ISO/IEC 27000:2012
(Main)Information technology - Security techniques - Information security management systems - Overview and vocabulary
Information technology - Security techniques - Information security management systems - Overview and vocabulary
ISO/IEC 27000:2012 describes the overview and the vocabulary of information security management systems, which form the subject of the ISMS family of standards, and defines related terms and definitions. ISO/IEC 27000:2012 is applicable to all types and sizes of organisation (e.g. commercial enterprises, government agencies, not-for-profit organisations).
Technologies de l'information — Techniques de sécurité — Systèmes de management de la sécurité de l'information — Vue d'ensemble et vocabulaire
L'ISO 27000:2012 décrit une vue d'ensemble et le vocabulaire des systèmes de management de la sécurité de l'information, qui constituent l'objet de la famille de normes du SMSI, et définit les termes et les définitions qui s'y rapportent. L'ISO 27000:2012 est applicable à tous les types et à toutes les tailles d'organisations (par exemple entreprises commerciales, organisations publiques, organisations à but non lucratif).
General Information
Relations
Frequently Asked Questions
ISO/IEC 27000:2012 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information technology - Security techniques - Information security management systems - Overview and vocabulary". This standard covers: ISO/IEC 27000:2012 describes the overview and the vocabulary of information security management systems, which form the subject of the ISMS family of standards, and defines related terms and definitions. ISO/IEC 27000:2012 is applicable to all types and sizes of organisation (e.g. commercial enterprises, government agencies, not-for-profit organisations).
ISO/IEC 27000:2012 describes the overview and the vocabulary of information security management systems, which form the subject of the ISMS family of standards, and defines related terms and definitions. ISO/IEC 27000:2012 is applicable to all types and sizes of organisation (e.g. commercial enterprises, government agencies, not-for-profit organisations).
ISO/IEC 27000:2012 is classified under the following ICS (International Classification for Standards) categories: 01.040.35 - Information technology (Vocabularies); 03.100.70 - Management systems; 35.030 - IT Security; 35.040 - Information coding. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC 27000:2012 has the following relationships with other standards: It is inter standard links to ISO/IEC 27000:2014, ISO/IEC 27000:2009. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/IEC 27000:2012 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27000
Second edition
2012-12-01
Information technology — Security
techniques — Information security
management systems — Overview and
vocabulary
Technologies de l'information — Techniques de sécurité — Systèmes
de management de la sécurité de l'information — Vue d'ensemble et
vocabulaire
Reference number
©
ISO/IEC 2012
© ISO/IEC 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2012 – All rights reserved
Foreword
ISO (the International Organisation for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organisation to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organisations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27000 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
This second edition cancels and replaces the first edition (ISO/IEC 27000:2009).
© ISO/IEC 2012 – All rights reserved iii
0 Introduction
0.1 Overview
International Standards for management systems provide a model to follow in setting up and operating a
management system. This model incorporates the features on which experts in the field have reached a
consensus as being the international state of the art. ISO/IEC JTC 1/SC 27 maintains an expert committee
dedicated to the development of international management systems standards for information security,
otherwise known as the Information Security Management System (ISMS) family of standards.
Through the use of the ISMS family of standards, organisations can develop and implement a framework for
managing the security of their information assets including financial information, intellectual property, and
employee details, or information entrusted to them by customers or third parties. These standards can also be
used to prepare for an independent assessment of their ISMS applied to the protection of information.
0.2 ISMS family of standards
1)
The ISMS family of standards (see Clause 4) is intended to assist organisations of all types and sizes to
implement and operate an ISMS and consists of the following International Standards, under the general title
Information technology — Security techniques (given below in numerical order):
ISO/IEC 27000:2009, Information security management systems — Overview and vocabulary
ISO/IEC 27001:2005, Information security management systems — Requirements
ISO/IEC 27002:2005, Code of practice for information security management
ISO/IEC 27003:2010, Information security management system implementation guidance
ISO/IEC 27004:2009, Information security management — Measurement
ISO/IEC 27005:2011, Information security risk management
ISO/IEC 27006:2011, Requirements for bodies providing audit and certification of information security
management systems
ISO/IEC 27007:2011, Guidelines for information security management systems auditing
ISO/IEC TR 27008:2011, Guidelines for auditors on information security management systems controls
ISO/IEC 27010:2012, Information security management guidelines for inter-sector and inter-
organisational communications
ITU-T X.1051 | ISO/IEC 27011:2008, Information security management guidelines for
telecommunications organisations based on ISO/IEC 27002
ISO/IEC FDIS 27013, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC
20000-1
ITU-T X.1054 | ISO/IEC FDIS 27014, Governance of information security
1)
Standards identified throughout this subclause with no release year indicated are still under development.
iv © ISO/IEC 2012 – All rights reserved
ISO/IEC TR 27015, Information security management guidelines for financial services
ISO/IEC WD 27016, Information security management – Organisational economics
NOTE The general title “Information technology — Security techniques” indicates that these standards were prepared
by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.
