ISO/IEC 27000:2018

INTERNATIONAL ISO/IEC
STANDARD 27000
Redline version
compares Fifth edition to
Fourth edition
Information technology — Security
techniques — Information security
management systems — Overview and
vocabulary
Technologies de l'information — Techniques de sécurité — Systèmes
de management de la sécurité de l'information — Vue d'ensemble et
vocabulaire
Reference number
ISO/IEC 27000:redline:2018(E)
©
ISO/IEC 2018
ISO/IEC 27000:redline:2018(E)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
© ISO/IEC 2018
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
Contents Page
Foreword .v
Introduction .vi
0.1 Overview .vi
0.2 ISMS family of standards .vii
0.3 Purpose of this International Standard .vii
1 Scope . 1
2 Normative references . 1
2 3 Terms and definitions . 1
3 4 Information security management systems .14
3.1 4.1 General .14
3.2 4.2 What is an ISMS? .14
3.2.1 4.2.1 Overview and principles .14
3.2.2 4.2.2 Information .15
3.2.3 4.2.3 Information security .15
3.2.4 4.2.4 Management .15
3.2.5 4.2.5 Management system .16
3.3 4.3 Process approach .16
3.4 4.4 Why an ISMS is important .16
3.5 4.5 Establishing, monitoring, maintaining and improving an ISMS .17
3.5.1 4.5.1 Overview .17
3.5.2 4.5.2 Identifying information security requirements .17
3.5.3 4.5.3 Assessing information security risks .18
3.5.4 4.5.4 Treating information security risks .18
3.5.5 4.5.5 Selecting and implementing controls .19
3.5.6 4.5.6 Monitor, maintain and improve the effectiveness of the ISMS .19
3.5.7 4.5.7 Continual improvement .20
3.6 4.6 ISMS critical success factors .20
3.7 4.7 Benefits of the ISMS family of standards .20
4 5 ISMS family of standards .21
4.1 5.1 General information .21
4.2 5.2 Standards Standard describing an overview and terminology: ISO/IEC 27000
(this document) .23
4.2.1 ISO/IEC 27000 (this International Standard) .23
4.3 5.3 Standards specifying requirements .23
4.3.1 5.3.1 ISO/IEC 27001 .23
4.3.2 5.3.2 ISO/IEC 27006 .23
5.3.3 ISO/IEC 27009 .24
4.4 5.4 Standards describing general guidelines .24
4.4.1 5.4.1 ISO/IEC 27002 .24
4.4.2 5.4.2 ISO/IEC 27003 .24
4.4.3 5.4.3 ISO/IEC 27004 .24
4.4.4 5.4.4 ISO/IEC 27005 .25
4.4.5 5.4.5 ISO/IEC 27007 .25
4.4.6 5.4.6 ISO/IEC TR 27008 .25
4.4.7 5.4.7 ISO/IEC 27013 .25
4.4.8 5.4.8 ISO/IEC 27014 .26
4.4.9 5.4.9 ISO/IEC TR 27016 .26
5.4.10 ISO/IEC 27021 .26
4.5 5.5 Standards describing sector-specific guidelines .27
4.5.1 5.5.1 ISO/IEC 27010 .27
4.5.2 5.5.2 ISO/IEC 27011 .27
4.5.3 ISO/IEC TR 27015 .27
© ISO/IEC 2018 – All rights reserved iii

ISO/IEC 27000:redline:2018(E)
4.5.4 5.5.3 ISO/IEC 27017 .28
4.5.5 5.5.4 ISO/IEC 27018 .28
4.5.6 5.5.5 ISO/IEC TR  27019 .28
4.5.7 5.5.6 ISO 27799 .29
Annex A (informative) Verbal forms for the expression of provisions.30
Annex B (informative) Term and term ownership .31
Bibliography .36
iv © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other internationalis
a worldwide federation of national standards bodies (ISO member bodies). The work of preparing
International Standards is normally carried out through ISO technical committees. Each member
body interested in a subject for which a technical committee has been established has the right to be
represented on that committee. International organizations, governmental and non-governmental, in
liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and
IEC have established a joint technical committee, ISO/IEC JTC 1ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of documentISO documents should be noted. This document was drafted in accordance
with the editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directiveswww .iso
.org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www .iso .org/ patentswww .iso
.org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’sISO's adherence to
the WTOWorld Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the
following URL: Foreword - Supplementary informationwww .iso .org/ iso/ foreword .html.
The committee responsible for this document isThis document was prepared by Technical Committee
ISO/IEC JTC 1, Information technology, SC 27, IT Security techniques.
This fourthfifth edition cancels and replaces the thirdfourth edition (ISO/IEC 27000:20142016), which
has been technically revised. The main changes compared to the previous edition are as follows:
— the Introduction has been reworded;
— some terms and definitions have been removed;
— Clause 3 has been aligned on the high-level structure for MSS;
— Clause 5 has been updated to reflect the changes in the standards concerned;
— Annexes A and B have been deleted.
© ISO/IEC 2018 – All rights reserved v

ISO/IEC 27000:redline:2018(E)
Introduction
0.1 Overview
International Standards for management systems provide a model to follow in setting up and
operating a management system. This model incorporates the features on which experts in the field
have reached a consensus as being the international state of the art. ISO/IEC JTC 1/SC 27 maintains an
expert committee dedicated to the development of international management systems standards for
information security, otherwise known as the Information Security Management system (ISMS) family
of standards.
Through the use of the ISMS family of standards, organizations can develop and implement a framework
for managing the security of their information assets, including financial information, intellectual
property, and employee details, or information entrusted to them by customers or third parties. These
standards can also be used to prepare for an independent assessment of their ISMS applied to the
protection of information.
0.2 ISMS family of standards
The ISMS family of standards (see Clause 4) is intended to assist organizations of all types and sizes
to implement and operate an ISMS and consists of the following International Standards, under the
general title Information technology — Security techniques (given below in numerical order):
— ISO/IEC 27000, Information security management systems — Overview and vocabulary
— ISO/IEC 27001, Information security management systems — Requirements
— ISO/IEC 27002, Code of practice for information security controls
— ISO/IEC 27003, Information security management system implementation guidance
— ISO/IEC 27004, Information security management — Measurement
— ISO/IEC 27005, Information security risk management
— ISO/IEC 27006, Requirements for bodies providing audit and certification of information security
management systems
— ISO/IEC 27007, Guidelines for information security management systems auditing
— ISO/IEC TR 27008, Guidelines for auditors on information security controls
— ISO/IEC 27009, Sector-specific application of ISO/IEC 27001 — Requirements
— ISO/IEC 27010, Information security management for inter-sector and inter-organizational
communications
— ISO/IEC 27011, Information security management guidelines for telecommunications organizations
based on ISO/IEC 27002
— ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
— ISO/IEC 27014, Governance of information security
— ISO/IEC TR 27015, Information security management guidelines for financial services
— ISO/IEC TR 27016, Information security management — Organizational economics
— ISO/IEC 27017, Code of practice for information security controls based on ISO/IEC 27002 for cloud
services
vi © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
— ISO/IEC 27018, Code of practice for protection of personally identifiable information (PII) in public
clouds acting as PII processors
— ISO/IEC 27019, Information security management guidelines based on ISO/IEC 27002 for process
control systems specific to the energy utility industry
NOTE The general title “Information technology — Security techniques” indicates that these International
Standards were prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee
SC 27, IT Security techniques.
International Standards not under the same general title that are also part of the ISMS family of
standards are as follows:
— ISO 27799, Health informatics — Information security management in health using ISO/IEC 27002
0.2  Purpose of this document
The ISMS family of standards includes standards that:
a) define requirements for an ISMS and for those certifying such systems;
b) provide direct support, detailed guidance and/or interpretation for the overall process to establish,
implement, maintain, and improve an ISMS;
c) address sector-specific guidelines for ISMS; and
d) address conformity assessment for ISMS.
0.3 Purpose of this International Standard
This International Standard provides an overview of information security management systems and
defines related terms.
NOTE Annex A provides clarification on how verbal forms are used to express requirements and/or guidance
in the ISMS family of standards.
The ISMS family of standards includes standards that
a) define requirements for an ISMS and for those certifying such systems,
b) provide direct support, detailed guidance and/or interpretation for the overall process to establish,
implement, maintain, and improve an ISMS,
c) address sector-specific guidelines for ISMS, and
d) address conformity assessment for ISMS.
The terms and definitions provided in this International Standard
— cover commonly used terms and definitions in the ISMS family of standards,
— do not cover all terms and definitions applied within the ISMS family of standards, and
— do not limit the ISMS family of standards in defining new terms for use.
0.3  Content of this document
In this document, the following verbal forms are used:
— “shall” indicates a requirement;
— “should” indicates a recommendation;
© ISO/IEC ISO pub-date year – All rights reserved vii

ISO/IEC 27000:redline:2018(E)
— “may” indicates a permission;
— “can” indicates a possibility or a capability.
Information marked as “NOTE” is for guidance in understanding or clarifying the associated
requirement. “Notes to entry” used in Clause 3 provide additional information that supplements the
terminological data and can contain provisions relating to the use of a term.
viii © ISO/IEC ISO pub-date year – All rights reserved

INTERNATIONAL STANDARD ISO/IEC 27000:redline:2018(E)
Information technology — Security techniques —
Information security management systems — Overview
and vocabulary
1 Scope
This International Standarddocument provides the overview of information security management
systems, and (ISMS). It also provides terms and definitions commonly used in the ISMS family of
standards. This International Standarddocument is applicable to all types and sizes of organization
(e.g. commercial enterprises, government agencies, not-for-profit organizations).
The terms and definitions provided in this document
— cover commonly used terms and definitions in the ISMS family of standards;
— do not cover all terms and definitions applied within the ISMS family of standards; and
— do not limit the ISMS family of standards in defining new terms for use.
2 Normative references
There are no normative references in this document.
2 3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.ISO and IEC maintain
terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
2.1 3.1
access control
means to ensure that access to assets is authorized and restricted based on business and security
requirements (2.63 3.56)
2.2
analytical model
algorithm or calculation combining one or more base measures (2.10) and/or derived measures (2.22)
with associated decision criteria (2.21)
2.3 3.2
attack
attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized
use of an asset
2.4
attribute
property or characteristic of an object (2.55) that can be distinguished quantitatively or qualitatively
by human or automated means
[SOURCE: ISO/IEC 15939:2007, 2.2, modified — “entity” has been replaced by “object” in the definition.]
© ISO/IEC 2018 – All rights reserved 1

ISO/IEC 27000:redline:2018(E)
2.5 3.3
audit
systematic, independent and documented process (2.61 3.54) for obtaining audit evidence and evaluating
it objectively to determine the extent to which the audit criteria are fulfilled
Note 1 to entry: An audit can be an internal audit (first party) or an external audit (second party or third party),
and it can be a combined audit (combining two or more disciplines).
Note 2 to entry: An internal audit is conducted by the organization itself, or by an external party on its behalf.
Note 3 to entry: “Audit evidence” and “audit criteria” are defined in ISO 19011.
2.6 3.4
audit scope
extent and boundaries of an audit (2.5 3.3)
[SOURCE: ISO 19011:2011, 3.14, modified — Note 1 to entry has been deleted.]
2.7 3.5
authentication
provision of assurance that a claimed characteristic of an entity is correct
2.8 3.6
authenticity
property that an entity is what it claims to be
2.9 3.7
availability
property of being accessible and usable upon on demand by an authorized entity
2.10 3.8
base measure
measure (2.47 3.42) defined in terms of an attribute (2.4)attribute and the method for quantifying it
[SOURCE: ISO/IEC 15939:2007, 2.3, modified — Note 2 to entry has been deleted.]
Note 1 to entry: A base measure is functionally independent of other measures (2.47)measures.
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.3, modified — Note 2 to entry has been deleted.]
2.11 3.9
competence
ability to apply knowledge and skills to achieve intended results
2.12 3.10
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or
processes (2.61 3.54)
2.13 3.11
conformity
fulfilment of a requirement (2.63 3.56)
Note 1 to entry: The term “conformance” is synonymous but deprecated.
2.14 3.12
consequence
outcome of an event (2.25 3.21) affecting objectives (2.56 3.49)
[SOURCE: ISO Guide 73:2009, 3.6.1.3, modified]
Note 1 to entry: An event (2.25)event can lead to a range of consequences.
2 © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
Note 2 to entry: A consequence can be certain or uncertain and, in the context of information security (2.33)
information security, is usually negative.
Note 3 to entry: Consequences can be expressed qualitatively or quantitatively.
Note 4 to entry: Initial consequences can escalate through knock-on effects.
[SOURCE: ISO Guide 73:2009, 3.6.1.3, modified — Note 2 to entry has been changed after “and”.]
2.15 3.13
continual improvement
recurring activity to enhance performance (2.59 3.52)
2.16 3.14
control
measure that is modifying risk (2.68 3.61)
[SOURCE: ISO Guide 73:2009, 3.8.1.1]
Note 1 to entry: Controls include any process (2.61 3.54), policy (2.60 3.53), device, practice, or other actions
which modify risk (2.68 3.61).
Note 2 to entry: Controls may It is possible that controls not always exert the intended or assumed modifying effect.
[SOURCE: ISO Guide 73:2009, 3.8.1.1 — Note 2 to entry has been changed.]
2.17 3.15
control objective
statement describing what is to be achieved as a result of implementing controls (2.16 3.14)
2.18 3.16
correction
action to eliminate a detected nonconformity (2.53 3.47)
2.19 3.17
corrective action
action to eliminate the cause of a nonconformity (2.53 3.47) and to prevent recurrence
2.20
data
collection of values assigned to base measures (2.10), derived measures (2.22) and/or indicators (2.30)
[SOURCE: ISO/IEC 15939:2007, 2.4, modified — Note 1 to entry has been added.]
Note 1 to entry: This definition applies only within the context of ISO/IEC 27004.
2.21
decision criteria
thresholds, targets, or patterns used to determine the need for action or further investigation, or to
describe the level of confidence in a given result
[SOURCE: ISO/IEC 15939:2007, 2.7]
2.22 3.18
derived measure
measure (2.47 3.42) that is defined as a function of two or more values of base measures (2.10 3.8)
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.8 2017, 3.8, modified — Note 1 to entry has been deleted.]
© ISO/IEC 2018 – All rights reserved 3

