ISO/IEC 17799:2005 Information technology — Security techniques — Code of practice for information security management
L'ISO a publié le 15 juin 2005 la deuxième édition de la norme ISO 17799 qui annule et remplace la première édition de la norme publiée en 2000. Cette nouvelle version 2005 de la norme est, comme la précédente édition, portée au titre de International Standard.
Différences entre la norme ISO/IEC 17799:2005 et la ISO 17799:2000
La norme ISO 17799, que l'on devrait appeler par son nom complet ISO/IEC 17799, a été élaborée et longuement discutée au niveau international par le Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques et porte le titre de:
ISO/IEC 17799:2005 Information technology — Security techniques — Code of practice for information security management
Cette norme de 115 pages est disponible à la vente, uniquement en langue anglaise, sur le site de l'ISO à l'adresse : ISO.org
A la dernière réunion du SC27 à Vienne, il a été unanimement décidé de renommer cette norme sous le numéro 27002 à partir de 2007, ainsi elle s'intitulera :
ISO/IEC 27002 = ISO/IEC 17799
De plus, au cours de cette réunion, il a également été décidé de procéder, au sein du groupe de travail ISO/IEC JTC 1/SC 27, à l'élaboration d'un groupe de normes internationales relatives à l'Information Security Management System (ISMS). Ce groupe de normes inclura les standards internationaux relatifs à :
- Information security management system requirements,
- Risk management,
- Metrics and measurement,
- Implementation guidance.
Ce groupe de standards internationaux adoptera la numérotation 27000 et suivants. La norme ISO/IEC 17799:2005 sera donc intégrée àce nouveau groupement sous sa nouvelle dénomination de International Standard ISO/IEC 27002.
Contenu de la norme ISO/IEC 17799:2005
1. Description de la norme
La norme ISO/IEC 17799:2005 établit les guides et les principes généraux d'implémentation, de maintien et d'amélioration de la gestion de la sécurité de l'information dans une organisation. Cette norme est attendue comme la base commune des guides de bonne conduite pour la mise en place d'un standard de sécurité organisationnel et de bonnes pratiques de management au niveau sécurité de l'information.
2. Structure de la norme
La norme ISO/IEC 17799:2005 définit onze domaines de sécurité de l'information constituant au total 39 catégories au sein desquelles ont été définis 137 contrôles.
Chacun des contrôles permet de s'assurer que les bonnes pratiques communément admises sont respectées pour chacune des catégories dans chaque domaine de la sécurité de l'information.
2.1. Domaines de sécurité de l'information
La norme ISO/IEC 17799:2005 recense de nombreux objectifs de contrôle répartis dans chacun des onze domaines suivants :
a. Security Policy
b. Organization Information Security
c. Asset Management
d. Human Resources Security
e. Physical and Environmental Security
f. Communications and Operations Management
g. Access Control
h. Information Systems Acquisition, Development and Maintenance
i. Information Security Incident Management
j. Business Continuity Management
k. Compliance
2.2. Catégories de sécurité
La structure de la norme est semblable pour chacune des 39 catégories de sécurité :
- Un objectif de contrôle qui fait l'état sur ce qui doit être appliqué est énoncé,
- Un ou plusieurs contrôles à appliquer sont proposés pour remplir l'objectif de contrôle de la catégorie de sécurité
2.3. Contrôles
Au niveau inférieur, la structure de la norme est semblable pour chacun des 137 objectifs de contrôle qui ont été définis :
- Control : le contrôle permet de définir précisément l'état pour satisfaire à l'objectif de contrôle,
- Implementation guidance : le guide d'implémentation propose les informations détaillées permettant d'effectuer l'implémentation du contrôle et de satisfaire à son objectif. Certaines guidances peuvent ne pas être adaptées à toutes les situations, ainsi d'autres mécanismes d'implémentation de l'objectif de contrôle peuvent être plus appropriés que ceux proposés et devront être employés. En d'autres termes, la norme ne se veut pas contraignante en terme de mise en œuvre car elle laisse la possibilité à une société d'implémenter les mesures de sécurité les plus adaptées à son contexte dans le but de satisfaire le contrôle concerné.
- Other information : les autres informations fournissent des détails sur ce qui peut être nécessaire de considérer pour satisfaire le contrôle, comme par exemple des considérations d'ordre légal ou des références vers d'autres standards.
3. Satisfaire à la norme ISO/IEC 17799:2005
Pour chaque domaine de sécurité de l'information, les objectifs de contrôle et les contrôles à effectuer recensés dans la norme ISO/IEC 17799:2005 sont destinés à être implémentés pour s'assurer du respect des impératifs de sécurité de l'information identifiés par une analyse de risques.
ISO 17799:2000 (en revision ou BS 7799-1 British Standard for Information Security Management).
BS 7799-1:1999 "Code of practice for information security management"
Cette première partie constitue un document de référence (guide de bonnes pratiques sécurité) pour toute personne qui, au sein d’une organisation, est chargée de veiller à la mise en place, au développement, à l’exécution ou encore au maintien de la sécurité des systèmes d’information. Cette première partie a été acceptée par l'ISO et l'IEC (International Electrotechnical Commission) en tant que standard international en décembre 2000 (actuellement en cours de révision).
Une seconde phase complète la BS 7799-1 : BS 7799-2:1999 "Specification for information security management systems". Cette seconde partie définit les exigences nécessaires pour établir, implémenter et documenter les systèmes de gestion de la sécurité des informations. Elle spécifie des contrôles de sécurité devant être mis en oeuvre par une organisation notamment après une analyse des risques. Le respect de ces spécifications ouvre la possibilité à certification.
 |
Pour en savoir plus ...
|
 |
|
