NORME ISO/CEI

INTERNATIONALE 27000

Première édition
2009-05-01

Technologies de l'information —
Techniques de sécurité — Systèmes de
management de la sécurité de
l'information — Vue d'ensemble et
vocabulaire
Information technology — Security techniques — Information security
management systems — Overview and vocabulary

Numéro de référence
ISO/CEI 27000:2009(F)

© ISO/CEI 2009
ISO/CEI 27000:2009(F)

PDF – Exonération de responsabilité

Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.

DOCUMENT PROTÉGÉ PAR COPYRIGHT

© ISO/CEI 2009
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@[Link]
Web [Link]
Version française parue en 2010
Publié en Suisse

ii © ISO/CEI 2009 – Tous droits réservés

 ISO/CEI 27000:2009(F)

Sommaire Page

Avant-propos .....................................................................................................................................................iv
0 Introduction............................................................................................................................................v
1 Domaine d'application ..........................................................................................................................1
2 Termes et définitions ............................................................................................................................1
3 Systèmes de management de la sécurité de l'information ...............................................................1
3.1 Introduction............................................................................................................................................6
3.2 Qu'est ce qu'un SMSI ?.........................................................................................................................6
3.3 Approche processus.............................................................................................................................8
3.4 Raisons pour lesquelles un SMSI est important................................................................................8
3.5 Établissement, surveillance, mise à jour et amélioration d'un SMSI ...............................................9
3.6 Facteurs critiques de succès du SMSI..............................................................................................11
3.7 Avantages de la famille des normes SMSI........................................................................................11
4 La famille des normes SMSI...............................................................................................................12
4.1 Informations générales .......................................................................................................................12
4.2 Normes décrivant une vue d'ensemble et une terminologie ..........................................................13
4.3 Normes spécifiant des exigences......................................................................................................14
4.4 Normes décrivant des lignes directrices générales ........................................................................15
4.5 Normes décrivant des lignes directrices propres à un secteur .....................................................16
Annexe A (informative) Expressions verbales pour exprimer des dispositions........................................17
Annexe B (informative) Termes classés par catégories ...............................................................................18
Bibliographie.....................................................................................................................................................20

© ISO/CEI 2009 – Tous droits réservés iii

ISO/CEI 27000:2009(F)

Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé
un comité technique mixte, l'ISO/CEI JTC 1.

Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.

La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
organismes nationaux votants.

L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.

L'ISO/CEI 27000 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information.

iv © ISO/CEI 2009 – Tous droits réservés

 ISO/CEI 27000:2009(F)

0 Introduction

0.1 Vue d'ensemble

Les Normes internationales relatives aux systèmes de management fournissent un modèle en matière
d'établissement et d'exploitation d'un système de management. Ce modèle comprend les caractéristiques que
les experts dans le domaine s'accordent à reconnaître comme reflétant l'état de l'art au niveau international.
Le sous-comité ISO/CEI JTC 1 SC 27 bénéficie de l'expérience d'un comité d'experts qui se consacre à
l'élaboration des Normes internationales sur les systèmes de management pour la sécurité de l'information,
connues également comme famille de normes des Systèmes de Management de la Sécurité de l'Information
(SMSI).

Grâce à l'utilisation de la famille de normes du SMSI, les organisations peuvent élaborer et mettre en œuvre
un cadre de référence pour gérer la sécurité de leurs actifs informationnels et se préparer à une évaluation
indépendante de leurs SMSI en matière de protection de l'information, comme par exemple les informations
financières, la propriété intellectuelle, les informations sur les employés, etc., ou les informations qui leur sont
confiées par des clients ou des tiers.

0.2 La famille de normes du SMSI

La famille de normes du SMSI 1) a pour objet d'aider les organisations de tous types et de toutes tailles à
déployer et exploiter un SMSI. Dans le domaine des «Technologies de l'information — Techniques de
sécurité», le titre général de chacune des normes du SMSI se présente comme suit:

⎯ ISO/CEI 27000:2009, Systèmes de management de la sécurité de l'information — Vue d'ensemble et

vocabulaire

⎯ ISO/CEI 27001:2005, Systèmes de management de la sécurité de l'information — Exigences

⎯ ISO/CEI 27002:2005, Code de bonne pratique pour le management de la sécurité de l'information

⎯ ISO/CEI 27003, Guide de mise en œuvre du système de management de la sécurité de l'information

⎯ ISO/CEI 27004, Management de la sécurité de l'information — Mesurage

⎯ ISO/CEI 27005:2008, Management du risque de la sécurité de l'information

⎯ ISO/CEI 27006:2007, Exigences pour les organismes procédant à l'audit et à la certification des
systèmes de management de la sécurité de l'information

⎯ ISO/CEI 27007, Lignes directrices pour l'audit des systèmes de management de la sécurité de
l'information

⎯ ISO/CEI 27011:2008, Lignes directrices du management de la sécurité de l'information pour les

organismes de télécommunications sur la base de l'ISO/CEI 27002

NOTE Le titre général «Technologies de l'information – Techniques de sécurité» indique que ces normes ont été
élaborées par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information, sous-comité SC 27, Techniques de
sécurité.

1) Les normes mentionnées dans cette section qui ne comportent pas d'année de publication sont toujours en cours
d'élaboration.

© ISO/CEI 2009 – Tous droits réservés v

ISO/CEI 27000:2009(F)

Les Normes internationales qui font également partie de la famille de normes du SMSI, mais qui ne sont pas
comprises comme «Technologies de l'information – Techniques de sécurité» sont les suivantes:

⎯ ISO/CEI 27799:2008, Informatique de santé — Management de la sécurité de l'information relative à la

santé en utilisant l'ISO/CEI 27002

0.3 Objet de la présente Norme internationale

L'ISO/CEI 27000 présente une vue d'ensemble des systèmes de management de la sécurité de l'information,
qui constituent l'objet de la famille de normes du SMSI, et définit les termes qui s'y rapportent.

NOTE L'Annexe A fournit des éclaircissements sur la façon dont les normes de la famille SMSI doivent être
interprétées en fonction des expressions verbales utilisées, celles-ci exprimant des exigences et/ou des lignes directrices.

La famille de normes du SMSI comporte des normes qui:

a) définissent les exigences pour un SMSI et pour les organisations certifiant de tels systèmes;

b) apportent un soutien direct, des recommandations détaillées et/ou une interprétation des processus et
des exigences générales selon le modèle Planifier-Déployer-Contrôler-Agir (PDCA);

c) traitent des pratiques propres à des secteurs particuliers en matière de SMSI;

d) traitent de l'évaluation de la conformité d'un SMSI.

Les termes et les définitions fournis dans cette Norme internationale:

a) couvrent les termes et les définitions d'usage courant dans la famille de normes du SMSI;

b) ne couvrent pas l'ensemble des termes et des définitions utilisés dans la famille de normes du SMSI;

c) ne limitent pas la famille de normes du SMSI en définissant des termes pour un usage propre.

Les normes ne traitant que de la mise en œuvre des mesures, par opposition au traitement de l'ensemble des
mesures prévu dans l'ISO/CEI 27002, sont exclues de la famille de normes du SMSI.

L'ISO/CEI 27000 est une norme délivrée gratuitement.