ISO/IEC 27000:redline:2018(E)
2.23 3.19
documented information
information required to be controlled and maintained by an organization (2.57 3.50) and the medium
on which it is contained
Note 1 to entry: Documented information can be in any format and media and from any source.
Note 2 to entry: Documented information can refer to
— the management system (2.463.41), including related processes (2.613.54);
— information created in order for the organization (2.573.50) to operate (documentation);
— evidence of results achieved (records).
2.24 3.20
effectiveness
extent to which planned activities are realized and planned results achieved
2.25 3.21
event
occurrence or change of a particular set of circumstances
[SOURCE: ISO Guide 73:2009, 3.5.1.3, modified — Note 4 to entry has been deleted.]
Note 1 to entry: An event can be one or more occurrences, and can have several causes.
Note 2 to entry: An event can consist of something not happening.
Note 3 to entry: An event can sometimes be referred to as an “incident” or “accident”.
[SOURCE: ISO Guide 73:2009, 3.5.1.3, modified — Note 4 to entry has been deleted.]
2.26
executive management
person or group of people who have delegated responsibility from the governing body (2.29) for
implementation of strategies and policies to accomplish the purpose of the organization (2.57)
Note 1 to entry: Executive management is sometimes called top management (2.84) and can include Chief
Executive Officers, Chief Financial Officers, Chief Information Officers, and similar roles.
2.27 3.22
external context
external environment in which the organization seeks to achieve its objectives (2.56 3.49)
Note 1 to entry: External context can include the following:
— the cultural, social, political, legal, regulatory, financial, technological, economic, natural and competitive
environment, whether international, national, regional or local;
— key drivers and trends having impact on the objectives of the organization (3.50);
— relationships with, and perceptions and values of, external stakeholders (3.37).
[SOURCE: ISO Guide 73:2009, 3.3.1.1]
Note 2 to entry: External context can include the following:
— the cultural, social, political, legal, regulatory, financial, technological, economic, natural and competitive
environment, whether international, national, regional or local;
— key drivers and trends having impact on the objectives (2.56) of the organization (2.57);
— relationships with, and perceptions and values of, external stakeholders (2.82).
4 © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
2.28 3.23
governance of information security
system by which an organization’s (2.57 3.50)information security (2.33 3.28) activities are directed and
controlled
2.29 3.24
governing body
person or group of people who are accountable for the performance (2.59 3.52) and
conformance conformity of the organization (2.57 3.50)
Note 1 to entry: Governing The governing body can, in some jurisdictions, be a board of directors.
2.30 3.25
indicator
measure (2.47 3.42) that provides an estimate or evaluation of specified  attributes (2.4) derived from
an  analytical model (2.2) with respect to defined  information needs (2.31)
2.31 3.26
information need
insight necessary to manage objectives (2.56 3.49), goals, risks and problems
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.12 2017, 3.12]
2.32 3.27
information processing facilities
any information processing system, service or infrastructure, or the physical location housing it
2.33 3.28
information security
preservation of confidentiality (2.12 3.10), integrity (2.40 3.36) and availability (2.9 3.7) of information
Note 1 to entry: In addition, other properties, such as authenticity (2.8 3.6), accountability, non-repudiation
(2.54 3.48), and reliability (2.62 3.55) can also be involved.
2.34 3.29
information security continuity
processes (2.61 3.54) and procedures for ensuring continued information security (2.33 3.28) operations
2.35 3.30
information security event
identified occurrence of a system, service or network state indicating a possible breach of information
security (2.33 3.28) policy (2.60 3.53) or failure of controls (2.16 3.14), or a previously unknown situation
that can be security relevant
2.36 3.31
information security incident
single or a series of unwanted or unexpected information security events (2.35 3.30) that have a
significant probability of compromising business operations and threatening information security
(2.33 3.28)
2.37 3.32
information security incident management
set of processes (2.61 3.54) for detecting, reporting, assessing, responding to, dealing with, and learning
from information security incidents (2.36 3.31)
3.33
information security management system (ISMS) professional
person who establishes, implements, maintains and continuously improves one or more information
security management system processes (3.54)
© ISO/IEC 2018 – All rights reserved 5

ISO/IEC 27000:redline:2018(E)
2.38 3.34
information sharing community
group of organizations (2.57 3.50) that agree to share information
Note 1 to entry: An organization (2.57)organization can be an individual.
2.39 3.35
information system
set of applications, services, information technology assets, or other information  -handling components
2.40 3.36
integrity
property of accuracy and completeness
2.41 3.37
interested party (preferred term)
stakeholder (admitted term)
person or organization (2.57 3.50) that can affect, be affected by, or perceive themselves itself to be
affected by a decision or activity
2.42 3.38
internal context
internal environment in which the organization (2.57 3.50) seeks to achieve its objectives
Note 1 to entry: Internal context can include:
— governance, organizational structure, roles and accountabilities;
— policies (3.53), objectives (3.49), and the strategies that are in place to achieve them;
— the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes (3.54),
systems and technologies);
— information systems (3.35), information flows and decision-making processes (both formal and informal);
— relationships with, and perceptions and values of, internal stakeholders (3.37);
— the organization's culture;
— standards, guidelines and models adopted by the organization;
— form and extent of contractual relationships.
[SOURCE: ISO Guide 73:2009, 3.3.1.2]
Note 2 to entry: Internal context can include the following:
— governance, organizational structure, roles and accountabilities;
— policies (2.60), objectives (2.56), and the strategies that are in place to achieve them;
— the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes (2.61),
systems and technologies);
— information systems (2.39), information flows and decision-making processes (2.61) (both formal and
informal);
— relationships with, and perceptions and values of, internal stakeholders (2.82);
— the organization's (2.57) culture;
— standards, guidelines and models adopted by the organization (2.57);
— form and extent of contractual relationships.
6 © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
2.43
ISMS project
structured activities undertaken by an organization (2.57) to implement an ISMS
2.44 3.39
level of risk
magnitude of a risk (2.68 3.61) expressed in terms of the combination of consequences (2.14 3.12) and
their likelihood (2.45 3.40)
[SOURCE: ISO Guide 73:2009, 3.6.1.8, modified — “or combination of risks” has been deleted in the
definition.]
2.45 3.40
likelihood
chance of something happening
[SOURCE: ISO Guide 73:2009, 3.6.1.1, modified — Notes 1 and 2 to entry have been deleted.]
2.46 3.41
management system
set of interrelated or interacting elements of an organization (2.57 3.50) to establish policies (2.60 3.53)
and objectives (2.56 3.49) and processes (2.61 3.54) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines.
Note 2 to entry: The system elements include the organization’s structure, roles and responsibilities, planning,
and operation.
Note 3 to entry: The scope of a management system may include the whole of the organization (2.57)organization,
specific and identified functions of the organization (2.57)organization, specific and identified sections of the
organization (2.57)organization, or one or more functions across a group of organizations (2.57)organizations.
2.47 3.42
measure
variable to which a value is assigned as the result of measurement (2.48 3.43)
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.15, modified 2017, 3.15, modified — Note 2 to entry has been
deleted.]
Note 1 to entry: The term “measures” is used to refer collectively to base measures (2.10), derived measures (2.22),
and indicators (2.30).
2.48 3.43
measurement
process (2.61 3.54) to determine a value
Note 1 to entry: In the context of information security (2.33), the process (2.61) of determining a value requires
information about the effectiveness (2.24) of an information security (2.33)management system (2.46) and its
associated controls (2.16) using a measurement method (2.50), a measurement function (2.49), an analytical model
(2.2), and decision criteria (2.21).
2.49 3.44
measurement function
algorithm or calculation performed to combine two or more base measures (2.10 3.8)
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.20 2017, 3.20]
© ISO/IEC 2018 – All rights reserved 7

ISO/IEC 27000:redline:2018(E)
2.50 3.45
measurement method
logical sequence of operations, described generically, used in quantifying an attribute (2.4)attribute
with respect to a specified scale (2.80)scale
[SOURCE: ISO/IEC 15939:2007, 2.22, modified — Note 2 to entry has been deleted.]
Note 1 to entry: The type of measurement method depends on the nature of the operations used to quantify an
attribute (2.4 3.4). Two types can be distinguished as follows :
— subjective: quantification involving human judgment; and
— objective: quantification based on numerical rules.
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.21, modified — Note 2 to entry has been deleted.]
2.51
measurement results
one or more indicators (2.30) and their associated interpretations that address an information need (2.31)
2.52 3.46
monitoring
determining the status of a system, a process (2.61 3.54) or an activity
Note 1 to entry: To determine the status, there may be a need to check, supervise or critically observe.
2.53 3.47
nonconformity
non-fulfilment of a requirement (2.63 3.56)
2.54 3.48
non-repudiation
ability to prove the occurrence of a claimed event (2.25 3.21) or action and its originating entities
2.55
object
item characterized through the measurement (2.48) of its attributes (2.4)
2.56 3.49
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical, or operational.
Note 2 to entry: Objectives can relate to different disciplines (such as financial, health and safety, and
environmental goals) and can apply at different levels ( [such as strategic, organization-wide, project, product
and process (2.61 3.54)].
Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an
operational criterion, as an information security (2.33)information security objective or by the use of other words
with similar meaning (e.g. aim, goal, or target).
Note 4 to entry: In the context of information security (2.33)management systems (2.46)information security
management systems, information security (2.33)information security objectives are set by the organization,
consistent with the information security (2.33)policy (2.60)information security policy, to achieve specific results.
8 © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
2.57 3.50
organization
person or group of people that has its own functions with responsibilities, authorities and relationships
to achieve its objectives (2.56 3.49)
Note 1 to entry: The concept of organization includes but is not limited to sole-trader, company, corporation, firm,
enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated
or not, public or private.
2.58 3.51
outsource
make an arrangement where an external organization (2.57 3.50) performs part of an organization’s
(2.57)organization’s function or process (2.61 3.54)
Note 1 to entry: An external organization is outside the scope of the management system (2.46 3.41), although the
outsourced function or process (2.61)process is within the scope.
2.59 3.52
performance
measurable result
Note 1 to entry: Performance can relate either to quantitative or qualitative findings.
Note 2 to entry: Performance can relate to the management of activities, processes (2.61 3.54), products (including
services), systems or organizations (2.57 3.50).
2.60 3.53
policy
intentions and direction of an organization (2.57 3.50), as formally expressed by its top management
(2.84 3.75)
2.61 3.54
process
set of interrelated or interacting activities which transforms inputs into outputs
2.62 3.55
reliability
property of consistent intended behaviour and results
2.63 3.56
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization (2.57)
organization and interested parties that the need or expectation under consideration is implied.
Note 2 to entry: A specified requirement is one that is stated, for example in documented information (2.23)
documented information.
2.64 3.57
residual risk
risk (2.68 3.61) remaining after risk treatment (2.79 3.72)
Note 1 to entry: Residual risk can contain unidentified risk (2.68)risk.
Note 2 to entry: Residual risk can also be known referred to as “retained risk”.
2.65 3.58
review
activity undertaken to determine the suitability, adequacy and effectiveness (2.24 3.20) of the subject
matter to achieve established objectives (2.54 3.49)
[SOURCE: ISO Guide 73:2009, 3.8.2.2, modified — Note 1 to entry has been deleted.]
© ISO/IEC 2018 – All rights reserved 9

ISO/IEC 27000:redline:2018(E)
2.66 3.59
review object
specific item being reviewed
2.67 3.60
review objective
statement describing what is to be achieved as a result of a review (2.65 3.59)
2.68 3.61
risk
effect of uncertainty on objectives objectives (3.49)
[SOURCE: ISO Guide 73:2009, 1.1, modified]
Note 1 to entry: An effect is a deviation from the expected — positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event (2.25)event, its consequence (2.14)consequence, or likelihood (2.45)likelihood.
Note 3 to entry: Risk is often characterized by reference to potential events (2.25)“events” (as defined in
ISO Guide 73:2009, 3.5.1.3) and consequences (2.14)“consequences” (as defined in ISO Guide 73:2009, 3.6.1.3), or
a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences (2.14)consequences of
an event (2.25)event (including changes in circumstances) and the associated likelihood (2.45)“likelihood” (as
defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.
Note 5 to entry: In the context of information security (2.33)management systems (2.46)information security
management systems, information security (2.33)information security risks can be expressed as effect of
uncertainty on information security (2.33)objectives (2.56)information security objectives.
Note 6 to entry: Information security (2.33)Information security risk is associated with the potential that threats
(2.83)threats will exploit vulnerabilities (2.89)vulnerabilities of an information asset or group of information
assets and thereby cause harm to an organization (2.57)organization.
2.69 3.62
risk acceptance
informed decision to take a particular risk (2.68 3.61)
[SOURCE: ISO Guide 73:2009, 3.7.1.6]
Note 1 to entry: Risk acceptance can occur without risk treatment (2.79 3.72) or during the process (2.61 3.5
...

INTERNATIONAL ISO/IEC
STANDARD 27000
Redline version
compares Fifth edition to
Fourth edition
Information technology — Security
techniques — Information security
management systems — Overview and
vocabulary
Technologies de l'information — Techniques de sécurité — Systèmes
de management de la sécurité de l'information — Vue d'ensemble et
vocabulaire
Reference number
ISO/IEC 27000:redline:2018(E)
©
ISO/IEC 2018
ISO/IEC 27000:redline:2018(E)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
© ISO/IEC 2018
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
Contents Page
Foreword .v
Introduction .vi
0.1 Overview .vi
0.2 ISMS family of standards .vii
0.3 Purpose of this International Standard .vii
1 Scope . 1
2 Normative references . 1
2 3 Terms and definitions . 1
3 4 Information security management systems .14
3.1 4.1 General .14
3.2 4.2 What is an ISMS? .14
3.2.1 4.2.1 Overview and principles .14
3.2.2 4.2.2 Information .15
3.2.3 4.2.3 Information security .15
3.2.4 4.2.4 Management .15
3.2.5 4.2.5 Management system .16
3.3 4.3 Process approach .16
3.4 4.4 Why an ISMS is important .16
3.5 4.5 Establishing, monitoring, maintaining and improving an ISMS .17
3.5.1 4.5.1 Overview .17
3.5.2 4.5.2 Identifying information security requirements .17
3.5.3 4.5.3 Assessing information security risks .18
3.5.4 4.5.4 Treating information security risks .18
3.5.5 4.5.5 Selecting and implementing controls .19
3.5.6 4.5.6 Monitor, maintain and improve the effectiveness of the ISMS .19
3.5.7 4.5.7 Continual improvement .20
3.6 4.6 ISMS critical success factors .20
3.7 4.7 Benefits of the ISMS family of standards .20
4 5 ISMS family of standards .21
4.1 5.1 General information .21
4.2 5.2 Standards Standard describing an overview and terminology: ISO/IEC 27000
(this document) .23
4.2.1 ISO/IEC 27000 (this International Standard) .23
4.3 5.3 Standards specifying requirements .23
4.3.1 5.3.1 ISO/IEC 27001 .23
4.3.2 5.3.2 ISO/IEC 27006 .23
5.3.3 ISO/IEC 27009 .24
4.4 5.4 Standards describing general guidelines .24
4.4.1 5.4.1 ISO/IEC 27002 .24
4.4.2 5.4.2 ISO/IEC 27003 .24
4.4.3 5.4.3 ISO/IEC 27004 .24
4.4.4 5.4.4 ISO/IEC 27005 .25
4.4.5 5.4.5 ISO/IEC 27007 .25
4.4.6 5.4.6 ISO/IEC TR 27008 .25
4.4.7 5.4.7 ISO/IEC 27013 .25
4.4.8 5.4.8 ISO/IEC 27014 .26
4.4.9 5.4.9 ISO/IEC TR 27016 .26
5.4.10 ISO/IEC 27021 .26
4.5 5.5 Standards describing sector-specific guidelines .27
4.5.1 5.5.1 ISO/IEC 27010 .27
4.5.2 5.5.2 ISO/IEC 27011 .27
4.5.3 ISO/IEC TR 27015 .27
© ISO/IEC 2018 – All rights reserved iii

