1、Technologies de linformation Techniques de scurit Systmes de gestion de scurit de linformation Vue densemble et vocabulaire Information technology Security techniques Information security management systems Overview and vocabulary NORME INTERNATIONALE ISO/IEC 27000 Quatrime dition 2016-02-15 Numro d
2、e rfrence ISO/IEC 27000:2016(F) ISO/IEC 2016 DOCUMENT PROTG PAR COPYRIGHT ISO/IEC 2016, Publi en Suisse Droits de reproduction rservs. Sauf indication contraire, aucune partie de cette publication ne peut tre reproduite ni utilise sous quelque forme que ce soit et par aucun procd, lectronique ou mca
3、nique, y compris la photocopie, laffichage sur linternet ou sur un Intranet, sans autorisation crite pralable. Les demandes dautorisation peuvent tre adresses lISO ladresse ci-aprs ou au comit membre de lISO dans le pays du demandeur. ISO copyright office Ch. de Blandonnet 8 CP 401 CH-1214 Vernier,
4、Geneva, Switzerland Tel. +41 22 749 01 11 Fax +41 22 749 09 47 copyrightiso.org www.iso.orgISO/IEC 27000:2016(F)ii ISO/IEC 2016 Tous droits rservs ISO/IEC 27000:2016(F)Avant-propos v 0 Introduction 1 0.1 Vue densemble . 1 0.2 La famille de normes du SMSI 1 0.3 Objet de la prsente Norme international
5、e 2 1 Domaine dapplication . 2 2 T ermes et dfinitions . 3 3 Systmes de management de la scurit de linformation 15 3.1 Gnralits .15 3.2 Quest-ce quun SMSI? 15 3.2.1 Vue densemble et principes .15 3.2.2 Linformation 16 3.2.3 Scurit de linformation .16 3.2.4 Management .17 3.2.5 Systme de management .
6、17 3.3 Approche processus 17 3.4 Raisons expliquant pourquoi un SMSI est important .17 3.5 tablissement, surveillance, maintenance et amlioration dun SMSI 18 3.5.1 Vue densemble 18 3.5.2 Identifier les exigences lies la scurit de linformation .19 3.5.3 Apprcier les risques lis la scurit de linformat
7、ion.19 3.5.4 Traiter les risques lis la scurit de linformation 20 3.5.5 Slectionner et mettre en uvre les mesures de scurit 20 3.5.6 Surveiller, mettre jour et amliorer lefficacit du SMSI .21 3.5.7 Amlioration continue .21 3.6 Facteurs critiques de succs du SMSI .22 3.7 Avantages de la famille de no
8、rmes du SMSI22 4 La famille de normes du SMSI 23 4.1 Information gnrales .23 4.2 Normes donnant une vue densemble et dcrivant la terminologie 24 4.2.1 ISO/IEC 27000 (la prsente Norme internationale) 24 4.3 Normes spcifiant des exigences .24 4.3.1 ISO/IEC 27001 24 4.3.2 ISO/IEC 27006 24 4.4 Normes dc
9、rivant des lignes directrices gnrales 25 4.4.1 ISO/IEC 27002 25 4.4.2 ISO/IEC 27003 25 4.4.3 ISO/IEC 27004 25 4.4.4 ISO/IEC 27005 25 4.4.5 ISO/IEC 27007 25 4.4.6 ISO/IEC/TR 27008 26 4.4.7 ISO/IEC 27013 26 4.4.8 ISO/IEC 27014 26 4.4.9 ISO/IEC/TR 27016 27 4.5 Normes dcrivant des lignes directrices pro
10、pres un secteur 27 4.5.1 ISO/IEC 27010 27 4.5.2 ISO/IEC 27011 27 4.5.3 ISO/IEC/TR 27015 27 4.5.4 ISO/IEC 27017 28 4.5.5 ISO/IEC 27018 28 4.5.6 ISO/IEC/TR 27019 28 4.5.7 ISO 27799 29 ISO/IEC 2016 Tous droits rservs iii Sommaire Page ISO/IEC 27000:2016(F)Annexe A (informative) Formes verbales utilises
11、 pour exprimer des dispositions 30 Annexe B (informative) Termes et proprit des termes 31 Bibliographie .35 iv ISO/IEC 2016 Tous droits rservs ISO/IEC 27000:2016(F) Avant-propos LISO (Organisation internationale de normalisation) et lIEC (Commission lectrotechnique internationale) forment le systme
12、spcialis de la normalisation mondiale. Les organismes nationaux membres de lISO ou de lIEC participent llaboration de Normes internationales par lintermdiaire de comits techniques crs par lorganisme concern pour traiter de domaines particuliers une activit technique. Les comits techniques de lISO et
13、 de lIEC collaborent dans des domaines dintrt commun. Dautres organismes internationaux, gouvernementaux et non gouvernementaux, en liaison avec lISO et lIEC participent galement aux travaux. Dans le domaine des technologies de linformation, lISO et lIEC ont cr un comit technique mixte, lISO/IEC JTC
14、 1. Les procdures utilises pour laborer le prsent document et celles destines sa mise jour sont dcrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des diffrents critres dapprobation requis pour les diffrents types de document. Le prsent document a t rdig conf
15、ormment aux rgles de rdaction donnes dans les Directives ISO/IEC, Partie 2 (voir http:/ /www. iso.org/directives). Lattention est appele sur le fait que certains des lments du prsent document peuvent faire lobjet de droits de proprit intellectuelle ou de droits analogues. LISO ne saurait tre tenue p
16、our responsable de ne pas avoir identifi de tels droits de proprit et averti de leur existence. Les dtails concernant les rfrences aux droits de proprit intellectuelle ou autres droits analogues identifis lors de llaboration du document sont indiqus dans lIntroduction et/ou dans la liste des dclarat