International Standards not under the same general title that are also part of the ISMS family of standards are
as follows:
ISO 27799:2008, Health informatics — Information security management in health using ISO/IEC 27002
0.3 Purpose of this International Standard
This International Standard provides an overview of information security management systems, and defines
related terms.
NOTE Annex A provides clarification on how verbal forms are used to express requirements and/or guidance in the
ISMS family of standards.
The ISMS family of standards includes standards that:
a) define requirements for an ISMS and for those certifying such systems;
b) provide direct support, detailed guidance and/or interpretation for the overall Plan-Do-Check-Act (PDCA)
processes and requirements;
c) address sector-specific guidelines for ISMS; and
d) address conformity assessment for ISMS.
The terms and definitions provided in this International Standard:
cover commonly used terms and definitions in the ISMS family of standards;
will not cover all terms and definitions applied within the ISMS family of standards; and
do not limit the ISMS family of standards in defining new terms for use.
© ISO/IEC 2012 – All rights reserved v
INTERNATIONAL STANDARD ISO/IEC 27000:2012(E)
Information technology — Security techniques — Information
security management systems — Overview and vocabulary
1 Scope
This International Standard describes the overview and the vocabulary of information security management
systems, which form the subject of the ISMS family of standards, and defines related terms and definitions.
This International Standard is applicable to all types and sizes of organisation (e.g. commercial enterprises,
government agencies, not-for-profit organisations).
2 Terms and definitions
For the purposes of this document , the following terms and definitions apply.
NOTE 1 A term in a definition or note which is defined elsewhere in this clause is indicated by boldface followed by its
entry number in parentheses. Such a boldface term can be replaced in the definition by its complete definition.
For example:
attack (2.4) is defined as “attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make
unauthorized use of an asset (2.3)”;
asset is defined as “any item that has value to the organisation”.
If the term “asset” is replaced by its definition:
attack then becomes “attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make
unauthorized use of any item that has value to the organisation”.
2.1
access control
means to ensure that access to assets (2.4) is authorized and restricted based on business and security
requirements
2.2
accountability
assignment of actions and decisions to an entity
2.3
analytical model
algorithm or calculation combining one or more base (2.11) and/or derived measures (2.21) with associated
decision
[ISO/IEC 15939:2007]
2.4
asset
anything that has value to the organisation
NOTE There are many types of assets, including:
© ISO/IEC 2012 – All rights reserved 1
a) information;
b) software, such as a computer program;
c) physical, such as computer;
d) services;
e) people, and their qualifications, skills, and experience; and
f) intangibles, such as reputation and image.
2.5
attack
attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use of
an asset (2.4)
2.6
attribute
property or characteristic of an object that can be distinguished quantitatively or qualitatively by human or
automated means
[ISO/IEC 15939:2007]
2.7
audit scope
extent and boundaries of an audit
[ISO 9000:2005]
2.8
authentication
provision of assurance that a claimed characteristic of an entity is correct
2.9
authenticity
property that an entity is what it claims to be
2.10
availability
property of being accessible and usable upon demand by an authorized entity
2.11
base measure
measure (2.43) defined in terms of an attribute (2.6) and the method for quantifying it
[ISO/IEC 15939:2007]
NOTE A base measure is functionally independent of other measures.
2.12
business continuity
procedures (2.53) and/or processes (2.54) for ensuring continued business operations
2.13
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or processes
(2.54)
2.14
conformity
fulfillment of a requirement
2 © ISO/IEC 2012 – All rights reserved
[ISO 9000:2005].
NOTE The term “conformance” is synonymous but deprecated.
2.15
consequence
outcome of an event (2.24) affecting objectives
[ISO Guide 73:2009]
NOTE 1 An event can lead to a range of consequences.
NOTE 2 A consequence can be certain or uncertain and in the context of information security is usually negative.
NOTE 3 Consequences can be expressed qualitatively or quantitatively.
NOTE 4 Initial consequences can escalate through knock-on effects.
2.16
control
means of managing risk (2.61), including policies (2.51), procedures (2.53), guidelines (2.26), practices or
organisational structures, which can be of administrative, technical, management, or legal nature
NOTE 1 Controls for information security include any process, policy, procedure, guideline, practice or organisational
structure, which can be administrative, technical, management, or legal in nature which modify information security risk.
NOTE 2 Controls may not always exert the intended or assumed modifying effect.
NOTE 3 Control is also used as a synonym for safeguard or countermeasure.