ISO/IEC 27000:redline:2018(E)
4.5.4 5.5.3 ISO/IEC 27017 .28
4.5.5 5.5.4 ISO/IEC 27018 .28
4.5.6 5.5.5 ISO/IEC TR  27019 .28
4.5.7 5.5.6 ISO 27799 .29
Annex A (informative) Verbal forms for the expression of provisions.30
Annex B (informative) Term and term ownership .31
Bibliography .36
iv © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other internationalis
a worldwide federation of national standards bodies (ISO member bodies). The work of preparing
International Standards is normally carried out through ISO technical committees. Each member
body interested in a subject for which a technical committee has been established has the right to be
represented on that committee. International organizations, governmental and non-governmental, in
liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and
IEC have established a joint technical committee, ISO/IEC JTC 1ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of documentISO documents should be noted. This document was drafted in accordance
with the editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directiveswww .iso
.org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject
of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent
rights. Details of any patent rights identified during the development of the document will be in the
Introduction and/or on the ISO list of patent declarations received (see www .iso .org/ patentswww .iso
.org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’sISO's adherence to
the WTOWorld Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the
following URL: Foreword - Supplementary informationwww .iso .org/ iso/ foreword .html.
The committee responsible for this document isThis document was prepared by Technical Committee
ISO/IEC JTC 1, Information technology, SC 27, IT Security techniques.
This fourthfifth edition cancels and replaces the thirdfourth edition (ISO/IEC 27000:20142016), which
has been technically revised. The main changes compared to the previous edition are as follows:
— the Introduction has been reworded;
— some terms and definitions have been removed;
— Clause 3 has been aligned on the high-level structure for MSS;
— Clause 5 has been updated to reflect the changes in the standards concerned;
— Annexes A and B have been deleted.
© ISO/IEC 2018 – All rights reserved v

ISO/IEC 27000:redline:2018(E)
Introduction
0.1 Overview
International Standards for management systems provide a model to follow in setting up and
operating a management system. This model incorporates the features on which experts in the field
have reached a consensus as being the international state of the art. ISO/IEC JTC 1/SC 27 maintains an
expert committee dedicated to the development of international management systems standards for
information security, otherwise known as the Information Security Management system (ISMS) family
of standards.
Through the use of the ISMS family of standards, organizations can develop and implement a framework
for managing the security of their information assets, including financial information, intellectual
property, and employee details, or information entrusted to them by customers or third parties. These
standards can also be used to prepare for an independent assessment of their ISMS applied to the
protection of information.
0.2 ISMS family of standards
The ISMS family of standards (see Clause 4) is intended to assist organizations of all types and sizes
to implement and operate an ISMS and consists of the following International Standards, under the
general title Information technology — Security techniques (given below in numerical order):
— ISO/IEC 27000, Information security management systems — Overview and vocabulary
— ISO/IEC 27001, Information security management systems — Requirements
— ISO/IEC 27002, Code of practice for information security controls
— ISO/IEC 27003, Information security management system implementation guidance
— ISO/IEC 27004, Information security management — Measurement
— ISO/IEC 27005, Information security risk management
— ISO/IEC 27006, Requirements for bodies providing audit and certification of information security
management systems
— ISO/IEC 27007, Guidelines for information security management systems auditing
— ISO/IEC TR 27008, Guidelines for auditors on information security controls
— ISO/IEC 27009, Sector-specific application of ISO/IEC 27001 — Requirements
— ISO/IEC 27010, Information security management for inter-sector and inter-organizational
communications
— ISO/IEC 27011, Information security management guidelines for telecommunications organizations
based on ISO/IEC 27002
— ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
— ISO/IEC 27014, Governance of information security
— ISO/IEC TR 27015, Information security management guidelines for financial services
— ISO/IEC TR 27016, Information security management — Organizational economics
— ISO/IEC 27017, Code of practice for information security controls based on ISO/IEC 27002 for cloud
services
vi © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
— ISO/IEC 27018, Code of practice for protection of personally identifiable information (PII) in public
clouds acting as PII processors
— ISO/IEC 27019, Information security management guidelines based on ISO/IEC 27002 for process
control systems specific to the energy utility industry
NOTE The general title “Information technology — Security techniques” indicates that these International
Standards were prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee
SC 27, IT Security techniques.
International Standards not under the same general title that are also part of the ISMS family of
standards are as follows:
— ISO 27799, Health informatics — Information security management in health using ISO/IEC 27002
0.2  Purpose of this document
The ISMS family of standards includes standards that:
a) define requirements for an ISMS and for those certifying such systems;
b) provide direct support, detailed guidance and/or interpretation for the overall process to establish,
implement, maintain, and improve an ISMS;
c) address sector-specific guidelines for ISMS; and
d) address conformity assessment for ISMS.
0.3 Purpose of this International Standard
This International Standard provides an overview of information security management systems and
defines related terms.
NOTE Annex A provides clarification on how verbal forms are used to express requirements and/or guidance
in the ISMS family of standards.
The ISMS family of standards includes standards that
a) define requirements for an ISMS and for those certifying such systems,
b) provide direct support, detailed guidance and/or interpretation for the overall process to establish,
implement, maintain, and improve an ISMS,
c) address sector-specific guidelines for ISMS, and
d) address conformity assessment for ISMS.
The terms and definitions provided in this International Standard
— cover commonly used terms and definitions in the ISMS family of standards,
— do not cover all terms and definitions applied within the ISMS family of standards, and
— do not limit the ISMS family of standards in defining new terms for use.
0.3  Content of this document
In this document, the following verbal forms are used:
— “shall” indicates a requirement;
— “should” indicates a recommendation;
© ISO/IEC ISO pub-date year – All rights reserved vii

ISO/IEC 27000:redline:2018(E)
— “may” indicates a permission;
— “can” indicates a possibility or a capability.
Information marked as “NOTE” is for guidance in understanding or clarifying the associated
requirement. “Notes to entry” used in Clause 3 provide additional information that supplements the
terminological data and can contain provisions relating to the use of a term.
viii © ISO/IEC ISO pub-date year – All rights reserved

INTERNATIONAL STANDARD ISO/IEC 27000:redline:2018(E)
Information technology — Security techniques —
Information security management systems — Overview
and vocabulary
1 Scope
This International Standarddocument provides the overview of information security management
systems, and (ISMS). It also provides terms and definitions commonly used in the ISMS family of
standards. This International Standarddocument is applicable to all types and sizes of organization
(e.g. commercial enterprises, government agencies, not-for-profit organizations).
The terms and definitions provided in this document
— cover commonly used terms and definitions in the ISMS family of standards;
— do not cover all terms and definitions applied within the ISMS family of standards; and
— do not limit the ISMS family of standards in defining new terms for use.
2 Normative references
There are no normative references in this document.
2 3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.ISO and IEC maintain
terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
2.1 3.1
access control
means to ensure that access to assets is authorized and restricted based on business and security
requirements (2.63 3.56)
2.2
analytical model
algorithm or calculation combining one or more base measures (2.10) and/or derived measures (2.22)
with associated decision criteria (2.21)
2.3 3.2
attack
attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized
use of an asset
2.4
attribute
property or characteristic of an object (2.55) that can be distinguished quantitatively or qualitatively
by human or automated means
[SOURCE: ISO/IEC 15939:2007, 2.2, modified — “entity” has been replaced by “object” in the definition.]
© ISO/IEC 2018 – All rights reserved 1

ISO/IEC 27000:redline:2018(E)
2.5 3.3
audit
systematic, independent and documented process (2.61 3.54) for obtaining audit evidence and evaluating
it objectively to determine the extent to which the audit criteria are fulfilled
Note 1 to entry: An audit can be an internal audit (first party) or an external audit (second party or third party),
and it can be a combined audit (combining two or more disciplines).
Note 2 to entry: An internal audit is conducted by the organization itself, or by an external party on its behalf.
Note 3 to entry: “Audit evidence” and “audit criteria” are defined in ISO 19011.
2.6 3.4
audit scope
extent and boundaries of an audit (2.5 3.3)
[SOURCE: ISO 19011:2011, 3.14, modified — Note 1 to entry has been deleted.]
2.7 3.5
authentication
provision of assurance that a claimed characteristic of an entity is correct
2.8 3.6
authenticity
property that an entity is what it claims to be
2.9 3.7
availability
property of being accessible and usable upon on demand by an authorized entity
2.10 3.8
base measure
measure (2.47 3.42) defined in terms of an attribute (2.4)attribute and the method for quantifying it
[SOURCE: ISO/IEC 15939:2007, 2.3, modified — Note 2 to entry has been deleted.]
Note 1 to entry: A base measure is functionally independent of other measures (2.47)measures.
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.3, modified — Note 2 to entry has been deleted.]
2.11 3.9
competence
ability to apply knowledge and skills to achieve intended results
2.12 3.10
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or
processes (2.61 3.54)
2.13 3.11
conformity
fulfilment of a requirement (2.63 3.56)
Note 1 to entry: The term “conformance” is synonymous but deprecated.
2.14 3.12
consequence
outcome of an event (2.25 3.21) affecting objectives (2.56 3.49)
[SOURCE: ISO Guide 73:2009, 3.6.1.3, modified]
Note 1 to entry: An event (2.25)event can lead to a range of consequences.
2 © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
Note 2 to entry: A consequence can be certain or uncertain and, in the context of information security (2.33)
information security, is usually negative.
Note 3 to entry: Consequences can be expressed qualitatively or quantitatively.
Note 4 to entry: Initial consequences can escalate through knock-on effects.
[SOURCE: ISO Guide 73:2009, 3.6.1.3, modified — Note 2 to entry has been changed after “and”.]
2.15 3.13
continual improvement
recurring activity to enhance performance (2.59 3.52)
2.16 3.14
control
measure that is modifying risk (2.68 3.61)
[SOURCE: ISO Guide 73:2009, 3.8.1.1]
Note 1 to entry: Controls include any process (2.61 3.54), policy (2.60 3.53), device, practice, or other actions
which modify risk (2.68 3.61).
Note 2 to entry: Controls may It is possible that controls not always exert the intended or assumed modifying effect.
[SOURCE: ISO Guide 73:2009, 3.8.1.1 — Note 2 to entry has been changed.]
2.17 3.15
control objective
statement describing what is to be achieved as a result of implementing controls (2.16 3.14)
2.18 3.16
correction
action to eliminate a detected nonconformity (2.53 3.47)
2.19 3.17
corrective action
action to eliminate the cause of a nonconformity (2.53 3.47) and to prevent recurrence
2.20
data
collection of values assigned to base measures (2.10), derived measures (2.22) and/or indicators (2.30)
[SOURCE: ISO/IEC 15939:2007, 2.4, modified — Note 1 to entry has been added.]
Note 1 to entry: This definition applies only within the context of ISO/IEC 27004.
2.21
decision criteria
thresholds, targets, or patterns used to determine the need for action or further investigation, or to
describe the level of confidence in a given result
[SOURCE: ISO/IEC 15939:2007, 2.7]
2.22 3.18
derived measure
measure (2.47 3.42) that is defined as a function of two or more values of base measures (2.10 3.8)
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.8 2017, 3.8, modified — Note 1 to entry has been deleted.]
© ISO/IEC 2018 – All rights reserved 3

ISO/IEC 27000:redline:2018(E)
2.23 3.19
documented information
information required to be controlled and maintained by an organization (2.57 3.50) and the medium
on which it is contained
Note 1 to entry: Documented information can be in any format and media and from any source.
Note 2 to entry: Documented information can refer to
— the management system (2.463.41), including related processes (2.613.54);
— information created in order for the organization (2.573.50) to operate (documentation);
— evidence of results achieved (records).
2.24 3.20
effectiveness
extent to which planned activities are realized and planned results achieved
2.25 3.21
event
occurrence or change of a particular set of circumstances
[SOURCE: ISO Guide 73:2009, 3.5.1.3, modified — Note 4 to entry has been deleted.]
Note 1 to entry: An event can be one or more occurrences, and can have several causes.
Note 2 to entry: An event can consist of something not happening.
Note 3 to entry: An event can sometimes be referred to as an “incident” or “accident”.
[SOURCE: ISO Guide 73:2009, 3.5.1.3, modified — Note 4 to entry has been deleted.]
2.26
executive management
person or group of people who have delegated responsibility from the governing body (2.29) for
implementation of strategies and policies to accomplish the purpose of the organization (2.57)
Note 1 to entry: Executive management is sometimes called top management (2.84) and can include Chief
Executive Officers, Chief Financial Officers, Chief Information Officers, and similar roles.
2.27 3.22
external context
external environment in which the organization seeks to achieve its objectives (2.56 3.49)
Note 1 to entry: External context can include the following:
— the cultural, social, political, legal, regulatory, financial, technological, economic, natural and competitive
environment, whether international, national, regional or local;
— key drivers and trends having impact on the objectives of the organization (3.50);
— relationships with, and perceptions and values of, external stakeholders (3.37).
[SOURCE: ISO Guide 73:2009, 3.3.1.1]
Note 2 to entry: External context can include the following:
— the cultural, social, political, legal, regulatory, financial, technological, economic, natural and competitive
environment, whether international, national, regional or local;
— key drivers and trends having impact on the objectives (2.56) of the organization (2.57);
— relationships with, and perceptions and values of, external stakeholders (2.82).
4 © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
2.28 3.23
governance of information security
system by which an organization’s (2.57 3.50)information security (2.33 3.28) activities are directed and
controlled
2.29 3.24
governing body
person or group of people who are accountable for the performance (2.59 3.52) and
conformance conformity of the organization (2.57 3.50)
Note 1 to entry: Governing The governing body can, in some jurisdictions, be a board of directors.
2.30 3.25
indicator
measure (2.47 3.42) that provides an estimate or evaluation of specified  attributes (2.4) derived from
an  analytical model (2.2) with respect to defined  information needs (2.31)
2.31 3.26
information need
insight necessary to manage objectives (2.56 3.49), goals, risks and problems
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.12 2017, 3.12]
2.32 3.27
information processing facilities
any information processing system, service or infrastructure, or the physical location housing it
2.33 3.28
information security
preservation of confidentiality (2.12 3.10), integrity (2.40 3.36) and availability (2.9 3.7) of information
Note 1 to entry: In addition, other properties, such as authenticity (2.8 3.6), accountability, non-repudiation
(2.54 3.48), and reliability (2.62 3.55) can also be involved.
2.34 3.29
information security continuity
processes (2.61 3.54) and procedures for ensuring continued information security (2.33 3.28) operations
2.35 3.30
information security event
identified occurrence of a system, service or network state indicating a possible breach of information
security (2.33 3.28) policy (2.60 3.53) or failure of controls (2.16 3.14), or a previously unknown situation
that can be security relevant
2.36 3.31
information security incident
single or a series of unwanted or unexpected information security events (2.35 3.30) that have a
significant probability of compromising business operations and threatening information security
(2.33 3.28)
2.37 3.32
information security incident management
set of processes (2.61 3.54) for detecting, reporting, assessing, responding to, dealing with, and learning
from information security incidents (2.36 3.31)
3.33
information security management system (ISMS) professional
person who establishes, implements, maintains and continuously improves one or more information
security management system processes (3.54)
© ISO/IEC 2018 – All rights reserved 5