17、ions de brevets reues par lISO (voir www.iso.org/brevets). Les appellations commerciales ventuellement mentionnes dans le prsent document sont donnes pour information, par souci de commodit, lintention des utilisateurs et ne sauraient constituer un engagement. Pour une explication de la significatio
18、n des termes et expressions spcifiques de lISO lis lvaluation de la conformit, ou pour toute information au sujet de ladhsion de lISO aux principes de lOMC concernant les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos Informations supplmentaires. Le comit charg de llabora
19、tion du prsent document est lISO/IEC JTC 1, Technologies de linformation, sous-comit SC 27, Techniques de scurit des technologies de linformation. Cette quatrime dition annule et remplace la troisime dition (ISO/IEC 27000:2014), qui a fait lobjet dune rvision technique. ISO/IEC 2016 Tous droits rser
20、vs v Technologies de linformation Techniques de scurit Systmes de gestion de scurit de linformation Vue densemble et vocabulaire 0 Introduction 0.1 Vue densemble Les Normes internationales relatives aux systmes de management fournissent un modle en matire dtablissement et dexploitation dun systme de
21、 management. Ce modle comprend les caractristiques que les experts dans le domaine saccordent reconnatre comme refltant ltat de lart au niveau international. Le sous-comit ISO/IEC JTC 1/SC 27 bnficie de lexprience dun comit dexperts qui se consacre llaboration des Normes internationales sur les syst
22、mes de management pour la scurit de linformation, connues galement comme famille de normes du Systme de Management de la Scurit de lInformation (SMSI). Grce lutilisation de la famille de normes du SMSI, les organismes peuvent laborer et mettre en uvre un cadre de rfrence pour grer la scurit de leurs
23、 actifs informationnels, y compris les informations financires, la proprit intellectuelle, les informations sur les employs, ou les informations qui leur sont confies par des clients ou des tiers. Ils peuvent galement utiliser ces normes pour se prparer une valuation indpendante de leurs SMSI en mat
24、ire de protection de linformation. 0.2 La famille de normes du SMSI La famille de normes du SMSI (voir Article 4) a pour objet daider les organismes de tous types et de toutes tailles dployer et exploiter un SMSI. Elle se compose des Normes internationales suivantes (indiques ci-dessous par ordre nu
25、mrique) regroupes sous le titre gnral Technologies de linformation Techniques de scurit: ISO /IEC 27000, Systmes de management de la scurit de linformation Vue densemble et vocabulaire ISO/IEC 27001, Systmes de management de la scurit de linformation Exigences ISO/IEC 27002, Code de bonnes pratiques
26、 pour le management de la scurit de linformation ISO/IEC 27003, Lignes directrices pour la mise en uvre du systme de management de la scurit de linformation ISO/IEC 27004, Management de la scurit de linformation Mesurage ISO/IEC 27005, Gestion des risques lis la scurit de linformation ISO/IEC 27006,
27、 Exigences pour les organismes procdant laudit et la certification des systmes de management de la scurit de linformation ISO /IEC 27007 , Lignes directrices pour laudit des systmes de management de la scurit de linformation ISO/IEC/TR 27008, Lignes directrices pour les auditeurs des contrles de scu
28、rit de linformation ISO/IEC 27009, Application de lISO/IEC 27001 un secteur spcifique Exigences ISO/IEC 27010, Gestion de la scurit de linformation des communications intersectorielles et interorganisationnelles NORME INTERNATIONALE ISO/IEC 27000:2016(F) ISO 2016 Tous droits rservs 1 ISO/IEC 27000:2
29、016(F) ISO/IEC 27011, Lignes directrices du management de la scurit de linformation pour les organismes de tlcommunications sur la base de lISO/IEC 27002 ISO/IEC 27013, Guide sur la mise en uvre intgre de lISO/IEC 27001 et ISO/IEC 20000-1 ISO/IEC 27014, Gouvernance de la scurit de linformation ISO/I
30、EC/TR 27015, Lignes directrices pour le management de la scurit de linformation pour les services financiers ISO/IEC/TR 27016, Management de la scurit de linformation conomie organisationnelle ISO/IEC 27017, Code de bonnes pratiques pour les contrles de scurit de linformation fonds sur lISO/IEC 2700
31、2 pour les services du nuage ISO/IEC 27018, Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans linformatique en nuage public agissant comme processeur de PII ISO/IEC 27019, Lignes directrices de management de la scurit de linformation fondes sur lISO/I
32、EC 27002 pour les systmes de contrle des processus spcifiques lindustrie de lnergie NOTE Le titre gnral Technologies de linformation Techniques de scurit indique que ces Normes internationales ont t labores par le comit technique mixte ISO/IEC JTC 1, Technologies de linformation, sous-comit SC 27, T
