Rappel des points clés

La portée de cette norme est le traitement des questions relatives à la sécurité de l’information.

Très souvent invoquée, la norme ISO 27001 ne sert pas qu’un seul but. Au contraire, la richesse de sa composition, la rigueur de sa constitution, la complétude des thèmes traités en fait une référence dans différents cas d’usage.

Par essence, la norme ISO 27001 est destinée à la certification d’un système de management dédié à la sécurité de l’information. En cela, elle est pertinente pour la constitution d’un système de management, mais aussi pour adresser des aspects plus techniques, propices à la protection des informations sensibles. Le cadre dans lequel s’inscrit cet usage est strict, contraint. La certification est subordonnée à un ensemble de processus et doit répondre à un ensemble d’exigences fixées. Leur prise en compte et leur déploiement doivent être validés et surtout vérifiables.

Par origine, les standards sur lesquels la norme ISO 27001 repose se voulaient être des recueils de bonnes pratiques, propres à édicter les règles constitutives de l’état de l’art. Ainsi, le duo ISO 27001 et ISO 27002 garde cette vocation, offrant un double niveau de lecture, stratégique et pratique. Le cadre de recours aux bonnes pratiques...