2.17
control objective
statement describing what is to be achieved as a result of implementing controls (2.16)
2.18
corrective action
action to eliminate the cause of a detected non-conformity (2.48) or other undesirable situation
[ISO 9000:2005]
2.19
data
collection of values assigned to base measures (2.11), derived measures (2.21) and/or indicators (2.27)
[ISO/IEC 15939:2007]
NOTE This definition applies only within the context of ISO/IEC 27004:2009.
2.20
decision criteria
thresholds, targets, or patterns used to determine the need for action or further investigation, or to describe
the level of confidence in a given result
[ISO/IEC 15939:2007]
2.21
derived measure
measure (2.43) that is defined as a function of two or more values of base measures (2.11)
[ISO/IEC 15939:2007]
© ISO/IEC 2012 – All rights reserved 3
2.22
effectiveness
extent to which planned activities are realized and planned results achieved
[ISO 9000:2005]
2.23
efficiency
relationship between the results achieved and the resources used
[ISO 9000:2005]
2.24
event
occurrence or change of a particular set of circumstances
[ISO Guide 73:2009]
NOTE 1 An event can be one or more occurrences, and can have several causes.
NOTE 2 An event can consist of something not happening.
NOTE 3 An event can sometimes be referred to as an “incident” or “accident”.
2.25
external context
external environment in which the organisation seeks to achieve its objectives
[ISO Guide 73:2009]
NOTE External context can include:
the cultural, social, political, legal, regulatory, financial, technological, economic, natural and competitive
environment, whether international, national, regional or local;
key drivers and trends having impact on the objectives of the organisation; and
relationships with, and perceptions and values of, external stakeholders.
2.26
guideline
description that clarifies what should be done and how, to achieve the objectives set out in policies (2.51)
2.27
indicator
measure (2.43) that provides an estimate or evaluation of specified attributes (2.6) derived from an
analytical model (2.3) with respect to defined information needs (2.28)
2.28
information need
insight necessary to manage objectives, goals, risks and problems
[ISO/IEC 15939:2007]
2.29
information processing facilities
any information processing system, service or infrastructure, or the physical locations housing them
2.30
information security
preservation of confidentiality (2.13), integrity (2.36) and availability (2.10) of information
4 © ISO/IEC 2012 – All rights reserved
NOTE In addition, other properties, such as authenticity (2.9), accountability (2.2), non-repudiation (2.49), and
reliability (2.56) can also be involved.
2.31
information security event
identified occurrence of a system, service or network state indicating a possible breach of information security
policy or failure of safeguards, or a previously unknown situation that may be security relevant
2.32
information security incident
single or a series of unwanted or unexpected information security events (2.31) that have a significant
probability of compromising business operations and threatening information security (2.30)
2.33
information security incident management
processes (2.54) for detecting, reporting, assessing, responding to, dealing with, and learning from
information security incidents (2.32)
2.34
information security management system
ISMS
part of the overall management system (2.42), based on a business risk approach, to establish, implement,
operate, monitor, review, maintain and improve information security (2.30)
NOTE The management system includes organisational structure, policies, planning activities, responsibilities,
practices, procedures, processes and resources.
2.35
information system
application, service, information technology asset, or any other information handling component
2.36
integrity
property of protecting the accuracy and completeness of assets (2.4)
2.37
internal context
internal environment in which the organisation seeks to achieve its objectives
[ISO Guide 73:2009]
NOTE Internal context can include:
governance, organisational structure, roles and accountabilities;
policies, objectives, and the strategies that are in place to achieve them;
the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes,
systems and technologies);
information systems, information flows and decision-making processes (both formal and informal);
relationships with, and perceptions and values of, internal stakeholders;
the organisation's culture;
standards, guidelines and models adopted by the organisation; and
form and extent of contractual relationships.
2.38
ISMS project
structured activities undertaken by an organisation to implement an ISMS (2.34)
© ISO/IEC 2012 – All rights reserved 5
2.39
level of risk
magnitude of a risk (2.61) expressed in terms of the combination of consequences (2.15) and their
likelihood (2.40)
[ISO Guide 73:2009]
2.40
likelihood
chance of something happening
[ISO Guide 73:2009]
2.41
management
coordinated activities to direct and control an organisation
[ISO 9000:2005]
2.42
management system
framework of guidelines (2.26), policies (2.51), procedures (2.53), processes (2.54) and associated
resources aimed at ensuring an organisation meets its objectives
2.43
measure
variable to which a value is assigned as the result of measurement (2.44)
[ISO/IEC 15939:2007]
NOTE The term “measures” is used to refer collectively to base measures, derived measures, and indicators.
2.44
measurement
process of obtaining information about the effectiveness (2.22) of ISMS (2.34) and controls (2.16) using a
measurement method (2.46), a measurement function (2.45), an analytical model (2.3), and decision
criteria (2.20)
2.45
measurement function
algorithm or calculation performed to combine two or more base measures (2.11)
[ISO/IEC 15939:2007]
2.46
measurement method
logical sequence of operations, described generically, used in quantifying an attribute (2.6) with respect to a
specified scale (2.72)
[ISO/IEC 15939:2007]
NOTE The type of measurement method depends on the nature of the operations used to quantify an attribute. Two
types can be distinguished:
subjective: quantification involving human judgment;
objective: quantification based on numerical rules.