33、echniques de scurit des technologies de linformation. Les Normes internationales qui font galement partie de la famille de normes du SMSI, mais qui ne sont pas regroupes sous le mme titre gnral, sont les suivantes: ISO 27799, Informatique de sant Management de la scurit de linformation relative la s
34、ant en utilisant lISO/IEC 27002 0.3 Objet de la prsente Norme internationale La prsente Norme internationale offre une vue densemble des systmes de management de la scurit de linformation et dfinit les termes qui sy rapportent. NOTE LAnnexe A fournit des claircissements sur la faon dont les formes v
35、erbales sont utilises pour exprimer des exigences et/ou des prconisations dans la famille de normes du SMSI. La famille de normes du SMSI comporte des normes qui: a) dfinissent les exigences relatives un SMSI et ceux qui certifient de tels systmes; b) apportent des informations directes, des prconis
36、ations et/ou une interprtation dtailles concernant le processus gnral visant tablir, mettre en uvre, maintenir et amliorer un SMSI; c) prsentent des lignes directrices propres des secteurs particuliers en matire de SMSI; d) traitent de lvaluation de la conformit dun SMSI. Les termes et les dfinition
37、s fournis dans la prsente Norme internationale: couvrent les termes et les dfinitions dusage courant dans la famille de normes du SMSI; ne couvrent pas lensemble des termes et des dfinitions utiliss dans la famille de normes du SMSI; ne limitent pas la famille de normes du SMSI en dfinissant de nouv
38、eaux termes utiliser. 1 Domaine dapplication La prsente Norme internationale offre une vue densemble des systmes de management de la scurit de linformation, ainsi que des termes et dfinitions dusage courant dans la famille de normes du SMSI. 2 ISO/IEC 2016 Tous droits rservs ISO/IEC 27000:2016(F) La
39、 prsente Norme internationale est applicable tous les types et toutes les tailles dorganismes (par exemple: les entreprises commerciales, les organismes publics, les organismes but non lucratif). 2 T ermes et dfinitio ns Pour les besoins du prsent document, les termes et dfinitions suivants sappliqu
40、ent: 2.1 contrle daccs moyens mis en uvre pour assurer que laccs aux actifs est autoris et limit selon les exigences (2.63) propres la scurit et lactivit mtier 2.2 modle analytique algorithme ou calcul combinant une ou plusieurs mesures lmentaires (2.10) et/ou mesures drives (2.22) avec les critres
41、de dcision associs (2.21) 2.3 attaque tentative de dtruire, de rendre public, de modifier, dinvalider, de voler ou dutiliser sans autorisation un actif, ou de faire un usage non autoris de celui-ci 2.4 attribut proprit ou caractristique dun objet (2.55) qui peut tre distingu quantitativement ou qual
42、itativement par des moyens humains ou automatiques SOURCE: ISO/IEC 15939:2007, 2.2, modifie Le terme entit a t remplac par objet dans la dfinition. 2.5 audit processus (2.61) mthodique, indpendant et document permettant dobtenir des preuves daudit et de les valuer de manire objective pour dterminer
43、dans quelle mesure les critres daudit sont satisfaits Note 1 larticle: Un audit peut tre interne (audit de premire partie), externe (audit de seconde ou de tierce partie) ou combin (associant deux disciplines ou plus). Note 2 larticle: Les termes preuves daudit et critres daudit sont dfinis dans lIS
44、O 19011. 2.6 champ de laudit tendue et limites dun audit (2.5) SOURCE: ISO 19011:2011, 3.14, modifie Suppression de la note 1 larticle. 2.7 au t he nt i f ic at ion mthode permettant de garantir quune caractristique revendique pour une entit est correcte 2.8 authenticit proprit selon laquelle une en
45、tit est ce quelle revendique tre 2.9 disponibilit proprit dtre accessible et utilisable la demande par une entit autorise ISO/IEC 2016 Tous droits rservs 3 ISO/IEC 27000:2016(F) 2.10 mesure lmentaire mesure (2.47) dfinie en fonction dun attribut (2.4) et de la mthode de mesurage spcifie pour le quan
46、tifier SOURCE: ISO/IEC 15939:2007, 2.3, modifie Suppression de la note 2 larticle. Note 1 larticle: Une mesure lmentaire est fonctionnellement indpendante des autres mesures (2.47). 2.11 comptence capacit appliquer des connaissances et des aptitudes pour obtenir les rsultats escompts 2.12 c on f ide
47、 nt i a l i t proprit selon laquelle linformation nest pas diffuse ni divulgue des personnes, des entits ou des processus (2.61) non autoriss 2.13 conformit satisfaction dune exigence (2.63) Note 1 larticle: Le terme anglais conformance est un synonyme, mais il est dconseill. 2.14 consquence effet dun vnement (2.25) affectant les objectifs (2.5