Pour tenir compte des fréquentes évolutions de la famille de normes du SMSI, on s'attend à ce que
l'ISO/CEI 27000 soit remise à jour en permanence et sur une base plus fréquente que celle prévue pour les
autres normes ISO/CEI.

vi © ISO/CEI 2009 – Tous droits réservés

NORME INTERNATIONALE ISO/CEI 27000:2009(F)

Technologies de l'information — Techniques de sécurité —

Systèmes de management de la sécurité de l'information — Vue
d'ensemble et vocabulaire

1 Domaine d'application
La présente Norme internationale fournit:

a) une vue d'ensemble de la famille de normes du SMSI;

b) une introduction aux systèmes de management de la sécurité de l'information (SMSI);

c) une brève description du processus Planifier-Déployer-Contrôler-Agir (PDCA); et

d) les termes et définitions utilisés dans la famille de normes du SMSI.

La présente Norme internationale est applicable à tous les types d'organisations (par exemple: entreprises
commerciales, organisations publiques, organisations à but non lucratif).

2 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.

Si ces termes et ces définitions s'appliquent également à d'autres documents, cela doit être indiqué dans ces
autres documents à l'aide de l'alinéa d'introduction suivant:

Pour les besoins du présent document, les termes et définitions fournis dans l'ISO/CEI 27000 s'appliquent.

Un terme utilisé dans une définition ou une note et défini à un autre endroit du présent article figure en
caractères gras, suivi de la référence de l'entrée entre parenthèses. Ce terme en caractères gras peut être
remplacé dans la définition ou la note par sa propre définition.

Par exemple:

attaque (2.4) est définie comme une «tentative de détruire, de rendre public, de modifier, d'invalider, de voler
ou d'obtenir un accès non autorisé ou d'utiliser sans autorisation un actif (2.3)»;

actif est défini comme «tout élément représentant de la valeur pour l'organisation».

En remplaçant le terme «actif» par sa définition, on obtient:

attaque est alors définie comme une «tentative de détruire, de rendre public, de modifier, d'invalider, de voler,
d'obtenir un accès non autorisé ou d'utiliser sans autorisation tout élément représentant de la valeur pour
l'organisation».

© ISO/CEI 2009 – Tous droits réservés 1

ISO/CEI 27000:2009(F)

2.1
contrôle d'accès
moyens mis en œuvre pour assurer que l'accès aux actifs (2.3) est autorisé et limité selon les exigences
propres à la sécurité et à l'activité métier

2.2
imputabilité
responsabilité d'une entité par rapport à ses actions et ses décisions

2.3
actif
tout élément représentant de la valeur pour l'organisation

NOTE Il existe plusieurs sortes d'actifs, dont:

(a) l'information (2.18);
(b) les logiciels, par exemple un programme informatique;
(c) les actifs physiques, par exemple un ordinateur;
(d) les services;
(e) le personnel, et leurs qualifications, compétences et expérience;
(f) les actifs incorporels, par exemple la réputation et l'image.

2.4
attaque
tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'obtenir un accès non autorisé ou
d'utiliser sans autorisation un actif (2.3)

2.5
authentification
moyen pour une entité d'assurer la légitimité d'une caractéristique revendiquée

2.6
authenticité
propriété selon laquelle une entité est ce qu'elle revendique être

2.7
disponibilité
propriété d'être accessible et utilisable à la demande par une entité autorisée

2.8
continuité de l'activité
processus (2.31) et/ou procédures (2.30) permettant d'assurer la continuité de l'activité métier

2.9
confidentialité
propriété selon laquelle l'information n'est pas rendue disponible ou divulguée à des personnes, des entités
ou des processus (2.31) non autorisés

2.10
mesure de sécurité
moyens de gestion des risques (2.34), comprenant les politiques (2.28), les procédures (2.30), les lignes
directrices (2.16), les pratiques ou l'organisation, qui peuvent être de nature administrative, technique,
manégériale ou juridique

NOTE Mesure de sécurité est également synonyme de protection ou de contre-mesure.

2.11
objectif de sécurité
déclaration décrivant ce qui doit être atteint comme résultat de la mise en oeuvre des mesures de
sécurité (2.10)

2 © ISO/CEI 2009 – Tous droits réservés

 ISO/CEI 27000:2009(F)

2.12
action corrective
action visant à éliminer la cause d'une non-conformité ou d'une autre situation indésirable détectée

[ISO 9000:2005]

2.13
efficacité
niveau de réalisation des activités planifiées et d'obtention des résultats escomptés

[ISO 9000:2005]

2.14
efficience
rapport entre le résultat obtenu et les ressources utilisées

2.15
événement
occurrence d'un ensemble particulier de circonstances

[ISO/CEI Guide 73:2002]

2.16
ligne directrice
recommandation de ce qui doit être fait pour atteindre un objectif

2.17
impact
altération préjudiciable à la réalisation des objectifs métiers

2.18
actif informationnel
savoir ou données représentant de la valeur pour l'organisation

2.19
sécurité de l'information
protection de la confidentialité (2.9), de l'intégrité (2.25) et de la disponibilité (2.7) de l'information; en outre,
d'autres propriétés, telles que l'authenticité (2.6), l'imputabilité (2.2), la non-répudiation (2.27) et la
fiabilité (2.33), peuvent également être concernées

2.20
événement lié à la sécurité de l'information
occurrence identifiée de l'état d'un système, d'un service ou d'un réseau indiquant une faille possible dans la
politique (2.28) de sécurité de l'information (2.19) ou un échec des mesures de sécurité (2.10) ou encore
une situation inconnue jusqu'alors et pouvant relever de la sécurité

2.21
incident lié à la sécurité de l'information
un ou plusieurs événements liés à la sécurité de l'information (2.20) indésirables ou inattendus présentant
une probabilité forte de compromettre les opérations liées à l'activité de l'organisation et de menacer la
sécurité de l'information (2.19)

2.22
gestion des incidents liés à la sécurité de l'information
processus (2.31) pour détecter, rapporter, apprécier, intervenir, résoudre et tirer les enseignements des
incidents liés à la sécurité de l'information (2.21)

© ISO/CEI 2009 – Tous droits réservés 3

ISO/CEI 27000:2009(F)

2.23
système de management de la sécurité de l'information
SMSI
partie du système de management global (2.26), basée sur une approche du risque lié à l'activité, visant
à établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de
l'information (2.19)

2.24
risque lié à la sécurité de l'information
possibilité qu'une menace (2.45) exploite une vulnérabilité (2.46) d'un actif (2.3) ou d'un groupe d'actifs et
nuise donc à l'organisation

2.25
intégrité
propriété de protection de l'exactitude et de la complétude des actifs (2.3)

2.26
système de management
cadre de référence des politiques (2.28), procédures (2.30), lignes directrices (2.16) et ressources
associées pour atteindre les objectifs de l'organisation

2.27
non-répudiation
capacité à prouver l'occurrence d'un événement (2.15) ou d'une action donné et les entités qui en sont à
l'origine, de manière à résoudre les litiges entre l'occurrence ou la non-occurrence de l'événement (2.15) ou
de l'action et l'implication des entités dans l'événement (2.15)

2.28
politique
orientations et intentions globales d'une organisation telles qu'elles sont exprimées formellement par la
direction

2.29
action préventive
action visant à éliminer la cause d'une non-conformité potentielle ou d'une autre situation potentielle
indésirable
[ISO 9000:2005]

