001:2005 et ISO
27001:2013 :

1. Alignement avec les objectifs commerciaux : La version 2013 met davantage l'accent sur
l'alignement du système de gestion de la sécurité de l'information (ISMS) avec les objectifs
commerciaux de l'organisation. Elle cherche à garantir que les obligations statutaires,
réglementaires et contractuelles de l'entreprise soient prises en compte dès le début de la
mise en œuvre.

2. Cycle PDCA : Contrairement à la croyance répandue, le cycle PDCA (Plan-Do-Check-Act) n'a

pas été supprimé dans la version 2013. Cependant, la nouvelle version offre une plus grande
 flexibilité et ouvre d'autres possibilités d'implémentation de modèles de processus
d'amélioration continue adaptés à l'organisation.

3. Rôles de la direction : La version 2013 clarifie la distinction entre le conseil d'administration

et la direction dans le système de gestion. Dans la version 2005, la différence entre le conseil
d'administration et la direction n'était pas claire. Dans la version mise à jour, les rôles de
gestion sont décrits comme « Direction » et « Direction supérieure ». Le conseil
d'administration initie l'ISMS, tandis que la direction se charge de sa mise en œuvre. Cette
distinction est plus pertinente pour les grandes organisations, car dans les petites
organisations, il peut y avoir un chevauchement entre le conseil d'administration et la
direction, ce qui brouille la distinction entre les deux.

Il y a d'autres différences mentionnées dans l'article concernant les contrôles, la documentation,

l'intégration avec d'autres normes, etc. Ces différences pourraient être abordées dans un autre
article.