ISO/IEC 27000:redline:2018(E)
2.38 3.34
information sharing community
group of organizations (2.57 3.50) that agree to share information
Note 1 to entry: An organization (2.57)organization can be an individual.
2.39 3.35
information system
set of applications, services, information technology assets, or other information  -handling components
2.40 3.36
integrity
property of accuracy and completeness
2.41 3.37
interested party (preferred term)
stakeholder (admitted term)
person or organization (2.57 3.50) that can affect, be affected by, or perceive themselves itself to be
affected by a decision or activity
2.42 3.38
internal context
internal environment in which the organization (2.57 3.50) seeks to achieve its objectives
Note 1 to entry: Internal context can include:
— governance, organizational structure, roles and accountabilities;
— policies (3.53), objectives (3.49), and the strategies that are in place to achieve them;
— the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes (3.54),
systems and technologies);
— information systems (3.35), information flows and decision-making processes (both formal and informal);
— relationships with, and perceptions and values of, internal stakeholders (3.37);
— the organization's culture;
— standards, guidelines and models adopted by the organization;
— form and extent of contractual relationships.
[SOURCE: ISO Guide 73:2009, 3.3.1.2]
Note 2 to entry: Internal context can include the following:
— governance, organizational structure, roles and accountabilities;
— policies (2.60), objectives (2.56), and the strategies that are in place to achieve them;
— the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes (2.61),
systems and technologies);
— information systems (2.39), information flows and decision-making processes (2.61) (both formal and
informal);
— relationships with, and perceptions and values of, internal stakeholders (2.82);
— the organization's (2.57) culture;
— standards, guidelines and models adopted by the organization (2.57);
— form and extent of contractual relationships.
6 © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
2.43
ISMS project
structured activities undertaken by an organization (2.57) to implement an ISMS
2.44 3.39
level of risk
magnitude of a risk (2.68 3.61) expressed in terms of the combination of consequences (2.14 3.12) and
their likelihood (2.45 3.40)
[SOURCE: ISO Guide 73:2009, 3.6.1.8, modified — “or combination of risks” has been deleted in the
definition.]
2.45 3.40
likelihood
chance of something happening
[SOURCE: ISO Guide 73:2009, 3.6.1.1, modified — Notes 1 and 2 to entry have been deleted.]
2.46 3.41
management system
set of interrelated or interacting elements of an organization (2.57 3.50) to establish policies (2.60 3.53)
and objectives (2.56 3.49) and processes (2.61 3.54) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines.
Note 2 to entry: The system elements include the organization’s structure, roles and responsibilities, planning,
and operation.
Note 3 to entry: The scope of a management system may include the whole of the organization (2.57)organization,
specific and identified functions of the organization (2.57)organization, specific and identified sections of the
organization (2.57)organization, or one or more functions across a group of organizations (2.57)organizations.
2.47 3.42
measure
variable to which a value is assigned as the result of measurement (2.48 3.43)
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.15, modified 2017, 3.15, modified — Note 2 to entry has been
deleted.]
Note 1 to entry: The term “measures” is used to refer collectively to base measures (2.10), derived measures (2.22),
and indicators (2.30).
2.48 3.43
measurement
process (2.61 3.54) to determine a value
Note 1 to entry: In the context of information security (2.33), the process (2.61) of determining a value requires
information about the effectiveness (2.24) of an information security (2.33)management system (2.46) and its
associated controls (2.16) using a measurement method (2.50), a measurement function (2.49), an analytical model
(2.2), and decision criteria (2.21).
2.49 3.44
measurement function
algorithm or calculation performed to combine two or more base measures (2.10 3.8)
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.20 2017, 3.20]
© ISO/IEC 2018 – All rights reserved 7

ISO/IEC 27000:redline:2018(E)
2.50 3.45
measurement method
logical sequence of operations, described generically, used in quantifying an attribute (2.4)attribute
with respect to a specified scale (2.80)scale
[SOURCE: ISO/IEC 15939:2007, 2.22, modified — Note 2 to entry has been deleted.]
Note 1 to entry: The type of measurement method depends on the nature of the operations used to quantify an
attribute (2.4 3.4). Two types can be distinguished as follows :
— subjective: quantification involving human judgment; and
— objective: quantification based on numerical rules.
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.21, modified — Note 2 to entry has been deleted.]
2.51
measurement results
one or more indicators (2.30) and their associated interpretations that address an information need (2.31)
2.52 3.46
monitoring
determining the status of a system, a process (2.61 3.54) or an activity
Note 1 to entry: To determine the status, there may be a need to check, supervise or critically observe.
2.53 3.47
nonconformity
non-fulfilment of a requirement (2.63 3.56)
2.54 3.48
non-repudiation
ability to prove the occurrence of a claimed event (2.25 3.21) or action and its originating entities
2.55
object
item characterized through the measurement (2.48) of its attributes (2.4)
2.56 3.49
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical, or operational.
Note 2 to entry: Objectives can relate to different disciplines (such as financial, health and safety, and
environmental goals) and can apply at different levels ( [such as strategic, organization-wide, project, product
and process (2.61 3.54)].
Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an
operational criterion, as an information security (2.33)information security objective or by the use of other words
with similar meaning (e.g. aim, goal, or target).
Note 4 to entry: In the context of information security (2.33)management systems (2.46)information security
management systems, information security (2.33)information security objectives are set by the organization,
consistent with the information security (2.33)policy (2.60)information security policy, to achieve specific results.
8 © ISO/IEC 2018 – All rights reserved

ISO/IEC 27000:redline:2018(E)
2.57 3.50
organization
person or group of people that has its own functions with responsibilities, authorities and relationships
to achieve its objectives (2.56 3.49)
Note 1 to entry: The concept of organization includes but is not limited to sole-trader, company, corporation, firm,
enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated
or not, public or private.
2.58 3.51
outsource
make an arrangement where an external organization (2.57 3.50) performs part of an organization’s
(2.57)organization’s function or process (2.61 3.54)
Note 1 to entry: An external organization is outside the scope of the management system (2.46 3.41), although the
outsourced function or process (2.61)process is within the scope.
2.59 3.52
performance
measurable result
Note 1 to entry: Performance can relate either to quantitative or qualitative findings.
Note 2 to entry: Performance can relate to the management of activities, processes (2.61 3.54), products (including
services), systems or organizations (2.57 3.50).
2.60 3.53
policy
intentions and direction of an organization (2.57 3.50), as formally expressed by its top management
(2.84 3.75)
2.61 3.54
process
set of interrelated or interacting activities which transforms inputs into outputs
2.62 3.55
reliability
property of consistent intended behaviour and results
2.63 3.56
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization (2.57)
organization and interested parties that the need or expectation under consideration is implied.
Note 2 to entry: A specified requirement is one that is stated, for example in documented information (2.23)
documented information.
2.64 3.57
residual risk
risk (2.68 3.61) remaining after risk treatment (2.79 3.72)
Note 1 to entry: Residual risk can contain unidentified risk (2.68)risk.
Note 2 to entry: Residual risk can also be known referred to as “retained risk”.
2.65 3.58
review
activity undertaken to determine the suitability, adequacy and effectiveness (2.24 3.20) of the subject
matter to achieve established objectives (2.54 3.49)
[SOURCE: ISO Guide 73:2009, 3.8.2.2, modified — Note 1 to entry has been deleted.]
© ISO/IEC 2018 – All rights reserved 9

ISO/IEC 27000:redline:2018(E)
2.66 3.59
review object
specific item being reviewed
2.67 3.60
review objective
statement describing what is to be achieved as a result of a review (2.65 3.59)
2.68 3.61
risk
effect of uncertainty on objectives objectives (3.49)
[SOURCE: ISO Guide 73:2009, 1.1, modified]
Note 1 to entry: An effect is a deviation from the expected — positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event (2.25)event, its consequence (2.14)consequence, or likelihood (2.45)likelihood.
Note 3 to entry: Risk is often characterized by reference to potential events (2.25)“events” (as defined in
ISO Guide 73:2009, 3.5.1.3) and consequences (2.14)“consequences” (as defined in ISO Guide 73:2009, 3.6.1.3), or
a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences (2.14)consequences of
an event (2.25)event (including changes in circumstances) and the associated likelihood (2.45)“likelihood” (as
defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.
Note 5 to entry: In the context of information security (2.33)management systems (2.46)information security
management systems, information security (2.33)information security risks can be expressed as effect of
uncertainty on information security (2.33)objectives (2.56)information security objectives.
Note 6 to entry: Information security (2.33)Information security risk is associated with the potential that threats
(2.83)threats will exploit vulnerabilities (2.89)vulnerabilities of an information asset or group of information
assets and thereby cause harm to an organization (2.57)organization.
2.69 3.62
risk acceptance
informed decision to take a particular risk (2.68 3.61)
[SOURCE: ISO Guide 73:2009, 3.7.1.6]
Note 1 to entry: Risk acceptance can occur without risk treatment (2.79 3.72) or during the process (2.61 3.5
...

NORME ISO/IEC
INTERNATIONALE 27000
Redline version
compare la Cinquième édition
à la Quatrième édition
Technologies de l'information —
Techniques de sécurité — Systèmes
de management de la sécurité de
l'information — Vue d'ensemble et
vocabulaire
Information technology — Security techniques — Information
security management systems — Overview and vocabulary
Numéro de référence
ISO/IEC 27000:redline:2018(F)
©
ISO/IEC 2018
ISO/IEC 27000:redline:2018(F)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2018
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en oeuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
Sommaire Page
Avant-propos .v
Introduction .vi
0.2 La famille de normes du SMSI .vi
0.2  Objet du présent document . vii
0.3 Objet de la présente Norme internationale . vii
1 Domaine d’application . 1
2 Références normatives . 1
2 3 Termes et définitions definitions . 1
3 4 Systèmes de management de la sécurité de l'information .14
3.1 4.1 Généralités .14
3.2 4.2 Qu'est-ce qu'un SMSI? .15
3.2.1 4.2.1 Vue d'ensemble et principes .15
3.2.2 4.2.2 L'information .16
3.2.3 4.2.3 Sécurité de l'information .16
3.2.4 4.2.4 Management .16
3.2.5 4.2.5 Système de management .16
3.3 4.3 Approche processus .17
3.4 4.4 Raisons expliquant pourquoi un SMSI est important .17
3.5 4.5 Établissement, surveillance, maintenance et amélioration d'un SMSI .18
3.5.1 4.5.1 Vue d'ensemble .18
3.5.2 4.5.2 Identifier les exigences liées à la sécurité de l'information .18
3.5.3 4.5.3 Apprécier les risques liés à la sécurité de l'information .19
3.5.4 4.5.4 Traiter les risques liés à la sécurité de l'information .19
3.5.5 4.5.5 Sélectionner et mettre en œuvre les mesures de sécurité .20
3.5.6 4.5.6 Surveiller, mettre à jour et améliorer l'efficacité du SMSI .21
3.5.7 4.5.7 Amélioration continue .21
3.6 4.6 Facteurs critiques de succès du SMSI .21
3.7 4.7 Avantages de la famille de normes du SMSI.22
4 5 La famille de normes du SMSI .22
4.1 5.1 Information Informations générales .22
4.2 5.2 Normes Norme donnant une vue d'ensemble et décrivant la terminologie ISO/
IEC 27000 (le présent document) .24
4.2.1 ISO/IEC 27000 (la présente Norme internationale) .24
4.3 5.3 Normes spécifiant des exigences .24
4.3.1 5.3.1 ISO/IEC 27001 ISO/IEC 27001 .24
4.3.2 5.3.2 ISO/IEC 27006 ISO/IEC 27006 .25
5.3.3 ISO/IEC 27009 .25
4.4 5.4 Normes décrivant des lignes directrices générales .25
4.4.1 5.4.1 ISO/IEC 27002 ISO/IEC 27002 .25
4.4.2 5.4.2 ISO/IEC 27003 ISO/IEC 27003 .26
4.4.3 5.4.3 ISO/IEC 27004 ISO/IEC 27004 .26
4.4.4 5.4.4 ISO/IEC 27005 ISO/IEC 27005 .26
4.4.5 5.4.5 ISO/IEC 27007 ISO/IEC 27007 .26
4.4.6 5.4.6 ISO/IEC/TR 27008 ISO/IEC TR 27008 .27
4.4.7 5.4.7 ISO/IEC 27013 ISO/IEC 27013 .27
4.4.8 5.4.8 ISO/IEC 27014 ISO/IEC 27014 .27
4.4.9 5.4.9 ISO/IEC/TR 27016 ISO/IEC TR 27016 .28
5.4.10 ISO/IEC 27021 .28
4.5 5.5 Normes décrivant des lignes directrices propres à un secteur .28
4.5.1 5.5.1 ISO/IEC 27010 ISO/IEC 27010 .28
4.5.2 5.5.2 ISO/IEC 27011 ISO/IEC 27011 .29
4.5.3 ISO/IEC/TR 27015 .29
4.5.4 5.5.3 ISO/IEC 27017 ISO/IEC 27017 .29
© ISO/IEC 2018 – Tous droits réservés iii

ISO/IEC 27000:redline:2018(F)
4.5.5 5.5.4 ISO/IEC 27018 ISO/IEC 27018 .30
4.5.6 5.5.5 ISO/IEC/TR 27019 ISO/IEC 27019 .30
4.5.7 5.5.6 ISO 27799 ISO 27799 .31
Annexe A (informative) Formes verbales utilisées pour exprimer des dispositions .32
Annexe B (informative) Termes et propriété des termes .33
Bibliographie .39
iv © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationauxest une fédération mondiale d'organismes nationaux de normalisation (comités membres
de l'ISO ou de l'IEC participent à l'élaboration de Normes internationales par l'intermédiaire de
comités techniques créés par l'organisme concerné pour traiter de domaines particuliers à une
activité technique. Les). L'élaboration des Normes internationales est en général confiée aux comités
techniques de l'ISO et de l'IEC collaborent dans des domaines d’intérêt commun. D'autres organismes
internationaux, gouvernementaux et non gouvernementaux. Chaque comité membre intéressé par une
étude a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO et l'IEC participent également aux
travaux. Dans le domaine des technologies de l'information, l'ISO et l'IEC ont créé un comité technique
mixte, l'ISO/IEC JTC 1L'ISO collabore étroitement avec la Commission électrotechnique internationale
(IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documentdocuments ISO. Le présent
document a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC,
Partie 2 (voir http:// www .iso .org/ directiveswww .iso .org/ directives).
L’attention est appeléeL'attention est attirée sur le fait que certains des éléments du présent document
peuvent faire l’objetl'objet de droits de propriété intellectuelle ou de droits analogues. L’ISOL'ISO
ne saurait être tenue pour responsable de ne pas avoir identifié de tels droits de propriété et averti
de leur existence. Les détails concernant les références aux droits de propriété intellectuelle ou
autres droits analogues identifiés lors de l’élaborationl'élaboration du document sont indiqués dans
l’Introductionl'Introduction et/ou dans la liste des déclarations de brevets reçues par l’ISOl'ISO (voir
www .iso .org/ brevetswww .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intentionl’intention des utilisateurs et ne sauraient
constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'OMCl’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: Avant-propos — Informations supplémentaireswww
.iso .org/ avant -propos.
Le comité chargé de l'élaboration du présent document est l'ISO/présent document a été élaboré par le
comité technique ISO/IEC JTC 1, Technologies de l'information, sous-comité SC 27, Techniques de sécurité
des technologies de l'information.
Cette quatrièmecinquième édition annule et remplace la troisièmequatrième édition
(ISO/IEC 27000:20142016), qui a fait l'objet d'une révision technique. Les principales modifications par
rapport à l'édition précédente sont les suivantes:
— modification du texte de l'Introduction;
— suppression de certains termes et définitions;
— alignement de l'Article 3 par rapport à la structure-cadre pour MSS;
— mise à jour de l'Article 5 pour refléter les modifications dans les normes concernées;
— suppression des Annexes A et B.
© ISO/IEC 2018 – Tous droits réservés v