2.30
procédure
manière spécifiée d'effectuer une activité ou un processus (2.31)
[ISO 9000:2005]

2.31
processus
ensemble d'activités corrélées ou interactives qui transforme des éléments d'entrée en éléments de sortie
[ISO 9000:2005]

2.32
enregistrement
document faisant état de résultats obtenus ou apportant la preuve de la réalisation d'une activité
[ISO 9000:2005]

2.33
fiabilité
propriété relative à un comportement et des résultats prévus et cohérents

4 © ISO/CEI 2009 – Tous droits réservés

 ISO/CEI 27000:2009(F)

2.34
risque
combinaison de la probabilité d'un événement (2.15) et de ses conséquences
[Guide ISO/CEI 73:2002]

2.35
acceptation des risques
décision d'accepter un risque (2.34)
[Guide ISO/CEI 73:2002]

2.36
analyse des risques
utilisation systématique d'informations pour identifier les sources et pour estimer le risque (2.34)
[Guide ISO/CEI 73:2002]

NOTE L'analyse des risques fournit une base pour l'évaluation des risques (2.41), le traitement des
risques (2.43) et l'acceptation des risques (2.35)

2.37
appréciation des risques
ensemble du processus (2.31) d'analyse des risques (2.36) et d'évaluation des risques (2.41)
[Guide ISO/CEI 73:2002]

2.38
communication relative aux risques
échange ou partage d'informations concernant le risque (2.34) entre le décideur et d'autres parties prenantes
[Guide ISO/CEI 73:2002]

2.39
critères de risque
termes de référence permettant d'apprécier l'importance des risques (2.34)
[Guide ISO/CEI 73:2002]

2.40
estimation des risques
activité consistant à affecter des valeurs à la probabilité et aux conséquences d'un risque (2.34)
[Guide ISO/CEI 73:2002]

2.41
évaluation des risques
processus (2.31) de comparaison du risque (2.34) estimé avec des critères de risque (2.39) donnés
pour déterminer l'importance du risque (2.34)
[Guide ISO/CEI 73:2002]

2.42
gestion du risque
activités coordonnées visant à diriger et contrôler une organisation vis-à-vis du risque (2.34)
[Guide ISO/CEI 73:2002]

NOTE La gestion du risque comporte généralement l'appréciation des risques (2.37), le traitement des
risques (2.43), l'acceptation des risques (2.35), la communication relative aux risques (2.38), la surveillance et le
réexamen du risque.

© ISO/CEI 2009 – Tous droits réservés 5

ISO/CEI 27000:2009(F)

2.43
traitement des risques
processus (2.31) de sélection et de mise en œuvre des mesures visant à modifier le risque (2.34)
[Guide ISO/CEI 73:2002]

2.44
déclaration d'applicabilité
déclaration documentée décrivant les objectifs de sécurité (2.11), ainsi que les mesures de sécurité (2.10)
appropriés et applicables au SMSI (2.23) d'une organisation

2.45
menace
cause potentielle d'un incident indésirable, qui peut nuire à un système ou une organisation

2.46
vulnérabilité
faille dans un actif (2.3) ou dans une mesure de sécurité (2.10) qui peut être exploitée par une menace (2.45)

3 Systèmes de management de la sécurité de l'information

3.1 Introduction

Des organisations de toutes catégories et de toutes tailles:

a) collectent, traitent, stockent et transmettent de grandes quantités d'informations;
b) reconnaissent que les informations et les processus associés, les systèmes, les réseaux et les gens qui
s'y rattachent sont des actifs importants pour la réalisation des objectifs de l'organisation;
c) font face à un éventail de risques qui peut avoir des répercussions sur le fonctionnement des actifs; et
d) modifient les risques en mettant en œuvre des mesures de sécurité de l'information. des menaces
d'attaque, d'erreur et d'événement naturel.

Toutes les informations détenues et traitées par une organisation sont exposées à des menaces d'attaque,
d'erreur, d'évènement naturel (par exemple, inondation ou incendie), etc. et sont exposées à des
vulnérabilités inhérentes à leur utilisation. Le terme sécurité de l'information repose, en général, sur le fait que
l'information est considéré comme un actif qui a une valeur et qui, en tant que tel, nécessite une protection
appropriée contre, par exemple, la perte de disponibilité, de confidentialité et d'intégrité. Permettre aux
personnes qui en ont l'autorisation et le besoin de disposer d'informations précises et complètes en temps
utile est un catalyseur pour l'efficience de l'organisation.

Pour qu'une organisation puisse atteindre ses objectifs, se mettre en conformité avec la loi et valoriser son
image, il lui est essentiel de protéger ses actifs. Protéger les actifs d'information en définissant, accomplissant,
maintenant et améliorant efficacement la sécurité de l'information est essentiel pour permettre à une
organisation d'atteindre ses objectifs et maintenir et améliorer sa conformité légale et son image. Ces activités
coordonnées visant à orienter la mise en œuvre de mesures appropriées et du traitement des risques
inacceptables liés à la sécurité de l'information, sont connues généralement comme éléments de
management de la sécurité de l'information.

Les risques liés à la sécurité de l'information et l'efficacité des mesures changeant en fonction des
conjonctures, les organisations doivent:

a) surveiller et évaluer l'efficacité des mesures et des procédures mises en œuvre;

b) identifier les risques émergents qu'il faut traiter; et
c) sélectionner, mettre en œuvre et améliorer les mesures appropriées le cas échéant.

6 © ISO/CEI 2009 – Tous droits réservés

 ISO/CEI 27000:2009(F)

Pour relier ces activités de sécurité de l'information et les coordonner, chaque organisation doit établir sa
politique et ses objectifs en matière de sécurité de l'information et atteindre ces objectifs de manière efficace
en utilisant un système de management.

3.2 Qu'est ce qu'un SMSI?

3.2.1 Vue d'ensemble et principes

Un SMSI (Système de Management de la Sécurité et de l'Information) fournit un modèle destiné à

l'établissement, à la mise en œuvre, à l'exploitation, à la surveillance, au réexamen, à la mise à jour et à
l'amélioration de la protection des actifs informationnels afin d'atteindre les objectifs métier en se fondant sur
l'appréciation des risques et sur les niveaux d'acceptation des risques définis par l'organisation pour traiter et
gérer efficacement les risques. L'analyse des exigences de protection des actifs informationnels et
l'application des mesures appropriées pour assurer comme il se doit la protection de ces actifs, contribuent à
la réussite de la mise en œuvre d'un SMSI. Les principes essentiels suivants y contribuent également:

a) la sensibilisation à la sécurité de l'information;

b) l'attribution des responsabilités liées à la sécurité de l'information;

c) la prise en compte de l'engagement de la direction et des intérêts des parties prenantes;

d) la consolidation des valeurs sociales;

e) l'appréciation des risques déterminant les mesures appropriées pour arriver à des niveaux de risques
acceptables;

f) l'intégration de la sécurité comme élément essentiel des systèmes et des réseaux d'information;

g) la prévention active et détection des incidents liés à la sécurité de l'information;

h) la garantie d'une approche globale du management de la sécurité de l'information; et

i) le réexamen continu de l'appréciation de la sécurité de l'information et la mise en œuvre de modifications

le cas échéant.

