Contextualisation de la norme

La norme ISO 27001 est, à l’instar des standards ISO 9001 (qualité) et ISO 14001 (environnement), une norme de gouvernance. La gouvernance étant définie comme le processus qui consiste à contrôler l’utilisation des actifs et ressources pour accomplir la mission de l’organisation. La norme ISO 27001 est dévolue à la sécurité de l’information, et a donc pour objectif d’améliorer la gestion des actifs et des ressources en termes de cybersécurité. Il convient de prendre en considération au premier chef cette essence managériale, et comprendre de prime abord que, loin d’être réservée aux seuls spécialistes de la cybersécurité, elle est destinée plus largement à un public ayant à mettre en place et opérer un système de gouvernance. Dans bien des organisations, des responsables qualité au fait de l’ISO 9001 ont mis en place avec succès une gouvernance sécurité, quand l’appropriation de la norme par des spécialistes techniques de la sécurité s’est avérée plus délicate. Et c’est bien naturel, puisque toutes ces normes de gouvernance présentent un modèle similaire, et spécifient les mêmes règles.

La norme ISO 27001 n’est donc pas réservée à une minorité...