ISO/IEC 27000:redline:2018(F)
Introduction
0.1  Vue d'ensemble
Les Normes internationales relatives aux systèmes de management fournissent un modèle en matière
d'établissement et d'exploitation d'un système de management. Ce modèle comprend les caractéristiques
que les experts dans le domaine s'accordent à reconnaître comme reflétant l'état de l'art au niveau
international. Le sous-comité ISO/IEC JTC 1/SC 27 bénéficie de l'expérience d'un comité d'experts
qui se consacre à l'élaboration des Normes internationales sur les systèmes de management pour la
sécurité de l'information, connues également comme famille de normes du Système de Management de
la Sécurité de l'Information (SMSI).
Grâce à l'utilisation de la famille de normes du SMSI, les organismes peuvent élaborer et mettre en œuvre
un cadre de référence pour gérer la sécurité de leurs actifs informationnels, y compris les informations
financières, la propriété intellectuelle, les informations sur les employés, ou les informations qui leur
sont confiées par des clients ou des tiers. Ils peuvent également utiliser ces normes pour se préparer à
une évaluation indépendante de leur SMSI en matière de protection de l'information.
0.2 La famille de normes du SMSI
La famille de normes du SMSI (voir Article 4) a pour objet d’aider les organismes de tous types et
de toutes tailles à déployer et à exploiter un SMSI. Elle se compose des Normes internationales
suivantes (indiquées ci-dessous par ordre numérique) regroupées sous le titre général Technologies de
l’information — Techniques de sécurité:
— ISO/IEC 27000, Systèmes de management de la sécurité de l’information — Vue d’ensemble et vocabulaire
— ISO/IEC 27001, Systèmes de management de la sécurité de l’information — Exigences
— ISO/IEC 27002, Code de bonnes pratiques pour le management de la sécurité de l’information
— ISO/IEC 27003, Lignes directrices pour la mise en œuvre du système de management de la sécurité de
l’information
— ISO/IEC 27004, Management de la sécurité de l’information — Mesurage
— ISO/IEC 27005, Gestion des risques liés à la sécurité de l’information
— ISO/IEC 27006, Exigences pour les organismes procédant à l’audit et à la certification des systèmes de
management de la sécurité de l’information
— ISO/IEC 27007, Lignes directrices pour l’audit des systèmes de management de la sécurité de l’information
— ISO/IEC/TR 27008, Lignes directrices pour les auditeurs des contrôles de sécurité de l’information
— ISO/IEC 27009, Application de l’ISO/IEC 27001 à un secteur spécifique — Exigences
— ISO/IEC 27010, Gestion de la sécurité de l’information des communications intersectorielles et
interorganisationnelles
— ISO/IEC 27011, Lignes directrices du management de la sécurité de l’information pour les organismes
de télécommunications sur la base de l’ISO/IEC 27002
— ISO/IEC 27013, Guide sur la mise en œuvre intégrée de l’ISO/IEC 27001 et ISO/IEC 20000-1
— ISO/IEC 27014, Gouvernance de la sécurité de l’information
— ISO/IEC/TR 27015, Lignes directrices pour le management de la sécurité de l’information pour les
services financiers
— ISO/IEC/TR 27016, Management de la sécurité de l’information — Économie organisationnelle
vi © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
— ISO/IEC 27017, Code de bonnes pratiques pour les contrôles de sécurité de l’information fondés sur
l’ISO/IEC 27002 pour les services du nuage
— ISO/IEC 27018, Code de bonnes pratiques pour la protection des informations personnelles identifiables
(PII) dans l’informatique en nuage public agissant comme processeur de PII
— ISO/IEC 27019, Lignes directrices de management de la sécurité de l’information fondées sur
l’ISO/IEC 27002 pour les systèmes de contrôle des processus spécifiques à l’industrie de l’énergie
NOTE Le titre général « Technologies de l’information — Techniques de sécurité » indique que ces Normes
internationales ont été élaborées par le comité technique mixte ISO/IEC JTC 1, Technologies de l’information,
sous-comité SC 27, Techniques de sécurité des technologies de l’information.
Les Normes internationales qui font également partie de la famille de normes du SMSI, mais qui ne sont
pas regroupées sous le même titre général, sont les suivantes:
— ISO 27799, Informatique de santé — Management de la sécurité de l’information relative à la santé en
utilisant l’ISO/IEC 27002
0.2  Objet du présent document
La famille de normes du SMSI comporte des normes qui:
a) définissent les exigences relatives à un SMSI et à ceux qui certifient de tels systèmes;
b) apportent des informations directes, des recommandations et/ou une interprétation détaillées
concernant le processus général visant à établir, mettre en œuvre, maintenir et améliorer un SMSI;
c) présentent des lignes directrices propres à des secteurs particuliers en matière de SMSI;
d) traitent de l'évaluation de la conformité d'un SMSI.
0.3 Objet de la présente Norme internationale
La présente Norme internationale offre une vue d’ensemble des systèmes de management de la sécurité
de l’information et définit les termes qui s’y rapportent.
NOTE L’Annexe A fournit des éclaircissements sur la façon dont les formes verbales sont utilisées pour
exprimer des exigences et/ou des préconisations dans la famille de normes du SMSI.
La famille de normes du SMSI comporte des normes qui:
a) définissent les exigences relatives à un SMSI et à ceux qui certifient de tels systèmes;
b) apportent des informations directes, des préconisations et/ou une interprétation détaillées
concernant le processus général visant à établir, mettre en œuvre, maintenir et améliorer un SMSI;
c) présentent des lignes directrices propres à des secteurs particuliers en matière de SMSI;
d) traitent de l’évaluation de la conformité d’un SMSI.
Les termes et les définitions fournis dans la présente Norme internationale:
— couvrent les termes et les définitions d’usage courant dans la famille de normes du SMSI;
— ne couvrent pas l’ensemble des termes et des définitions utilisés dans la famille de normes du SMSI;
— ne limitent pas la famille de normes du SMSI en définissant de nouveaux termes à utiliser.
0.3  Contenu du présent document
© ISO/IEC ISO pub-date year – Tous droits réservés vii

ISO/IEC 27000:redline:2018(F)
Dans le présent document, les formes verbales suivantes sont utilisées:
— «doit» indique une exigence;
— «il convient» indique une recommandation;
— «peut» indique une autorisation («may» en anglais),
— ou une possibilité ou une capacité («can» en anglais).
Les informations sous forme de «NOTE» sont fournies pour clarifier l’exigence associée ou en
faciliter la compréhension. Les «Notes à l’article» employées à l’Article 3 fournissent des informations
supplémentaires qui viennent compléter les données terminologiques et peuvent contenir des
dispositions concernant l’usage d’un terme.
viii © ISO/IEC ISO pub-date year – Tous droits réservés

NORME INTERNATIONALE ISO/IEC 27000:redline:2018(F)
Technologies de l'information — Techniques de sécurité —
Systèmes de management de la sécurité de l'information —
Vue d'ensemble et vocabulaire
1 Domaine d’application
La présente Norme internationale offre une vue d’ensemble des systèmes de management de la sécurité
de l’information, ainsi que des termes et définitions d’usage courant dans la famille de normes du SMSI.
La présente Norme internationale est applicable à tous les types et à toutes les tailles d’organismes (par
exemple: les entreprises commerciales, les organismes publics, les organismes à but non lucratif).
Le présent document offre une vue d’ensemble des systèmes de management de la sécurité de
l’information (SMSI). Il comprend également les termes et définitions d’usage courant dans la famille de
normes du SMSI. Le présent document est applicable à tous les types et à toutes les tailles d’organismes
(par exemple: les entreprises commerciales, les organismes publics, les organismes à but non lucratif).
Les termes et les définitions fournis dans le présent document:
— couvrent les termes et les définitions d’usage courant dans la famille de normes du SMSI;
— ne couvrent pas l’ensemble des termes et des définitions utilisés dans la famille de normes du SMSI;
— ne limitent pas la famille de normes du SMSI en définissant de nouveaux termes à utiliser.
2 Références normatives
Le présent document ne contient aucune référence normative.
2 3 Termes et définitions definitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquentL’ISO et l’IEC
tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
2.1 3.1
contrôle d'accès
moyens mis en œuvre pour assurer que l'accès aux actifs est autorisé et limité selon les exigences
(2.63 3.56) propres à la sécurité et à l'activité métier
2.2
modèle analytique
algorithme ou calcul combinant une ou plusieurs mesures élémentaires (2.10) et/ou mesures
dérivées (2.22) avec les critères de décision associés (2.21)
2.3 3.2
attaque
tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'utiliser sans autorisation
un actif, ou de faire un usage non autorisé de celui-ci
ISO/IEC 27000:redline:2018(F)
2.4
attribut
propriété ou caractéristique d'un objet (2.55) qui peut être distingué quantitativement ou
qualitativement par des moyens humains ou automatiques
[SOURCE: ISO/IEC 15939:2007, 2.2, modifiée — Le terme « entité » a été remplacé par « objet » dans la
définition.]
2.5 3.3
audit
processus (2.61)processus méthodique, indépendant et documenté (3.54) permettant d'obtenir des
preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères
d'audit sont satisfaits
Note 1 à l'article: Un audit peut être interne (audit de première partie), externe (audit de seconde ou de tierce
partie) ou combiné (associant deux disciplines ou plus).
Note 2 à l'article: Un audit interne est réalisé par l’organisme lui-même ou par une partie externe pour le compte
de celui-ci.
Note 3 à l'article: Les termes «preuves d'audit» et «critères d'audit» sont définis dans l'ISO 19011.
2.6 3.4
champ de l'audit
étendue et limites d'un audit (2.5 3.3)
[SOURCE: ISO 19011:2011, 3.14, modifiée — Suppression de la note 1 à l'article.]
2.7 3.5
authentification
méthode permettant de garantir qu'une caractéristique revendiquée pour une entité est correcte
2.8 3.6
authenticité
propriété selon laquelle une entité est ce qu'elle revendique être
2.9 3.7
disponibilité
propriété d'être accessible et utilisable à la demande par une entité autorisée
3.8
2.10
mesure élémentaire
mesure (2.47 3.42) définie en fonction d'un attribut (2.4)attribut et de la méthode de mesurage spécifiée
pour le quantifier
[SOURCE: ISO/IEC 15939:2007, 2.3, modifiée — Suppression de la note 2 à l'article.]
Note 1 à l'article: Une mesure élémentaire est fonctionnellement indépendante des autres mesures (2.47)mesures.
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.3, modifiée — Suppression de la note 2 à l'article.]
2.11 3.9
compétence
capacité à appliquer des connaissances et des aptitudes pour obtenir les résultats escomptés
2.12 3.10
confidentialité
propriété selon laquelle l'information n'est pas diffusée ni divulguée à des personnes, des entités ou des
processus (2.61 3.54) non autorisés
2 © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
2.13 3.11
conformité
satisfaction d'une exigence (2.63 3.56)
Note 1 à l'article: Le terme anglais « conformance » est un synonyme, mais il est déconseillé.
2.14 3.12
conséquence
effet d'un événement (2.25 3.21) affectant les objectifs (2.56 3.49)
[SOURCE: Guide ISO 73:2009, 3.6.1.3, modifié]
Note 1 à l'article: Un événement (2.25)événement peut entraîner engendrer une série de conséquences.
Note 2 à l'article: Une conséquence peut être certaine ou incertaine. Dans ; dans le contexte de la sécurité de
l'information (2.33)sécurité de l'information, elle est généralement négative.
Note 3 à l'article: Les conséquences peuvent être exprimées de façon qualitative ou quantitative.
Note 4 à l'article: Des conséquences initiales peuvent déclencher des réactions en chaîne.
[SOURCE: Guide ISO 73:2009, 3.6.1.3, modifié — Modification de la Note 2 à l'article après «et».]
2.15 3.13
amélioration continue
activité régulière destinée à améliorer les performances (2.59 3.52)
2.16 3.14
mesure de sécurité
mesure qui modifie un risque (2.68 3.61)
[SOURCE: Guide ISO 73:2009, 3.8.1.1]
Note 1 à l'article: Les mesures de sécurité comprennent tous les processus (2.61 3.54), politiques (2.60 3.53),
dispositifs, pratiques ou autres actions qui modifient un risque (2.68 3.61).
Note 2 à l'article: Les Il est possible que les mesures de sécurité ne peuvent puissent pas toujours aboutir à la
modification voulue ou supposée.
[SOURCE: Guide ISO 73:2009, 3.8.1.1, — Modification de la Note 2 à l'article.]
2.17 3.15
objectif d’une d'une mesure de sécurité
déclaration décrivant ce qui est attendu de la mise en œuvre des mesures de sécurité (2.16 3.14)
2.18 3.16
correction
action visant à éliminer une non-conformité (2.53 3.47) détectée
2.19 3.17
action corrective
action visant à éliminer la cause d'une non-conformité (2.53 3.47) et à empêcher qu'elle ne se répète
2.20
données
ensemble des valeurs attribuées aux mesures élémentaires (2.10), mesures dérivées (2.22) et/ou aux
indicateurs (2.30)
[SOURCE: ISO/IEC 15939:2007, 2.4, modifiée — Ajout de la note 1 à l'article.]
Note 1 à l'article: Cette définition s'applique uniquement dans le contexte de l'ISO/IEC 27004.
© ISO/IEC 2018 – Tous droits réservés 3