3.2.2 L'information

L'information est un actif qui, comme tous les autres actifs importants de l'organisation, est essentiel à son
fonctionnement et nécessite, par conséquent, d'être protégé de manière adéquate. L'information peut être
stockée sous différentes formes, notamment numérique (par exemple, les fichiers de données stockés sur un
support électronique ou optique), matérielle (par exemple, sur papier), ainsi que les connaissances des
salariés qui ne constituent pas une information tangible. L'information peut être transmise par différents
moyens, notamment par courrier, par communication électronique ou verbale. Quelle que soit la forme que
prend l'information ou quel que soit son vecteur de transmission, elle nécessite toujours une protection
appropriée.

L'information d'une organisation dépend des technologies de l'information et des communications. Ces
technologies sont un élément essentiel dans toute organisation et elle facilite la création, le traitement, le
stockage, la transmission, la protection et la destruction de l'information. Alors que l'étendue des
environnements de travail globaux interconnectés des organisations s'accroît, la nécessité de protéger
l'information s'accroît également, car cette information est maintenant exposée à une plus grande diversité de
menaces et de vulnérabilités.

3.2.3 Sécurité de l'information

La sécurité de l'information comprend trois grandes dimensions: la confidentialité, la disponibilité et l'intégrité.

Dans le but d'assurer la réussite durable de l'organisation et sa continuité, et de réduire le plus possible les

© ISO/CEI 2009 – Tous droits réservés 7

ISO/CEI 27000:2009(F)

impacts, la sécurité de l'information implique l'application et le management de mesures de sécurité

appropriées, ce qui implique la prise en compte d'un vaste éventail de menaces.

La sécurité de l'information s'obtient par la mise en œuvre d'un ensemble de mesures applicables,
sélectionnées au moyen d'un processus déterminé de gestion du risque et gérées au moyen d'un SMSI,
incluant des politiques, des processus, des procédures, des structures organisationnelles, des logiciels et
des matériels pour protéger l'actif informationnel identifié. Ces mesures doivent être spécifiées, mises en
œuvre, surveillées, réexaminées et améliorées si nécessaire, pour s'assurer qu'elles répondent aux
objectifs sécurité et métier spécifiques de l'organisation. Les mesures de sécurité pertinentes touchant
l'information doivent en principe s'intégrer sans heurts dans les processus métier de l'organisation.

3.2.4 Management

Le management implique des activités de pilotage, de contrôle et d'amélioration continue de l'organisation

dans des structures appropriées. Les activités de management incluent les actions, la manière ou les
pratiques pour organiser, prendre en charge, diriger, superviser et contrôler les ressources. Les structures
de management peuvent aller d'une personne dans une petite organisation à des hiérarchies de
management composées d'un grand nombre de personnes dans les grandes organisations.

Au sens d'un SMSI, le management implique la supervision et la prise de décisions nécessaires à la

réalisation des objectifs métier par le biais de la protection des actifs informationnels de l'organisation. Le
management de la sécurité de l'information s'exprime au travers de la formulation et l'utilisation de politiques,
de normes, de procédures et de lignes directrices relatives à la sécurité de l'information, qui sont ensuite
appliqués à tous les niveaux de l'organisation par toutes les personnes qui y sont associées.

NOTE Le terme «management» peut parfois se rapporter aux personnes (c'est-à-dire à une personne ou à groupe
de personnes ayant l'autorité et la responsabilité de la direction et du contrôle d'une organisation). Dans cet article, le
terme «management» n'est pas utilisé dans ce sens.

3.2.5 Système de management

Un système de management utilise un cadre de référence en vue d'atteindre les objectifs d'une organisation.
Le système de management inclut l'organisation, les politiques, les activités de planification, les
responsabilités, les pratiques, les procédures, les processus et les ressources.

En termes de sécurité de l'information, un système de management permet à une organisation:

a) de satisfaire les exigences de sécurité des clients et des autres parties prenantes;

b) d'améliorer les plans et les activités d'une organisation;

c) de répondre aux objectifs de sécurité de l'information de l'organisation;

d) de se conformer aux réglementations, à la législation et aux autorités sectorielles; et

e) de manager les actifs informationnels d'une manière organisée qui facilite l'amélioration et l'ajustement
continus aux objectifs actuels de l'organisation et à l'environnement.

3.3 Approche processus

Les organisations doivent identifier et manager de nombreuses activités de manière à avoir un

fonctionnement efficace et efficient. Toute activité utilisant des ressources a besoin d'être managée pour
permettre la transformation d'éléments d'entrée en éléments de sortie en utilisant un ensemble d'activités
corrélées ou interactives: cela est aussi connu sous le nom de «processus». Les éléments de sortie d'un
processus peuvent constituer directement les éléments d'entrée d'un autre processus et, généralement, cette
transformation s'opère dans des conditions planifiées et maîtrisées. L' «approche processus» désigne
l'application d'un système de processus au sein d'une organisation, ainsi que l'identification, les interactions
et le management de ces processus.

8 © ISO/CEI 2009 – Tous droits réservés

 ISO/CEI 27000:2009(F)

L'approche processus d'un SMSI présentée dans la famille de normes des SMSI se fonde sur le principe de
fonctionnement adopté dans les normes de système de management de l'ISO, connu sous le nom de
processus PDCA: Planifier-Déployer-Contrôler-Agir.

a) Planifier – déterminer des objectifs et faire des plans (analyser la situation de l'organisation, déterminer
des objectifs d'ensemble et définir des cibles, puis élaborer des plans pour les atteindre);

b) Déployer – mise en œuvre des plans (faire ce qui a été prévu);

c) Contrôler – mesurer les résultats (mesurer/vérifier dans quelle mesure les réalisations répondent aux
objectifs planifiés); et

d) Agir – corriger et améliorer les activités (tirer les leçons des erreurs pour améliorer les activités afin
d'atteindre de meilleurs résultats).

3.4 Raisons pour lesquelles un SMSI est important

En tant qu'éléments du SMSI d'une organisation, les risques associés aux actifs informationnels de
l'organisation doivent être traités. Mener à bien la sécurité de l'information requiert une gestion du risque et
englobe les risques découlant de menaces physiques, humaines et technologiques associées à toutes les
formes d'information au sein de l'organisation ou utilisées par l'organisation.

L'adoption d'un SMSI doit en principe être une décision stratégique pour une organisation et il est nécessaire
que cette décision soit intégrée sans heurts, dimensionnée et actualisée en fonction des besoins de
l'organisation.

La conception et la mise en œuvre du SMSI d'une organisation sont influencées par les besoins et les
objectifs de l'organisation, les exigences de sécurité, les processus mis en œuvre, ainsi que par la taille et la
structure de l'organisation. La conception et la mise en œuvre d'un SMSI doivent correspondre aux intérêts et
aux exigences en matière de sécurité de l'information de toutes les parties prenantes de l'organisation,
incluant les clients, les fournisseurs, les partenaires commerciaux, les actionnaires et toutes les autres tierces
parties à prendre en considération.

Dans un monde interconnecté, l'information et les processus, les systèmes, les réseaux qui s'y rapportent
constituent des actifs critiques de l'organisation. Les organisations et leurs systèmes et réseaux d'informations
sont confrontés à des menaces pour la sécurité ayant de multiples sources, notamment la fraude assistée par
ordinateur, l'espionnage, le sabotage, le vandalisme, les incendies et les inondations. Les dommages causés
aux systèmes et aux réseaux d'information par des programmes malveillants, le piratage informatique et les
attaques par saturation deviennent plus courants, plus ambitieux et de plus en plus sophistiqués.

Un SMSI est important tant pour les activités du secteur public que du secteur privé. Dans toute branche
d'activité, un SMSI est un instrument qui favorise le commerce électronique et qui s'avère essentiel aux
activités de gestion du risque. L'interconnection des réseaux publics et privés et le partage d'actifs
informationnels augmentent la difficulté de contrôler l'accès à l'information et à son traitement. En outre, la
distribution de dispositifs de stockage mobiles contenant un actif informationnel peut affaiblir l'efficacité des
mesures de sécurité traditionnelles. Quand des organisations adoptent la famille de normes du SMSI, il est
possible de démontrer aux partenaires de l'organisation et aux autres parties intéressées la faculté d'appliquer
des principes de sécurité de l'information cohérents et mutuellement reconnaissables.

La sécurité de l'information n'est pas toujours prise en compte dans la conception et l'élaboration des
systèmes d'information. En outre, la sécurité de l'information est souvent pensée comme une solution
technique. Pourtant, la sécurité qui peut être assurée par des moyens techniques est limitée et peut s'avérer
inefficace sans le soutien d'un management et de procédures appropriés dans le contexte d'un SMSI.
L'intégration après coup de la sécurité dans un système d'information peut s'avérer coûteuse et lourde. Un
SMSI implique une identification des mesures de sécurité mises en place et requiert une planification soignée
et une grande attention portée aux détails. A titre d'exemple, les contrôles d'accès, qui peuvent être
techniques (logiques), physiques, administratifs (managériaux) ou une combinaison de ces éléments,
fournissent un moyen de s'assurer que l'accès à l'actif informationnel est autorisé et limité sur la base des
exigences de l'organisation et de la sécurité.

© ISO/CEI 2009 – Tous droits réservés 9

ISO/CEI 27000:2009(F)

La réussite de l'adoption d'un SMSI est importante pour protéger les actifs informationnels permettant à une
organisation:

a) d'obtenir une meilleure assurance que ses actifs informationnels sont correctement protégés contre les
risques liés à la sécurité de l'information et ce, de façon permanente;

b) de maintenir un cadre de référence structuré et exhaustif d'identification et d'appréciation des risques liés
à la sécurité de l'information, en choisissant et en mettant en œuvre les mesures de sécurité appropriées
et en mesurant et améliorant leur efficacité;

c) d'améliorer de manière continu la maîtrise de l'environnement; et

d) d'assurer avec efficacité la conformité aux lois et règlements.

3.5 Établissement, surveillance, mise à jour et amélioration d'un SMSI

3.5.1 Vue d'ensemble

Une organisation doit mettre en œuvre les étapes suivantes pour l'établissement, la surveillance, la mise à
jour et l'amélioration de son SMSI:

a) identifier les actifs informationnels et les exigences de sécurité associées (voir 3.5.2);

b) apprécier les risques liées à la sécurité de l'information (voir 3.5.3);

c) sélectionner et mettre en œuvre les mesures de sécurité pertinentes pour manager les risques
inacceptables (voir 3.5.4); et

d) surveiller, mettre à jour et améliorer l'efficacité des mesures de sécurité associées à l'actif informationnel
de l'organisation (voir 3.5.5).

Pour s'assurer que le SMSI protège efficacement l'actif informationnel de l'organisation de manière continue, il
est nécessaire de répéter les étapes (a) à (d) en permanence pour identifier les changements affectant les
risques, ou les stratégies de l'organisation ou encore les objectifs métier.

3.5.2 Identifier les exigences liées à la sécurité de l'information

Dans le cadre de la stratégie globale et des objectifs métier de l'organisation, de sa taille et de son extension
géographique, les exigences de sécurité de l'information peuvent être identifiées par la compréhension:

a) des actifs informationnels identifiés et de leur valeur;

b) des besoins métier de l'organisation en traitement et stockage de l'information; et

c) des exigences légales, réglementaires et contractuelles.

La conduite d'une appréciation méthodique des risques associés aux actifs informationnels de l'organisation
va impliquer l'analyse: des menaces pesant sur les actifs informationnels; des vulnérabilités à une menace et
de la probabilité d'occurrence d'une menace sur les actifs informationnels; et des impacts potentiels sur les
actifs informationnels de tout incident lié à la sécurité de l'information. Les dépenses en mesures de sécurité
pertinentes doivent en principe être proportionnelles aux impacts perçus sur l'organisation de la concrétisation
du risque.

3.5.3 Apprécier les risques liés à la sécurité de l'information

La gestion des risques liés à la sécurité de l'information requiert une appréciation correcte des risques et de la
méthode de traitement des risques qui peut inclure une estimation des coûts et des bénéfices, des exigences
légales, des aspects sociaux, économiques et environnementaux, des préoccupations des parties prenantes,

10 © ISO/CEI 2009 – Tous droits réservés

 ISO/CEI 27000:2009(F)

des priorités et d'autres données et variables, si nécessaire. Les résultats de l'appréciation des risques liés à
la sécurité de l'information vont guider la direction dans son choix de traitement approprié en vue d'agir sur la
gestion des risques liés à la sécurité de l'information et de définir des priorités, ainsi que de mettre en œuvre
des mesures pertinentes de maîtrise de la sécurité pour assurer une protection contre ces risques.
L'ISO/CEI 27005 fournit des lignes directrices de gestion du risque lié à la sécurité de l'information,
comprenant des conseils sur l'appréciation des risques, le traitement des risques, l'acceptation des risques, la
communication relative aux risques, la surveillance du risque et la révision du risque.

3.5.4 Sélectionner et mettre en œuvre les mesures de sécurité de l'information

Une fois que les exigences de sécurité de l'information ont été identifiées et que les risques liés à la sécurité
des actifs informationnels ont été déterminés et appréciés (y compris la prise de décisions sur le traitement
des risques liés à la sécurité de l'information), il faut sélectionner et mettre en œuvre les mesures appropriées
pour s'assurer que les risques liés à la sécurité de l'information sont ramenés à un seuil acceptable pour
l'organisation. Les mesures peuvent être sélectionnées à partir de l'ISO/CEI 27002, d'autres ensembles de
mesures pertinentes ou bien il est possible de concevoir de nouvelles mesures correspondant aux besoins
spécifiques, le cas échéant. La sélection des mesures de sécurité dépend des exigences de sécurité qui
tiennent compte des critères d'acception du risque lié à la sécurité de l'information, des options de traitement
des risques et de l'approche générale de gestion du risque appliquée par l'organisation. La sélection et la
mise en œuvre des mesures de sécurité peuvent être documentées dans une déclaration d'applicabilité pour
aider à répondre aux exigences de conformité.

Les mesures spécifiées dans l'ISO/CEI 27002 sont reconnues comme étant des bonnes pratiques
applicables à la plupart des organisations et qui peuvent être facilement adaptées pour tenir compte des
tailles et des complexités diverses des organisations. D'autres normes de la famille des normes du SMSI
fournissent des lignes directrices sur la sélection et l'application des mesures de sécurité de l'information de
l'ISO/CEI 27002 pour le système de management (ISO/CEI 27001).