ISO/IEC 27000:redline:2018(F)
2.21
critères de décision
seuils, cibles ou modèles utilisés pour déterminer la nécessité d'une action ou d'un complément
d'enquête, ou pour décrire le niveau de confiance dans un résultat donné
[SOURCE: ISO/IEC 15939:2007, 2.7]
2.22 3.18
mesure dérivée
mesure (2.47 3.42) définie en fonction d'au moins deux mesures élémentaires (2.10 3.8)
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.8 2017, 3.8, modifiée — Suppression de la note 1 à l'article.]
2.23 3.19
informations documentées
informations devant être contrôlées et mises à jour par un organisme (2.57 3.50) et le support sur lequel
elles sont stockées
Note 1 à l'article: Les informations documentées peuvent être dans n'importe quel format, sur n'importe quel
support et provenir de n'importe quelle source.
Note 2 à l'article: Les informations documentées peuvent se rapporter:
— au système de management (2.463.41) et aux processus (2.61)processus associés (3.54);
— aux informations créées pour permettre à l'organisme (2.573.50) de fonctionner (documentation);
— aux preuves des résultats obtenus (enregistrements).
2.24 3.20
efficacité
niveau de réalisation des activités planifiées et d'obtention des résultats escomptés
2.25 3.21
événement
occurrence ou changement d'un ensemble particulier de circonstances
[SOURCE: Guide ISO 73:2009, 3.5.1.3, modifié — Suppression de la note 4 à l'article.]
Note 1 à l'article: Un événement peut être unique ou se reproduire. Il peut avoir plusieurs causes.
Note 2 à l'article: Un événement peut consister en quelque chose qui ne se produit pas.
Note 3 à l'article: Un événement peut parfois être qualifié «d'incident» ou «d'accident».
[SOURCE: Guide ISO 73:2009, 3.5.1.3, modifié — Suppression de la note 4 à l'article.]
2.26
management exécutif
personne ou groupe de personnes ayant reçu des instances dirigeantes (2.29) la responsabilité de la
mise en œuvre des stratégies et politiques afin d'atteindre les objectifs de l'organisme (2.57)
Note 1 à l'article: Le management exécutif est parfois appelé la direction (2.84). Il peut comprendre les présidents
directeurs généraux, les directeurs financiers, les directeurs des systèmes d'information et autres fonctions
similaires.
2.27 3.22
contexte externe
environnement externe dans lequel l'organisme cherche à atteindre ses objectifs (2.56 3.49)
Note 1 à l'article: Le contexte externe peut inclure les aspects suivants:
— l'environnement culturel, social, politique, légal, réglementaire, financier, technologique, économique,
naturel et concurrentiel, au niveau international, national, régional ou local;
4 © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
— les facteurs clés et tendances ayant un impact déterminant sur les objectifs de l'organisme (3.50);
— les relations avec les parties prenantes (3.37) externes, les perceptions et valeurs relatives à celles-ci.
[SOURCE: Guide ISO 73:2009, 3.3.1.1]
Note 2 à l'article: Le contexte externe peut inclure les aspects suivants:
— l'environnement culturel, social, politique, légal, réglementaire, financier, technologique, économique,
naturel et concurrentiel, au niveau international, national, régional ou local;
— les facteurs clés et tendances ayant un impact déterminant sur les objectifs (2.56) de l'organisme (2.57);
— les relations avec les parties prenantes (2.82) externes, les perceptions et valeurs relatives à celles-ci.
2.28 3.23
gouvernance de la sécurité de l'information
système par lequel un organisme (2.57 3.50) conduit et supervise les activités liées à la sécurité de
l'information (2.33 3.28)
2.29 3.24
instances dirigeantes
personne ou groupe de personnes ayant la responsabilité des performances (2.59 3.52) et de la
conformité de l'organisme (2.57 3.50)
Note 1 à l'article: Dans certaines juridictions, les instances dirigeantes peuvent être constituées d'un conseil
d'administration.
2.30 3.25
indicateur
mesure (2.47 3.42) qui fournit une estimation ou une évaluation des  attributs (2.4) spécifiés à partir
d'un  modèle analytique (2.2) concernant les  besoins d'information (2.31) définis
2.31 3.26
besoin d'information
information nécessaire pour gérer les objectifs (2.56 3.49), les buts, les risques et les problèmes
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.12 2017, 3.12]
2.32 3.27
moyens de traitement de l'information
tout système, service ou infrastructure de traitement de l'information, ou le local les abritant
2.33 3.28
sécurité de l'information
protection de la confidentialité (2.12 3.10), de l'intégrité (2.40 3.36) et de la disponibilité (2.9 3.7) de
l'information
Note 1 à l'article: En outre, d'autres propriétés, telles que l' authenticité (2.8 l'authenticité (3.6), l'imputabilité, la
non-répudiation (2.54 3.48) et la fiabilité (2.62 3.55) peuvent également être concernées.
2.34 3.29
continuité de la sécurité de l'information
processus (2.61 3.54) et procédures visant à assurer la continuité des opérations liées à la sécurité de
l'information (2.33 3.28)
2.35 3.30
événement lié à la sécurité de l'information
occurrence identifiée de l'état d'un système, d'un service ou d'un réseau indiquant une faille possible
dans la politique (2.60 3.28) de sécurité de l'sécurité de l'information (2.33 information (3.53) ou un échec
des mesures de sécurité (2.16 3.14), ou encore une situation inconnue jusqu'alors et pouvant relever de la
sécurité
© ISO/IEC 2018 – Tous droits réservés 5

ISO/IEC 27000:redline:2018(F)
2.36 3.31
incident lié à la sécurité de l'information
un ou plusieurs événements liés à la sécurité de l'information (2.35 3.30), indésirables ou inattendus,
présentant une probabilité forte de compromettre les opérations liées à l'activité de l'organisme et de
menacer la sécurité de l'information (2.33 3.28)
2.37 3.32
gestion des incidents liés à la sécurité de l'information
ensemble de processus (2.61 3.54) visant à détecter, rapporter, apprécier, gérer et résoudre les incidents
liés à la sécurité de l'information (2.36 3.31), ainsi qu'à en tirer des enseignements
3.33
professionnel SMSI (Système de management de la sécurité de l'information)
personne chargée d'établir et de mettre en œuvre un ou plusieurs processus (3.54) d'un système de
management de la sécurité de l'information, ainsi que d'en assurer la maintenance et l'amélioration
continue
2.38 3.34
communauté de partage d'informations
groupe d'organismes (2.57 3.50) qui s'accordent pour partager les des informations
Note 1 à l'article: Un organisme (2.57)organisme peut être un individu.
2.39 3.35
système d'information
applications ensemble d'applications, services, actifs informationnels ou autres composants permettant
de gérer l'information
2.40 3.36
intégrité
propriété d'exactitude et de complétude
2.41 3.37
partie intéressée (terme préféré)
partie prenante (terme admis)
personne ou organisme (2.57 3.50) susceptible d'affecter, d'être affecté ou de se sentir lui-même affecté
par une décision ou une activité
2.42 3.38
contexte interne
environnement interne dans lequel l'organisme (2.57 3.50) cherche à atteindre ses objectifs
Note 1 à l'article: Le contexte interne peut inclure:
— la gouvernance, la structure organisationnelle, les rôles et les responsabilités;
— les politiques (3.53), objectifs (3.49) et stratégies mises en place pour atteindre ces derniers;
— les capacités, en termes de ressources et de connaissances (par exemple: capital, temps, personnel, processus
(3.54), systèmes et technologies);
— les systèmes d'information (3.35), flux d'information et processus de prise de décision (formels et informels);
— les relations avec les parties prenantes (3.37) internes, les perceptions et valeurs associées à celles-ci;
— la culture de l'organisme;
— les normes, lignes directrices et modèles adoptés par l'organisme;
— la forme et l'étendue des relations contractuelles.
6 © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
[SOURCE: Guide ISO 73:2009, 3.3.1.2]
Note 2 à l'article: Le contexte interne peut inclure les aspects suivants:
— la gouvernance, la structure organisationnelle, les rôles et les responsabilités;
— les politiques (2.60), objectifs (2.56) et stratégies mises en place pour atteindre ces derniers;
— les capacités, en termes de ressources et de connaissances (par exemple: capital, temps, personnel,
processus (2.61), systèmes et technologies);
— les systèmes d'information (2.39), flux d'information et processus (2.61) de prise de décision (formels et
informels);
— les relations avec les parties prenantes (2.82) internes, les perceptions et valeurs associées à celles-ci;
— la culture de l'organisme (2.57);
— les normes, lignes directrices et modèles adoptés par l'organisme (2.57);
— la forme et l'étendue des relations contractuelles.
2.43
projet SMSI
activités structurées entreprises par un organisme (2.57) pour déployer un SMSI
2.44 3.39
niveau de risque
importance d'un risque (2.68 3.61) exprimée en termes de combinaison des conséquences (2.14 3.12) et
de leur vraisemblance (2.45 3.40)
[SOURCE: Guide ISO 73:2009, 3.6.1.8, modifié  modifiée— Suppression de «ou combinaison de risques»
de la définition.]
2.45 3.40
vraisemblance
possibilité qu'un événement survienne que quelque chose se produise
[SOURCE: Guide ISO 73:2009, 3.6.1.1, modifié — Suppression des notes 1 et 2 à l'article.]
2.46 3.41
système de management
ensemble d'éléments corrélés ou interactifs d'un organisme (2.57 3.50) visant à établir des politiques
(2.60 3.53), des objectifs (2.56 3.49) et des processus (2.61 3.54) permettant d'atteindre ces objectifs
Note 1 à l'article: Un système de management peut recouvrir une ou plusieurs disciplines.
Note 2 à l'article: Les éléments du système comprennent la structure de l'organisme, les rôles et responsabilités,
la planification et les opérations.
Note 3 à l'article: Le domaine d’application  d'un système de management peut comprendre l' organisme (2.57)
l'organisme dans son ensemble, certaines des de ses fonctions spécifiques et identifiées de l' organisme (2.57),
certaines des de ses sections spécifiques et identifiées de l' organisme (2.57), ou bien  une ou plusieurs fonctions
au sein d'un groupe d' organismes (2.57)d'organismes.
2.47 3.42
mesure
variable à laquelle on attribue une valeur correspondant au résultat du mesurage (2.48 3.43)
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.15, modifiée 2017, 3.15, modifiée — Suppression de la note 2 à
l'article.]
Note 1 à l'article: Le terme « mesures » est utilisé pour désigner collectivement les mesures élémentaires (2.10),
les mesures dérivées (2.22) et les indicateurs (2.30).
© ISO/IEC 2018 – Tous droits réservés 7

ISO/IEC 27000:redline:2018(F)
2.48 3.43
mesurage
processus (2.61 3.54) permettant de déterminer une valeur
Note 1 à l'article: Dans le contexte de la sécurité de l'information (2.33), le processus (2.61) de détermination d'une
valeur nécessite des informations concernant l'efficacité (2.24) d'un système de management (2.46) de la sécurité
de l'information (2.33) et des mesures de sécurité (2.16) associées à l'aide d'une méthode de mesurage (2.50), d'une
fonction de mesurage (2.49), d'un modèle analytique (2.2) et de critères de décision (2.21).
2.49 3.44
fonction de mesurage
algorithme ou calcul utilisé pour combiner au moins deux mesures élémentaires (2.10 3.8)
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.20 2017, 3.20]
2.50 3.45
méthode de mesurage
suite logique d'opérations décrites de manière générique qui permettent de quantifier un attribut (2.4)
attribut selon une échelle (2.80)échelle spécifiée
[SOURCE: ISO/IEC 15939:2007, 2.22, modifiée — Suppression de la note 2 à l'article.]
Note 1 à l'article: Le type de méthode de mesurage mesure employé dépend de la nature des opérations utilisées
pour quantifier un attribut (2.4 3.4). On peut en distinguer deux:
— le type subjectif: quantification faisant appel au jugement humain;
— le type objectif: quantification fondée sur des règles numériques.
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.21, modifiée — Suppression de la note 2 à l'article.]
2.51
résultats de mesurage
un ou plusieurs indicateurs (2.30) et les interprétations associées, répondant à un besoin
d'information (2.31)
2.52 3.46
surveillance
détermination du statut d'un système, d'un processus (2.61 3.54) ou d'une activité
Note 1 à l'article: Pour déterminer le statut, il peut s'avérer nécessaire de vérifier, de superviser ou d'observer de
manière critique.
2.53 3.47
non-conformité
non-satisfaction d'une exigence (2.63 3.56)
2.54 3.48
non-répudiation
capacité à prouver l'occurrence d'un événement (2.25 3.21) ou d'une action donnée(e) et des entités qui
en sont à l'origine
2.55
objet
élément caractérisé par le mesurage (2.48) de ses attributs (2.4)
2.56 3.49
objectif
résultat à atteindre
Note 1 à l'article: Un objectif peut être stratégique, tactique ou opérationnel.
8 © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
Note 2 à l'article: Les objectifs peuvent concerner différentes disciplines (par exemple: finance, santé, sécurité ou
environnement) et différents niveaux (par exemple: au niveau stratégique, à l'échelle de l'organisme, au niveau
d'un projet, d'un produit et d'un processus (2.61 3.54).
Note 3 à l'article: Un objectif peut être exprimé de différentes manières, par exemple:  comme un résultat
recherché, but à atteindre, un but, un critère opérationnel, objectif en matière un objectif de sécurité de sécurité
de l'information (2.33)l'information, ou à l'aide en utilisant d'autres mots de sens similaire (par exemple: intention
ou cible).
Note 4 à l'article: Dans le contexte des systèmes de management (2.46)systèmes de management de la sécurité
de l'information (2.33)sécurité de l'information, les objectifs de sécurité de l'information (2.33)sécurité de
l'information sont définis par l'organisme, conformément à la politique (2.60)politique de sécurité de l'information
(2.33)sécurité de l'information, afin d'obtenir des résultats spécifiques.
2.57 3.50
organisme
personne ou groupe de personnes qui exerce ses propres fonctions associées aux responsabilités,
pouvoirs et relations nécessaires pour atteindre ses objectifs (2.56 3.49)
Note 1 à l'article:
...

NORME ISO/IEC
INTERNATIONALE 27000
Redline version
compare la Cinquième édition
à la Quatrième édition
Technologies de l'information —
Techniques de sécurité — Systèmes
de management de la sécurité de
l'information — Vue d'ensemble et
vocabulaire
Information technology — Security techniques — Information
security management systems — Overview and vocabulary
Numéro de référence
ISO/IEC 27000:redline:2018(F)
©
ISO/IEC 2018
ISO/IEC 27000:redline:2018(F)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2018
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en oeuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
Sommaire Page
Avant-propos .v
Introduction .vi
0.2 La famille de normes du SMSI .vi
0.2  Objet du présent document . vii
0.3 Objet de la présente Norme internationale . vii
1 Domaine d’application . 1
2 Références normatives . 1
2 3 Termes et définitions definitions . 1
3 4 Systèmes de management de la sécurité de l'information .14
3.1 4.1 Généralités .14
3.2 4.2 Qu'est-ce qu'un SMSI? .15
3.2.1 4.2.1 Vue d'ensemble et principes .15
3.2.2 4.2.2 L'information .16
3.2.3 4.2.3 Sécurité de l'information .16
3.2.4 4.2.4 Management .16
3.2.5 4.2.5 Système de management .16
3.3 4.3 Approche processus .17
3.4 4.4 Raisons expliquant pourquoi un SMSI est important .17
3.5 4.5 Établissement, surveillance, maintenance et amélioration d'un SMSI .18
3.5.1 4.5.1 Vue d'ensemble .18
3.5.2 4.5.2 Identifier les exigences liées à la sécurité de l'information .18
3.5.3 4.5.3 Apprécier les risques liés à la sécurité de l'information .19
3.5.4 4.5.4 Traiter les risques liés à la sécurité de l'information .19
3.5.5 4.5.5 Sélectionner et mettre en œuvre les mesures de sécurité .20
3.5.6 4.5.6 Surveiller, mettre à jour et améliorer l'efficacité du SMSI .21
3.5.7 4.5.7 Amélioration continue .21
3.6 4.6 Facteurs critiques de succès du SMSI .21
3.7 4.7 Avantages de la famille de normes du SMSI.22
4 5 La famille de normes du SMSI .22
4.1 5.1 Information Informations générales .22
4.2 5.2 Normes Norme donnant une vue d'ensemble et décrivant la terminologie ISO/
IEC 27000 (le présent document) .24
4.2.1 ISO/IEC 27000 (la présente Norme internationale) .24
4.3 5.3 Normes spécifiant des exigences .24
4.3.1 5.3.1 ISO/IEC 27001 ISO/IEC 27001 .24
4.3.2 5.3.2 ISO/IEC 27006 ISO/IEC 27006 .25
5.3.3 ISO/IEC 27009 .25
4.4 5.4 Normes décrivant des lignes directrices générales .25
4.4.1 5.4.1 ISO/IEC 27002 ISO/IEC 27002 .25
4.4.2 5.4.2 ISO/IEC 27003 ISO/IEC 27003 .26
4.4.3 5.4.3 ISO/IEC 27004 ISO/IEC 27004 .26
4.4.4 5.4.4 ISO/IEC 27005 ISO/IEC 27005 .26
4.4.5 5.4.5 ISO/IEC 27007 ISO/IEC 27007 .26
4.4.6 5.4.6 ISO/IEC/TR 27008 ISO/IEC TR 27008 .27
4.4.7 5.4.7 ISO/IEC 27013 ISO/IEC 27013 .27
4.4.8 5.4.8 ISO/IEC 27014 ISO/IEC 27014 .27
4.4.9 5.4.9 ISO/IEC/TR 27016 ISO/IEC TR 27016 .28
5.4.10 ISO/IEC 27021 .28
4.5 5.5 Normes décrivant des lignes directrices propres à un secteur .28
4.5.1 5.5.1 ISO/IEC 27010 ISO/IEC 27010 .28
4.5.2 5.5.2 ISO/IEC 27011 ISO/IEC 27011 .29
4.5.3 ISO/IEC/TR 27015 .29
4.5.4 5.5.3 ISO/IEC 27017 ISO/IEC 27017 .29
© ISO/IEC 2018 – Tous droits réservés iii