3.5.5 Surveiller, mettre à jour et améliorer l'efficacité du SMSI

Une organisation doit maintenir et améliorer le SMSI en surveillant et en appréciant sa performance par
rapport à sa politique et à ses objectifs et en rapportant les résultats à la direction pour réexamen. Ce
réexamen du SMSI va permettre d'apporter la preuve de la validation, de la vérification et de la traçabilité des
actions correctives, des actions préventives et des actions d'amélioration en se fondant sur les
enregistrements de ces points de surveillance, incluant la surveillance des mesures de sécurité de
l'information.

3.6 Facteurs critiques de succès du SMSI

Un grand nombre de facteurs sont critiques pour réussir la mise en œuvre d'un SMSI permettant à une
organisation de répondre à ses objectifs métier. Voici des exemples de facteurs critiques de succès:

a) une politique, des objectifs et activités de sécurité de l'information en phase avec les objectifs;

b) une approche et un cadre pour la conception, la mise en œuvre, la surveillance, le maintien et

l'amélioration de la sécurité de l'information cohérents avec la culture de l'organisation;

c) un soutien et un engagement visibles à tous les niveaux du management, notamment au niveau de la

direction générale;

d) une compréhension des exigences de protection des actifs informationnels obtenue par l'application
d'une gestion du risque lié à la sécurité de l'information (voir l'ISO/CEI 27005);

e) un programme efficace de sensibilisation, de formation et d'éducation à la sécurité de l'information,

informant tous les salariés et les autres parties concernées de leurs obligations en matière de sécurité de
l'information, obligations détaillées dans les politiques, normes, etc., de sécurité de l'information, et les
motivant à agir en conséquence;

f) un processus efficace de gestion des incidents liés à la sécurité de l'information;

© ISO/CEI 2009 – Tous droits réservés 11

ISO/CEI 27000:2009(F)

g) une approche efficace de management de la continuité d'activité; et

h) un système de mesurage servant à évaluer la performance du management de la sécurité de

l'information et des suggestions de retour d'information en vue de son amélioration.

Un SMSI augmente la probabilité de voir une organisation réunir de façon cohérente les facteurs de succès
critiques nécessaires à la protection de ses actifs informationnels.

3.7 Avantages de la famille de normes des SMSI

Les avantages de la mise en œuvre d'un SMSI vont avant tout découler d'une réduction du risque lié à la
sécurité de l'information (par exemple, réduction de la probabilité et/ou de l'impact des incidents liés à la
sécurité de l'information). Les avantages découlant de l'adoption de la famille de normes du SMSI incluent
plus précisément:

a) un soutien au processus de définition, de mise en œuvre, de fonctionnement et de mise à jour d'un SMSI
intégré et aligné, exhaustif et économique, qui répond aux besoins de l'organisation à travers différents
sites et modes de fonctionnement;

b) une aide à la direction en lui permettant de structurer son approche du management de la sécurité de
l'information, au sein du contexte de gouvernance et de gestion des risques de l'entreprise, comprenant
les actions d'éducation et de formation des responsables métiers et propriétaires système sur la gestion
globale de la sécurité de l'information;

c) la promotion de bonnes pratiques de sécurité de l'information, admises dans le monde entier, de façon
non dogmatique, donnant aux organisations la latitude nécessaire pour adopter et améliorer les contrôles
appropriés convenant à leurs situations spécifiques et pour les mettre à jour face aux changements
internes et externes; et

d) la mise à disposition d'un langage commun et de fondements conceptuels de sécurité de l'information,

facilitant la confiance entre les partenaires de l'organisation grâce à un SMSI conforme, en particulier s'ils
sollicitent la certification selon l'ISO/CEI 27001 auprès d'une organisation de certification accrédité.

4 La famille de normes du SMSI

4.1 Informations générales

La famille de normes du SMSI se compose de normes interdépendantes, qui ont déjà été publiées ou sont en
cours d'élaboration et qui comportent un certain nombre de composantes structurelles importantes. Ces
composantes sont articulées autour des normes directives décrivant les exigences du SMSI (ISO/CEI 27001)
et les exigences des organisations de certification (ISO/CEI 27006) pour les entités en charge de la
certification de la conformité avec l'ISO/CEI 27001. D'autres normes fournissent des lignes directrices sur
divers aspects de la mise en œuvre d'un SMSI, tels que la façon d'aborder un processus générique, des
lignes directrices se rapportant aux mesures de sécurité, ainsi que des lignes directrices particulières à un
secteur. Les relations au sein de la famille de normes du SMSI 2) sont illustrées à la Figure 1.

2) Les normes internationales ISO/CEI 27003, ISO/CEI 27004, ISO/CEI 27007 sont actuellement en cours d'élaboration.

12 © ISO/CEI 2009 – Tous droits réservés

 ISO/CEI 27000:2009(F)

1 5

2 7 8

9 10

3 11 12

13

14
4 16 17 18
19
15

Légende

1 Terminologie 10 Lignes directrices d'audit

2 Exigences générales 11 Lignes directrices de mise en œuvre
3 Lignes directrices générales 12 Gestion des risques
4 Lignes directrices spécifiques à un secteur 13 Mesurages
5 Vue d'ensemble 14 Organisations de télécommunications
6 Fournit un cadre général, des termes et des 15 Organisations de santé
définitions applicables à la famille de normes du SMSI 16 Légende
7 Exigences du SMSI 17 Documents normatifs (exigences)
8 Exigences d'un organisation de certification 18 Documents informatifs (lignes directrices)
9 Code de bonnes pratiques 19 Ligne fixe: appuis

Figure 1 — Relations au sein de la famille de normes du SMSI

Les normes qui viennent directement en appui, présentent des lignes directrices détaillées et/ou une
interprétation des processus PDCA dans leur ensemble et des exigences spécifiées dans l'ISO/CEI 27001
(voir 4.3.1): l'ISO/CEI 27000 (voir 4.2.1), l'ISO/CEI 27002 (voir 4.4.1), l'ISO/CEI 27003 (voir 4.4.2),
l'ISO/CEI 27004 (voir 4.4.3), l'ISO/CEI 27005 (voir 4.4.4) et l'ISO/CEI 27007 (voir 4.4.5).

L'ISO/CEI 27006 (voir 4.3.2) traite des exigences spécifiques concernant les organisations de certification de
SMSI. L'ISO/CEI 27011 (voir 4.5.1) et l'ISO 27799 (4.5.2) traitent des lignes directrices du SMSI spécifiques de
chaque secteur. 3)

3) Les références ISO/CEI 27008, ISO/CEI 27009 et ISO/CEI 27010 sont réservées à de futures normes qui sont
associées à la famille de normes du SMSI et qui n'étaient pas encore définies lors de la publication de la présente Norme
internationale.

© ISO/CEI 2009 – Tous droits réservés 13

ISO/CEI 27000:2009(F)

La famille de normes du SMSI conserve des relations avec beaucoup d'autres normes ISO et ISO/CEI, et
elles sont classées et décrites de façon plus substantielle comme étant:

a) des normes décrivant une vue d'ensemble et une terminologie (voir 4.2);

b) des normes spécifiant des exigences (voir 4.3);

c) des normes décrivant des lignes directrices générales (voir 4.4); ou

d) des normes décrivant des lignes directrices spécifiques à secteur (voir 4.5).

4.2 Normes décrivant une vue d'ensemble et une terminologie

ISO/CEI 27000 (le présent document):

Technologies de l'information — Techniques de sécurité — Systèmes de management de la sécurité de

l'information — Vue d'ensemble et vocabulaire

Domaine d'application: La présente Norme internationale fournit aux organisations et aux personnes:

a) une vue d'ensemble de la famille de normes du SMSI;

b) une introduction aux systèmes de management de la sécurité de l'information (SMSI);

c) une brève description du processus Planifier-Déployer-Contrôler-Agir (PDCA); et

d) les termes et les définitions utilisés dans la famille de normes du SMSI.

Objectif: L'ISO/CEI 27000 décrit les principes essentiels des systèmes de management de la sécurité de
l'information, qui constituent l'objet de la famille de normes du SMSI, et définit les termes qui s'y rapportent.

4.3 Normes spécifiant des exigences

4.3.1 ISO/CEI 27001

Technologies de l'information — Techniques de sécurité — Systèmes de management de la sécurité de

l'information — Exigences

Domaine d'application: Cette Norme internationale spécifie les exigences relatives à l'établissement, à la mise
en œuvre, à l'exploitation, à la surveillance, au réexamen, à la mise à jour et à l'amélioration des systèmes de
management de la sécurité de l'information (SMSI) formalisés, dans le contexte des risques globaux liés à
l'activité de l'organisation. Elle spécifie les exigences relatives à la mise en œuvre des mesures de sécurité
adaptées aux besoins de chaque organisation ou à leurs parties constitutives. Cette Norme internationale est
universelle et à destination de tous les types d'organisations (par exemple: entreprises commerciales,
organisations publics, organisations à but non lucratif).

Objectif: L'ISO/CEI 27001 fournit des exigences normatives relatives à l'élaboration et à l'exploitation d'un
SMSI, incluant un ensemble de mesures de sécurité pour la maîtrise et l'atténuation des risques associés aux
actifs informationnels que l'organisation cherche à protéger en mettant en œuvre son SMSI. Les organisations
appliquant un SMSI peuvent faire auditer et certifier sa conformité. Les objectifs et les mesures de sécurité
définis dans l'Annexe A (ISO/CEI 27001) doivent être sélectionnés, en fonction des besoins, comme partie
intégrante de ce processus de SMSI pour satisfaire aux exigences identifiées. Les objectifs et les mesures
de sécurité répertoriés dans le Tableau A.1 (ISO/CEI 27001) découlent directement de ceux qui sont
répertoriés dans l'ISO/CEI 27002, Articles 5 à 15 avec lesquels ils sont en adéquation.

14 © ISO/CEI 2009 – Tous droits réservés

 ISO/CEI 27000:2009(F)

4.3.2 ISO/CEI 27006

Technologies de l 'i n formation — Techniques de sécur i té — Exigences pour les organisations procédant à
l'audit et à la certification des systèmes de management de la sécurité de l'information

Domaine d'application: Cette Norme internationale spécifie les exigences et fournit les lignes directrices aux
organisations procédant à l'audit et à la certification de SMSI conformément à l'ISO/CEI 27001, en plus des
exigences contenues dans l'ISO/CEI 17021. Elle a, avant tout, pour objet d'appuyer l'accréditation des
organisations de certification procédant à la certification des SMSI selon l'ISO/CEI 27001.

Objectif: L'ISO/CEI 27006 complète l'ISO/CEI 17021 en prévoyant les exigences permettant aux organisations
de certification d'être accrédités et ainsi de pouvoir assurer des certifications de conformité cohérentes par
rapport aux exigences stipulées dans l'ISO/CEI 27001.

4.4 Normes décrivant des lignes directrices générales

4.4.1 ISO/CEI 27002

Technologies de l'information — Techniques de sécurité — Code de bonne pratique pour la gestion de la

sécurité de l'information

Domaine d'application: Cette Norme internationale fournit une liste d'objectifs de sécurité communément
acceptés et de mesures de sécurité issues des meilleures pratiques devant servir de lignes directrices au
moment de sélectionner et de mettre en œuvre les mesures destinées à assurer la sécurité de l'information.

Objectif: L'ISO/CEI 27002 fournit des lignes directrices pour la mise en œuvre des mesures de sécurité de
l'information. Les Articles 5 à 15, en particulier, fournissent des recommandations de mise en œuvre et des
lignes directrices relatives aux meilleures pratiques, en appui aux mesures spécifiées dans les
paragraphes A.5 à A.15 de l'ISO/CEI 27001.

4.4.2 ISO/CEI 27003

Technologies de l'information — Techniques de sécurité — Guide de mise en oeuvre du système de

management de la sécurité de l'information

Domaine d'application: Cette Norme internationale fournira des lignes directrices pratiques de mise en œuvre
et apportera des informations complémentaires pour l'établissement, la mise en œuvre, l'exploitation, la
surveillance, le réexamen, la mise à jour et l'amélioration d'un SMSI selon l'ISO/CEI 27001.

Objectif: L'ISO/CEI 27003 fournira une approche orientée processus pour la réussite de la mise en œuvre
d'un SMSI conformément à l'ISO/CEI 27001.

4.4.3 ISO/CEI 27004

Technologies de l'information — Techniques de sécurité — Management de la sécurité de l'information —

Mesurage

Domaine d'application: Cette Norme internationale fournira des lignes directrices et des conseils sur
l'élaboration et l'utilisation du mesurage afin d'apprécier l'efficacité du SMSI, des objectifs de sécurité et des
mesures de sécurité servant à mettre en œuvre et à manager la sécurité de l'information, conformément aux
spécifications de l'ISO/CEI 27001.

Objectif: L'ISO/CEI 27004 fournira un cadre de mesurage permettant une appréciation de l'efficacité du SMSI
à être mesuré selon l'ISO/CEI 27001.

© ISO/CEI 2009 – Tous droits réservés 15

ISO/CEI 27000:2009(F)

4.4.4 ISO/CEI 27005

Technologies de l'information — Techniques de sécurité — Gestion des risques en sécurité de l'information

Domaine d'application: Cette Norme internationale fournit des lignes directrices pour la gestion des risques
liés à la sécurité de l'information. L'approche décrite dans cette Norme internationale vient en appui des
concepts généraux énoncés dans l'ISO/CEI 27001.

Objectif: L'ISO/CEI 27005 fournit des lignes directrices sur la mise en œuvre d'une approche de gestion du
risque orientée processus pour aider, de façon satisfaisante, à la mise en œuvre et à la réalisation des
exigences de gestion du risque lié à la sécurité de l'information de l'ISO/CEI 27001.

4.4.5 ISO/CEI 27007

Technologies de l'information — Techniques de sécurité — Lignes directrices pour l'audit des systèmes de
management de la sécurité de l'information

Domaine d'application: Cette Norme internationale fournira des lignes directrices sur la façon de mener des
audits de SMSI, ainsi que des lignes directrices sur les compétences des auditeurs des systèmes de
management de sécurité de l'information, en complément des lignes directrices figurant dans la Norme
ISO 19011 qui sont applicables aux systèmes de management en général.