ISO/IEC 27000:redline:2018(F)
4.5.5 5.5.4 ISO/IEC 27018 ISO/IEC 27018 .30
4.5.6 5.5.5 ISO/IEC/TR 27019 ISO/IEC 27019 .30
4.5.7 5.5.6 ISO 27799 ISO 27799 .31
Annexe A (informative) Formes verbales utilisées pour exprimer des dispositions .32
Annexe B (informative) Termes et propriété des termes .33
Bibliographie .39
iv © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationauxest une fédération mondiale d'organismes nationaux de normalisation (comités membres
de l'ISO ou de l'IEC participent à l'élaboration de Normes internationales par l'intermédiaire de
comités techniques créés par l'organisme concerné pour traiter de domaines particuliers à une
activité technique. Les). L'élaboration des Normes internationales est en général confiée aux comités
techniques de l'ISO et de l'IEC collaborent dans des domaines d’intérêt commun. D'autres organismes
internationaux, gouvernementaux et non gouvernementaux. Chaque comité membre intéressé par une
étude a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO et l'IEC participent également aux
travaux. Dans le domaine des technologies de l'information, l'ISO et l'IEC ont créé un comité technique
mixte, l'ISO/IEC JTC 1L'ISO collabore étroitement avec la Commission électrotechnique internationale
(IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documentdocuments ISO. Le présent
document a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC,
Partie 2 (voir http:// www .iso .org/ directiveswww .iso .org/ directives).
L’attention est appeléeL'attention est attirée sur le fait que certains des éléments du présent document
peuvent faire l’objetl'objet de droits de propriété intellectuelle ou de droits analogues. L’ISOL'ISO
ne saurait être tenue pour responsable de ne pas avoir identifié de tels droits de propriété et averti
de leur existence. Les détails concernant les références aux droits de propriété intellectuelle ou
autres droits analogues identifiés lors de l’élaborationl'élaboration du document sont indiqués dans
l’Introductionl'Introduction et/ou dans la liste des déclarations de brevets reçues par l’ISOl'ISO (voir
www .iso .org/ brevetswww .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intentionl’intention des utilisateurs et ne sauraient
constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'OMCl’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: Avant-propos — Informations supplémentaireswww
.iso .org/ avant -propos.
Le comité chargé de l'élaboration du présent document est l'ISO/présent document a été élaboré par le
comité technique ISO/IEC JTC 1, Technologies de l'information, sous-comité SC 27, Techniques de sécurité
des technologies de l'information.
Cette quatrièmecinquième édition annule et remplace la troisièmequatrième édition
(ISO/IEC 27000:20142016), qui a fait l'objet d'une révision technique. Les principales modifications par
rapport à l'édition précédente sont les suivantes:
— modification du texte de l'Introduction;
— suppression de certains termes et définitions;
— alignement de l'Article 3 par rapport à la structure-cadre pour MSS;
— mise à jour de l'Article 5 pour refléter les modifications dans les normes concernées;
— suppression des Annexes A et B.
© ISO/IEC 2018 – Tous droits réservés v

ISO/IEC 27000:redline:2018(F)
Introduction
0.1  Vue d'ensemble
Les Normes internationales relatives aux systèmes de management fournissent un modèle en matière
d'établissement et d'exploitation d'un système de management. Ce modèle comprend les caractéristiques
que les experts dans le domaine s'accordent à reconnaître comme reflétant l'état de l'art au niveau
international. Le sous-comité ISO/IEC JTC 1/SC 27 bénéficie de l'expérience d'un comité d'experts
qui se consacre à l'élaboration des Normes internationales sur les systèmes de management pour la
sécurité de l'information, connues également comme famille de normes du Système de Management de
la Sécurité de l'Information (SMSI).
Grâce à l'utilisation de la famille de normes du SMSI, les organismes peuvent élaborer et mettre en œuvre
un cadre de référence pour gérer la sécurité de leurs actifs informationnels, y compris les informations
financières, la propriété intellectuelle, les informations sur les employés, ou les informations qui leur
sont confiées par des clients ou des tiers. Ils peuvent également utiliser ces normes pour se préparer à
une évaluation indépendante de leur SMSI en matière de protection de l'information.
0.2 La famille de normes du SMSI
La famille de normes du SMSI (voir Article 4) a pour objet d’aider les organismes de tous types et
de toutes tailles à déployer et à exploiter un SMSI. Elle se compose des Normes internationales
suivantes (indiquées ci-dessous par ordre numérique) regroupées sous le titre général Technologies de
l’information — Techniques de sécurité:
— ISO/IEC 27000, Systèmes de management de la sécurité de l’information — Vue d’ensemble et vocabulaire
— ISO/IEC 27001, Systèmes de management de la sécurité de l’information — Exigences
— ISO/IEC 27002, Code de bonnes pratiques pour le management de la sécurité de l’information
— ISO/IEC 27003, Lignes directrices pour la mise en œuvre du système de management de la sécurité de
l’information
— ISO/IEC 27004, Management de la sécurité de l’information — Mesurage
— ISO/IEC 27005, Gestion des risques liés à la sécurité de l’information
— ISO/IEC 27006, Exigences pour les organismes procédant à l’audit et à la certification des systèmes de
management de la sécurité de l’information
— ISO/IEC 27007, Lignes directrices pour l’audit des systèmes de management de la sécurité de l’information
— ISO/IEC/TR 27008, Lignes directrices pour les auditeurs des contrôles de sécurité de l’information
— ISO/IEC 27009, Application de l’ISO/IEC 27001 à un secteur spécifique — Exigences
— ISO/IEC 27010, Gestion de la sécurité de l’information des communications intersectorielles et
interorganisationnelles
— ISO/IEC 27011, Lignes directrices du management de la sécurité de l’information pour les organismes
de télécommunications sur la base de l’ISO/IEC 27002
— ISO/IEC 27013, Guide sur la mise en œuvre intégrée de l’ISO/IEC 27001 et ISO/IEC 20000-1
— ISO/IEC 27014, Gouvernance de la sécurité de l’information
— ISO/IEC/TR 27015, Lignes directrices pour le management de la sécurité de l’information pour les
services financiers
— ISO/IEC/TR 27016, Management de la sécurité de l’information — Économie organisationnelle
vi © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
— ISO/IEC 27017, Code de bonnes pratiques pour les contrôles de sécurité de l’information fondés sur
l’ISO/IEC 27002 pour les services du nuage
— ISO/IEC 27018, Code de bonnes pratiques pour la protection des informations personnelles identifiables
(PII) dans l’informatique en nuage public agissant comme processeur de PII
— ISO/IEC 27019, Lignes directrices de management de la sécurité de l’information fondées sur
l’ISO/IEC 27002 pour les systèmes de contrôle des processus spécifiques à l’industrie de l’énergie
NOTE Le titre général « Technologies de l’information — Techniques de sécurité » indique que ces Normes
internationales ont été élaborées par le comité technique mixte ISO/IEC JTC 1, Technologies de l’information,
sous-comité SC 27, Techniques de sécurité des technologies de l’information.
Les Normes internationales qui font également partie de la famille de normes du SMSI, mais qui ne sont
pas regroupées sous le même titre général, sont les suivantes:
— ISO 27799, Informatique de santé — Management de la sécurité de l’information relative à la santé en
utilisant l’ISO/IEC 27002
0.2  Objet du présent document
La famille de normes du SMSI comporte des normes qui:
a) définissent les exigences relatives à un SMSI et à ceux qui certifient de tels systèmes;
b) apportent des informations directes, des recommandations et/ou une interprétation détaillées
concernant le processus général visant à établir, mettre en œuvre, maintenir et améliorer un SMSI;
c) présentent des lignes directrices propres à des secteurs particuliers en matière de SMSI;
d) traitent de l'évaluation de la conformité d'un SMSI.
0.3 Objet de la présente Norme internationale
La présente Norme internationale offre une vue d’ensemble des systèmes de management de la sécurité
de l’information et définit les termes qui s’y rapportent.
NOTE L’Annexe A fournit des éclaircissements sur la façon dont les formes verbales sont utilisées pour
exprimer des exigences et/ou des préconisations dans la famille de normes du SMSI.
La famille de normes du SMSI comporte des normes qui:
a) définissent les exigences relatives à un SMSI et à ceux qui certifient de tels systèmes;
b) apportent des informations directes, des préconisations et/ou une interprétation détaillées
concernant le processus général visant à établir, mettre en œuvre, maintenir et améliorer un SMSI;
c) présentent des lignes directrices propres à des secteurs particuliers en matière de SMSI;
d) traitent de l’évaluation de la conformité d’un SMSI.
Les termes et les définitions fournis dans la présente Norme internationale:
— couvrent les termes et les définitions d’usage courant dans la famille de normes du SMSI;
— ne couvrent pas l’ensemble des termes et des définitions utilisés dans la famille de normes du SMSI;
— ne limitent pas la famille de normes du SMSI en définissant de nouveaux termes à utiliser.
0.3  Contenu du présent document
© ISO/IEC ISO pub-date year – Tous droits réservés vii

ISO/IEC 27000:redline:2018(F)
Dans le présent document, les formes verbales suivantes sont utilisées:
— «doit» indique une exigence;
— «il convient» indique une recommandation;
— «peut» indique une autorisation («may» en anglais),
— ou une possibilité ou une capacité («can» en anglais).
Les informations sous forme de «NOTE» sont fournies pour clarifier l’exigence associée ou en
faciliter la compréhension. Les «Notes à l’article» employées à l’Article 3 fournissent des informations
supplémentaires qui viennent compléter les données terminologiques et peuvent contenir des
dispositions concernant l’usage d’un terme.
viii © ISO/IEC ISO pub-date year – Tous droits réservés

NORME INTERNATIONALE ISO/IEC 27000:redline:2018(F)
Technologies de l'information — Techniques de sécurité —
Systèmes de management de la sécurité de l'information —
Vue d'ensemble et vocabulaire
1 Domaine d’application
La présente Norme internationale offre une vue d’ensemble des systèmes de management de la sécurité
de l’information, ainsi que des termes et définitions d’usage courant dans la famille de normes du SMSI.
La présente Norme internationale est applicable à tous les types et à toutes les tailles d’organismes (par
exemple: les entreprises commerciales, les organismes publics, les organismes à but non lucratif).
Le présent document offre une vue d’ensemble des systèmes de management de la sécurité de
l’information (SMSI). Il comprend également les termes et définitions d’usage courant dans la famille de
normes du SMSI. Le présent document est applicable à tous les types et à toutes les tailles d’organismes
(par exemple: les entreprises commerciales, les organismes publics, les organismes à but non lucratif).
Les termes et les définitions fournis dans le présent document:
— couvrent les termes et les définitions d’usage courant dans la famille de normes du SMSI;
— ne couvrent pas l’ensemble des termes et des définitions utilisés dans la famille de normes du SMSI;
— ne limitent pas la famille de normes du SMSI en définissant de nouveaux termes à utiliser.
2 Références normatives
Le présent document ne contient aucune référence normative.
2 3 Termes et définitions definitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquentL’ISO et l’IEC
tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
2.1 3.1
contrôle d'accès
moyens mis en œuvre pour assurer que l'accès aux actifs est autorisé et limité selon les exigences
(2.63 3.56) propres à la sécurité et à l'activité métier
2.2
modèle analytique
algorithme ou calcul combinant une ou plusieurs mesures élémentaires (2.10) et/ou mesures
dérivées (2.22) avec les critères de décision associés (2.21)
2.3 3.2
attaque
tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'utiliser sans autorisation
un actif, ou de faire un usage non autorisé de celui-ci
ISO/IEC 27000:redline:2018(F)
2.4
attribut
propriété ou caractéristique d'un objet (2.55) qui peut être distingué quantitativement ou
qualitativement par des moyens humains ou automatiques
[SOURCE: ISO/IEC 15939:2007, 2.2, modifiée — Le terme « entité » a été remplacé par « objet » dans la
définition.]
2.5 3.3
audit
processus (2.61)processus méthodique, indépendant et documenté (3.54) permettant d'obtenir des
preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères
d'audit sont satisfaits
Note 1 à l'article: Un audit peut être interne (audit de première partie), externe (audit de seconde ou de tierce
partie) ou combiné (associant deux disciplines ou plus).
Note 2 à l'article: Un audit interne est réalisé par l’organisme lui-même ou par une partie externe pour le compte
de celui-ci.
Note 3 à l'article: Les termes «preuves d'audit» et «critères d'audit» sont définis dans l'ISO 19011.
2.6 3.4
champ de l'audit
étendue et limites d'un audit (2.5 3.3)
[SOURCE: ISO 19011:2011, 3.14, modifiée — Suppression de la note 1 à l'article.]
2.7 3.5
authentification
méthode permettant de garantir qu'une caractéristique revendiquée pour une entité est correcte
2.8 3.6
authenticité
propriété selon laquelle une entité est ce qu'elle revendique être
2.9 3.7
disponibilité
propriété d'être accessible et utilisable à la demande par une entité autorisée
3.8
2.10
mesure élémentaire
mesure (2.47 3.42) définie en fonction d'un attribut (2.4)attribut et de la méthode de mesurage spécifiée
pour le quantifier
[SOURCE: ISO/IEC 15939:2007, 2.3, modifiée — Suppression de la note 2 à l'article.]
Note 1 à l'article: Une mesure élémentaire est fonctionnellement indépendante des autres mesures (2.47)mesures.
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.3, modifiée — Suppression de la note 2 à l'article.]
2.11 3.9
compétence
capacité à appliquer des connaissances et des aptitudes pour obtenir les résultats escomptés
2.12 3.10
confidentialité
propriété selon laquelle l'information n'est pas diffusée ni divulguée à des personnes, des entités ou des
processus (2.61 3.54) non autorisés
2 © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
2.13 3.11
conformité
satisfaction d'une exigence (2.63 3.56)
Note 1 à l'article: Le terme anglais « conformance » est un synonyme, mais il est déconseillé.
2.14 3.12
conséquence
effet d'un événement (2.25 3.21) affectant les objectifs (2.56 3.49)
[SOURCE: Guide ISO 73:2009, 3.6.1.3, modifié]
Note 1 à l'article: Un événement (2.25)événement peut entraîner engendrer une série de conséquences.
Note 2 à l'article: Une conséquence peut être certaine ou incertaine. Dans ; dans le contexte de la sécurité de
l'information (2.33)sécurité de l'information, elle est généralement négative.
Note 3 à l'article: Les conséquences peuvent être exprimées de façon qualitative ou quantitative.
Note 4 à l'article: Des conséquences initiales peuvent déclencher des réactions en chaîne.
[SOURCE: Guide ISO 73:2009, 3.6.1.3, modifié — Modification de la Note 2 à l'article après «et».]
2.15 3.13
amélioration continue
activité régulière destinée à améliorer les performances (2.59 3.52)
2.16 3.14
mesure de sécurité
mesure qui modifie un risque (2.68 3.61)
[SOURCE: Guide ISO 73:2009, 3.8.1.1]
Note 1 à l'article: Les mesures de sécurité comprennent tous les processus (2.61 3.54), politiques (2.60 3.53),
dispositifs, pratiques ou autres actions qui modifient un risque (2.68 3.61).
Note 2 à l'article: Les Il est possible que les mesures de sécurité ne peuvent puissent pas toujours aboutir à la
modification voulue ou supposée.
[SOURCE: Guide ISO 73:2009, 3.8.1.1, — Modification de la Note 2 à l'article.]
2.17 3.15
objectif d’une d'une mesure de sécurité
déclaration décrivant ce qui est attendu de la mise en œuvre des mesures de sécurité (2.16 3.14)
2.18 3.16
correction
action visant à éliminer une non-conformité (2.53 3.47) détectée
2.19 3.17
action corrective
action visant à éliminer la cause d'une non-conformité (2.53 3.47) et à empêcher qu'elle ne se répète
2.20
données
ensemble des valeurs attribuées aux mesures élémentaires (2.10), mesures dérivées (2.22) et/ou aux
indicateurs (2.30)
[SOURCE: ISO/IEC 15939:2007, 2.4, modifiée — Ajout de la note 1 à l'article.]
Note 1 à l'article: Cette définition s'applique uniquement dans le contexte de l'ISO/IEC 27004.
© ISO/IEC 2018 – Tous droits réservés 3