Objectif: L'ISO/CEI 27007 fournira des lignes directrices aux organisations ayant besoin de mener des audits
internes ou externes d'un SMSI ou de manager un programme d'audit de SMSI conformément aux exigences
spécifiées dans l'ISO/CEI 27001.

4.5 Normes décrivant des lignes directrices propres à un secteur

4.5.1 ISO/CEI 27011

Technologies de l'information — Techniques de sécurité — Lignes directrices de management de la sécurité

de l'information pour les organisations de télécommunications sur la base de l'ISO/CEI 27002

Domaine d'application: Cette Norme internationale fournit des lignes directrices appuyant la mise en œuvre
du Management de la Sécurité de l'Information (MSI) dans les organisations de télécommunications.

Objectif: L'ISO/CEI 27011 fournit aux organisations de télécommunications une adaptation des lignes
directrices de l'ISO/CEI 27002 propres à leur cœur de métier qui viennent en plus des lignes directrices
fournies en vue de répondre aux exigences de l'Annexe A de l'ISO/CEI 27001.

4.5.2 ISO 27799

ISO 27799:2008, Informatique de santé — Management de la sécurité de l'information relative à la santé en

utilisant l'ISO/CEI 27002

Domaine d'application: Cette Norme internationale fournit des lignes directrices appuyant la mise en œuvre
de Management de sécurité de l'information (MSI) dans les organisations de santé.

Objectif: L'ISO/CEI 27799 fournit aux organisations de santé une adaptation des lignes directrices de
l'ISO/CEI 27002 propres à leur cœur de métier qui viennent en plus des lignes directrices fournies en vue de
répondre aux exigences de l'Annexe A de l'ISO/CEI 27001.

16 © ISO/CEI 2009 – Tous droits réservés

 ISO/CEI 27000:2009(F)

Annexe A
(informative)

Formes verbales pour exprimer des dispositions

L'application des différents documents de la famille de normes des SMSI n'est pas une obligation. Cependant,
elle peut être imposée, par exemple, par la législation ou par un contrat. Afin de pouvoir revendiquer la
conformité à un document, l'utilisateur doit pouvoir identifier les exigences à satisfaire. L'utilisateur doit
également pouvoir distinguer ces exigences des autres recommandations pour lesquelles il existe une
certaine liberté de choix.

Le tableau suivant fournit des éclaircissements sur la façon dont un document de la famille de normes des
SMSI doit être interprété en fonction des expressions verbales utilisées, celles-ci exprimant soit des
exigences, soit des recommandations.

INDICATION EXPLICATION
Exigence Les termes «doit» et «ne doit pas» indiquent des exigences qui doivent être
strictement respectées, aucun écart n'étant permis, pour être conforme au
document.

Recommandation Les termes «il convient de» et «il ne convient pas de» indiquent qu'entre
plusieurs possibilités, l'une d'entre elles est recommandée comme étant
particulièrement appropriée, sans mentionner, ni en exclure d'autres, ou bien
qu'une certaine conduite à tenir est préférable, mais n'est pas
nécessairement exigée, ou encore (dans la forme négative) qu'une certaine
possibilité ou qu'une certaine conduite à tenir est désapprouvée, mais n'est
pas interdite.

Permission Les termes «peut» et «n'a pas besoin de» indiquent une conduite à tenir
autorisée dans les limites du document.

Possibilité Les termes «peut» et «ne peut pas» indiquent une possibilité que quelque
chose se produise.

© ISO/CEI 2009 – Tous droits réservés 17

ISO/CEI 27000:2009(F)

Annexe B
(informative)

Termes classés par catégories

B.1 Termes relatifs à la sécurité de l'information

2.2 imputabilité

2.5 authentification

2.6 authenticité

2.7 disponibilité

2.9 confidentialité

2.19 sécurité de l'information

2.25 intégrité

2.27 non-répudiation

2.33 fiabilité

B.2 Termes relatifs au management

2.8 continuité de l'activité

2.12 action corrective

2.13 efficacité

2.14 efficience

2.16 ligne directrice

2.23 système de management de la sécurité de l'information – SMSI

2.26 système de management

2.28 politique

2.29 action préventive

2.31 processus

18 © ISO/CEI 2009 – Tous droits réservés

 ISO/CEI 27000:2009(F)

B.3 Termes relatifs aux risques liés à la sécurité de l'information

2.1 contrôle d'accès

2.3 actif

2.4 attaque

2.10 mesure de sécurité

2.11 objectif de sécurité

2.15 événement

2.17 impact

2.18 actif informationnel

2.20 événement lié à la sécurité de l'information

2.21 incident lié à la sécurité de l'information

2.22 gestion des incidents liés à la sécurité de l'information

2.24 risque lié à la sécurité de l'information

2.34 risque

2.35 acceptation des risques

2.36 analyse des risques

2.37 appréciation des risques

2.38 communication relative aux risques

2.39 critères de risque

2.40 estimation des risques

2.41 évaluation des risques

2.42 gestion du risque

2.43 traitement des risques

2.45 menace

2.46 vulnérabilité

B.4 Termes relatifs à la documentation

2.30 procédure

2.32 enregistrement

2.44 déclaration d'applicabilité

© ISO/CEI 2009 – Tous droits réservés 19

ISO/CEI 27000:2009(F)

Bibliographie

[1] ISO/CEI 17021:2006, Évaluation de la conformité — Exigences pour les organismes procédant à
l'audit et à la certification des systèmes de management

[2] ISO 9000:2005, Systèmes de management de la qualité — Principes essentiels et vocabulaire

[3] ISO 19011:2002, Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de
management environnemental

[4] ISO/CEI 27001:2005, Technologies de l'information — Techniques de sécurité — Systèmes de

management de la sécurité de l'information — Exigences

[5] ISO/CEI 27002:2005, Technologies de l'information — Techniques de sécurité — Code de bonne

pratique pour le management de la sécurité de l'information

[6] ISO/CEI 27003 4 ), Technologies de l'information — Techniques de sécurité — Guide de mise en

œuvre du système de management de la sécurité de l'information

[7] ISO/CEI 27004 5 ), Technologies de l'information — Techniques de sécurité — Management de la

sécurité de l'information — Mesurage

[8] ISO/CEI 27005:2008, Technologies de l'information — Techniques de sécurité — Management du

risque de la sécurité de l'information

[9] ISO/CEI 27006:2007, Technologies de l'information — Techniques de sécurité — Exigences pour les
organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de
l'information

[10] ISO/CEI 27007 6), Technologies de l'information — Techniques de sécurité — Lignes directrices pour
l'audit des systèmes de management de la sécurité de l'information

[11] ISO/CEI 27011:2008, Technologies de l'information — Techniques de sécurité — Lignes directrices du

management de la sécurité de l'information pour les organismes de télécommunications sur la base de
l'ISO/CEI 27002

[12] ISO 27799:2008, Informatique de santé — Management de la sécurité de l'information relative à la

santé en utilisant l'ISO/CEI 27002

[13] ISO/CEI Guide 73:2002, Management du risque — Vocabulaire — Lignes directrices pour l'utilisation
dans les normes

4) À publier.
5) À publier.
6) À publier.

20 © ISO/CEI 2009 – Tous droits réservés

ISO/CEI 27000:2009(F)

ICS 01.040.35; 35.040

Prix basé sur 19 pages

© ISO/CEI 2009 – Tous droits réservés