ISO/IEC 27000:redline:2018(F)
2.21
critères de décision
seuils, cibles ou modèles utilisés pour déterminer la nécessité d'une action ou d'un complément
d'enquête, ou pour décrire le niveau de confiance dans un résultat donné
[SOURCE: ISO/IEC 15939:2007, 2.7]
2.22 3.18
mesure dérivée
mesure (2.47 3.42) définie en fonction d'au moins deux mesures élémentaires (2.10 3.8)
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.8 2017, 3.8, modifiée — Suppression de la note 1 à l'article.]
2.23 3.19
informations documentées
informations devant être contrôlées et mises à jour par un organisme (2.57 3.50) et le support sur lequel
elles sont stockées
Note 1 à l'article: Les informations documentées peuvent être dans n'importe quel format, sur n'importe quel
support et provenir de n'importe quelle source.
Note 2 à l'article: Les informations documentées peuvent se rapporter:
— au système de management (2.463.41) et aux processus (2.61)processus associés (3.54);
— aux informations créées pour permettre à l'organisme (2.573.50) de fonctionner (documentation);
— aux preuves des résultats obtenus (enregistrements).
2.24 3.20
efficacité
niveau de réalisation des activités planifiées et d'obtention des résultats escomptés
2.25 3.21
événement
occurrence ou changement d'un ensemble particulier de circonstances
[SOURCE: Guide ISO 73:2009, 3.5.1.3, modifié — Suppression de la note 4 à l'article.]
Note 1 à l'article: Un événement peut être unique ou se reproduire. Il peut avoir plusieurs causes.
Note 2 à l'article: Un événement peut consister en quelque chose qui ne se produit pas.
Note 3 à l'article: Un événement peut parfois être qualifié «d'incident» ou «d'accident».
[SOURCE: Guide ISO 73:2009, 3.5.1.3, modifié — Suppression de la note 4 à l'article.]
2.26
management exécutif
personne ou groupe de personnes ayant reçu des instances dirigeantes (2.29) la responsabilité de la
mise en œuvre des stratégies et politiques afin d'atteindre les objectifs de l'organisme (2.57)
Note 1 à l'article: Le management exécutif est parfois appelé la direction (2.84). Il peut comprendre les présidents
directeurs généraux, les directeurs financiers, les directeurs des systèmes d'information et autres fonctions
similaires.
2.27 3.22
contexte externe
environnement externe dans lequel l'organisme cherche à atteindre ses objectifs (2.56 3.49)
Note 1 à l'article: Le contexte externe peut inclure les aspects suivants:
— l'environnement culturel, social, politique, légal, réglementaire, financier, technologique, économique,
naturel et concurrentiel, au niveau international, national, régional ou local;
4 © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
— les facteurs clés et tendances ayant un impact déterminant sur les objectifs de l'organisme (3.50);
— les relations avec les parties prenantes (3.37) externes, les perceptions et valeurs relatives à celles-ci.
[SOURCE: Guide ISO 73:2009, 3.3.1.1]
Note 2 à l'article: Le contexte externe peut inclure les aspects suivants:
— l'environnement culturel, social, politique, légal, réglementaire, financier, technologique, économique,
naturel et concurrentiel, au niveau international, national, régional ou local;
— les facteurs clés et tendances ayant un impact déterminant sur les objectifs (2.56) de l'organisme (2.57);
— les relations avec les parties prenantes (2.82) externes, les perceptions et valeurs relatives à celles-ci.
2.28 3.23
gouvernance de la sécurité de l'information
système par lequel un organisme (2.57 3.50) conduit et supervise les activités liées à la sécurité de
l'information (2.33 3.28)
2.29 3.24
instances dirigeantes
personne ou groupe de personnes ayant la responsabilité des performances (2.59 3.52) et de la
conformité de l'organisme (2.57 3.50)
Note 1 à l'article: Dans certaines juridictions, les instances dirigeantes peuvent être constituées d'un conseil
d'administration.
2.30 3.25
indicateur
mesure (2.47 3.42) qui fournit une estimation ou une évaluation des  attributs (2.4) spécifiés à partir
d'un  modèle analytique (2.2) concernant les  besoins d'information (2.31) définis
2.31 3.26
besoin d'information
information nécessaire pour gérer les objectifs (2.56 3.49), les buts, les risques et les problèmes
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.12 2017, 3.12]
2.32 3.27
moyens de traitement de l'information
tout système, service ou infrastructure de traitement de l'information, ou le local les abritant
2.33 3.28
sécurité de l'information
protection de la confidentialité (2.12 3.10), de l'intégrité (2.40 3.36) et de la disponibilité (2.9 3.7) de
l'information
Note 1 à l'article: En outre, d'autres propriétés, telles que l' authenticité (2.8 l'authenticité (3.6), l'imputabilité, la
non-répudiation (2.54 3.48) et la fiabilité (2.62 3.55) peuvent également être concernées.
2.34 3.29
continuité de la sécurité de l'information
processus (2.61 3.54) et procédures visant à assurer la continuité des opérations liées à la sécurité de
l'information (2.33 3.28)
2.35 3.30
événement lié à la sécurité de l'information
occurrence identifiée de l'état d'un système, d'un service ou d'un réseau indiquant une faille possible
dans la politique (2.60 3.28) de sécurité de l'sécurité de l'information (2.33 information (3.53) ou un échec
des mesures de sécurité (2.16 3.14), ou encore une situation inconnue jusqu'alors et pouvant relever de la
sécurité
© ISO/IEC 2018 – Tous droits réservés 5

ISO/IEC 27000:redline:2018(F)
2.36 3.31
incident lié à la sécurité de l'information
un ou plusieurs événements liés à la sécurité de l'information (2.35 3.30), indésirables ou inattendus,
présentant une probabilité forte de compromettre les opérations liées à l'activité de l'organisme et de
menacer la sécurité de l'information (2.33 3.28)
2.37 3.32
gestion des incidents liés à la sécurité de l'information
ensemble de processus (2.61 3.54) visant à détecter, rapporter, apprécier, gérer et résoudre les incidents
liés à la sécurité de l'information (2.36 3.31), ainsi qu'à en tirer des enseignements
3.33
professionnel SMSI (Système de management de la sécurité de l'information)
personne chargée d'établir et de mettre en œuvre un ou plusieurs processus (3.54) d'un système de
management de la sécurité de l'information, ainsi que d'en assurer la maintenance et l'amélioration
continue
2.38 3.34
communauté de partage d'informations
groupe d'organismes (2.57 3.50) qui s'accordent pour partager les des informations
Note 1 à l'article: Un organisme (2.57)organisme peut être un individu.
2.39 3.35
système d'information
applications ensemble d'applications, services, actifs informationnels ou autres composants permettant
de gérer l'information
2.40 3.36
intégrité
propriété d'exactitude et de complétude
2.41 3.37
partie intéressée (terme préféré)
partie prenante (terme admis)
personne ou organisme (2.57 3.50) susceptible d'affecter, d'être affecté ou de se sentir lui-même affecté
par une décision ou une activité
2.42 3.38
contexte interne
environnement interne dans lequel l'organisme (2.57 3.50) cherche à atteindre ses objectifs
Note 1 à l'article: Le contexte interne peut inclure:
— la gouvernance, la structure organisationnelle, les rôles et les responsabilités;
— les politiques (3.53), objectifs (3.49) et stratégies mises en place pour atteindre ces derniers;
— les capacités, en termes de ressources et de connaissances (par exemple: capital, temps, personnel, processus
(3.54), systèmes et technologies);
— les systèmes d'information (3.35), flux d'information et processus de prise de décision (formels et informels);
— les relations avec les parties prenantes (3.37) internes, les perceptions et valeurs associées à celles-ci;
— la culture de l'organisme;
— les normes, lignes directrices et modèles adoptés par l'organisme;
— la forme et l'étendue des relations contractuelles.
6 © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
[SOURCE: Guide ISO 73:2009, 3.3.1.2]
Note 2 à l'article: Le contexte interne peut inclure les aspects suivants:
— la gouvernance, la structure organisationnelle, les rôles et les responsabilités;
— les politiques (2.60), objectifs (2.56) et stratégies mises en place pour atteindre ces derniers;
— les capacités, en termes de ressources et de connaissances (par exemple: capital, temps, personnel,
processus (2.61), systèmes et technologies);
— les systèmes d'information (2.39), flux d'information et processus (2.61) de prise de décision (formels et
informels);
— les relations avec les parties prenantes (2.82) internes, les perceptions et valeurs associées à celles-ci;
— la culture de l'organisme (2.57);
— les normes, lignes directrices et modèles adoptés par l'organisme (2.57);
— la forme et l'étendue des relations contractuelles.
2.43
projet SMSI
activités structurées entreprises par un organisme (2.57) pour déployer un SMSI
2.44 3.39
niveau de risque
importance d'un risque (2.68 3.61) exprimée en termes de combinaison des conséquences (2.14 3.12) et
de leur vraisemblance (2.45 3.40)
[SOURCE: Guide ISO 73:2009, 3.6.1.8, modifié  modifiée— Suppression de «ou combinaison de risques»
de la définition.]
2.45 3.40
vraisemblance
possibilité qu'un événement survienne que quelque chose se produise
[SOURCE: Guide ISO 73:2009, 3.6.1.1, modifié — Suppression des notes 1 et 2 à l'article.]
2.46 3.41
système de management
ensemble d'éléments corrélés ou interactifs d'un organisme (2.57 3.50) visant à établir des politiques
(2.60 3.53), des objectifs (2.56 3.49) et des processus (2.61 3.54) permettant d'atteindre ces objectifs
Note 1 à l'article: Un système de management peut recouvrir une ou plusieurs disciplines.
Note 2 à l'article: Les éléments du système comprennent la structure de l'organisme, les rôles et responsabilités,
la planification et les opérations.
Note 3 à l'article: Le domaine d’application  d'un système de management peut comprendre l' organisme (2.57)
l'organisme dans son ensemble, certaines des de ses fonctions spécifiques et identifiées de l' organisme (2.57),
certaines des de ses sections spécifiques et identifiées de l' organisme (2.57), ou bien  une ou plusieurs fonctions
au sein d'un groupe d' organismes (2.57)d'organismes.
2.47 3.42
mesure
variable à laquelle on attribue une valeur correspondant au résultat du mesurage (2.48 3.43)
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.15, modifiée 2017, 3.15, modifiée — Suppression de la note 2 à
l'article.]
Note 1 à l'article: Le terme « mesures » est utilisé pour désigner collectivement les mesures élémentaires (2.10),
les mesures dérivées (2.22) et les indicateurs (2.30).
© ISO/IEC 2018 – Tous droits réservés 7

ISO/IEC 27000:redline:2018(F)
2.48 3.43
mesurage
processus (2.61 3.54) permettant de déterminer une valeur
Note 1 à l'article: Dans le contexte de la sécurité de l'information (2.33), le processus (2.61) de détermination d'une
valeur nécessite des informations concernant l'efficacité (2.24) d'un système de management (2.46) de la sécurité
de l'information (2.33) et des mesures de sécurité (2.16) associées à l'aide d'une méthode de mesurage (2.50), d'une
fonction de mesurage (2.49), d'un modèle analytique (2.2) et de critères de décision (2.21).
2.49 3.44
fonction de mesurage
algorithme ou calcul utilisé pour combiner au moins deux mesures élémentaires (2.10 3.8)
[SOURCE: ISO/IEC/IEEE 15939:2007, 2.20 2017, 3.20]
2.50 3.45
méthode de mesurage
suite logique d'opérations décrites de manière générique qui permettent de quantifier un attribut (2.4)
attribut selon une échelle (2.80)échelle spécifiée
[SOURCE: ISO/IEC 15939:2007, 2.22, modifiée — Suppression de la note 2 à l'article.]
Note 1 à l'article: Le type de méthode de mesurage mesure employé dépend de la nature des opérations utilisées
pour quantifier un attribut (2.4 3.4). On peut en distinguer deux:
— le type subjectif: quantification faisant appel au jugement humain;
— le type objectif: quantification fondée sur des règles numériques.
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.21, modifiée — Suppression de la note 2 à l'article.]
2.51
résultats de mesurage
un ou plusieurs indicateurs (2.30) et les interprétations associées, répondant à un besoin
d'information (2.31)
2.52 3.46
surveillance
détermination du statut d'un système, d'un processus (2.61 3.54) ou d'une activité
Note 1 à l'article: Pour déterminer le statut, il peut s'avérer nécessaire de vérifier, de superviser ou d'observer de
manière critique.
2.53 3.47
non-conformité
non-satisfaction d'une exigence (2.63 3.56)
2.54 3.48
non-répudiation
capacité à prouver l'occurrence d'un événement (2.25 3.21) ou d'une action donnée(e) et des entités qui
en sont à l'origine
2.55
objet
élément caractérisé par le mesurage (2.48) de ses attributs (2.4)
2.56 3.49
objectif
résultat à atteindre
Note 1 à l'article: Un objectif peut être stratégique, tactique ou opérationnel.
8 © ISO/IEC 2018 – Tous droits réservés

ISO/IEC 27000:redline:2018(F)
Note 2 à l'article: Les objectifs peuvent concerner différentes disciplines (par exemple: finance, santé, sécurité ou
environnement) et différents niveaux (par exemple: au niveau stratégique, à l'échelle de l'organisme, au niveau
d'un projet, d'un produit et d'un processus (2.61 3.54).
Note 3 à l'article: Un objectif peut être exprimé de différentes manières, par exemple:  comme un résultat
recherché, but à atteindre, un but, un critère opérationnel, objectif en matière un objectif de sécurité de sécurité
de l'information (2.33)l'information, ou à l'aide en utilisant d'autres mots de sens similaire (par exemple: intention
ou cible).
Note 4 à l'article: Dans le contexte des systèmes de management (2.46)systèmes de management de la sécurité
de l'information (2.33)sécurité de l'information, les objectifs de sécurité de l'information (2.33)sécurité de
l'information sont définis par l'organisme, conformément à la politique (2.60)politique de sécurité de l'information
(2.33)sécurité de l'information, afin d'obtenir des résultats spécifiques.
2.57 3.50
organisme
personne ou groupe de personnes qui exerce ses propres fonctions associées aux responsabilités,
pouvoirs et relations nécessaires pour atteindre ses objectifs (2.56 3.49)
Note 1 à l'article:
...