2.47
measurement results
one or more indicators (2.27) and their associated interpretations that address an information need (2.28)
6 © ISO/IEC 2012 – All rights reserved
2.48
non-conformity
non-fulfillment of a requirement
[ISO 9000:2005]
2.49
non-repudiation
ability to prove the occurrence of a claimed event or action and its originating entities
2.50
object
item characterized through the measurement (2.44) of its attributes (2.6)
2.51
policy
overall intention and direction as formally expressed by management (2.41)
2.52
preventive action
action to eliminate the cause of a potential non-conformity (2.48) or other undesirable potential situation
[ISO 9000:2005]
2.53
procedure
specified way to carry out an activity or a process (2.54)
[ISO 9000:2005]
2.54
process
set of interrelated or interacting activities which transforms inputs into outputs
[ISO 9000:2005]
2.55
record
document stating results achieved or providing evidence of activities performed
[ISO 9000:2005]
2.56
reliability
property of consistent intended behaviour and results
2.57
residual risk
risk (2.61) remaining after risk treatment (2.71)
NOTE 1 Residual risk can contain unidentified risk.
NOTE 2 Residual risk can also be known as “retained risk”.
2.58
review
activity undertaken to determine the suitability, adequacy and effectiveness (2.22) of the subject matter to
achieve established objectives
[ISO 9000:2005]
© ISO/IEC 2012 – All rights reserved 7
2.59
review object
specific item being reviewed
2.60
review objective
statement describing what is to be achieved as a result of a review
2.61
risk
effect of uncertainty on objectives
[ISO Guide 73:2009]
NOTE 1 An effect is a deviation from the expected — positive and/or negative.
NOTE 2 Objectives can have different aspects (such as financial, health and safety, information security, and
environmental goals) and can apply at different levels (such as strategic, organisation-wide, project, product and process).
NOTE 3 Risk is often characterized by reference to potential events (2.24) and consequences (2.15), or a
combination of these.
NOTE 4 Information security risk is often expressed in terms of a combination of the consequences of an information
security event and the associated likelihood (2.40) of occurrence.
NOTE 5 Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an
event, its consequence, or likelihood.
NOTE 6 Information security risk is associated with the potential that threats will exploit vulnerabilities of an information
asset or group of information assets and thereby cause harm to an organisation.
2.62
risk acceptance
decision to accept a risk (2.61)
2.63
risk analysis
process to comprehend the nature of risk (2.61) and to determine the level of risk (2.39)
[ISO Guide 73:2009]
NOTE 1 Risk analysis provides the basis for risk evaluation and decisions about risk treatment.
NOTE 2 Risk analysis includes risk estimation.
2.64
risk assessment
overall process (2.54) of risk identification (2.68), risk analysis (2.63) and risk evaluation (2.67)
[ISO Guide 73:2009]
2.65
risk communication and consultation
continual and iterative processes that an organisation conducts to provide, share or obtain information, and to
engage in dialogue with stakeholders (2.74) regarding the management of risk (2.61)
[ISO Guide 73:2009]
NOTE 1 The information can relate to the existence, nature, form, likelihood, significance, evaluation, acceptability and
treatment of risk.
8 © ISO/IEC 2012 – All rights reserved
NOTE 2 Consultation is a two-way process of informed communication between an organisation and its stakeholders
on an issue prior to making a decision or determining a direction on that issue. Consultation is:
a process which impacts on a decision through influence rather than power; and
an input to decision making, not joint decision making.
2.66
risk criteria
terms of reference against which the significance of risk (2.61) is evaluated
[ISO Guide 73:2009]
NOTE 1 Risk criteria are based on organisational objectives, and external and internal context.
NOTE 2 Risk criteria can be derived from standards, laws, policies and other requirements.
2.67
risk evaluation
process (2.54) of comparing the results of risk analysis (2.63) with risk criteria (2.66) to determine whether
the risk (2.61) and/or its magnitude is acceptable or tolerable
[ISO Guide 73:2009]
NOTE Risk evaluation assists in the decision about risk treatment.
2.68
risk identification
process of finding, recognizing and describing risks (2.61)
[ISO Guide 73:2009]
NOTE 1 Risk identification involves the identification of risk sources, events, their causes and their potential
consequences.
NOTE 2 Risk identification can involve historical data, theoretical analysis, informed and expert opinions, and
stakeholders’ needs.
2.69
risk management
coordinated activities to direct and control an organisation with regard to risk (2.61)
[ISO Guide 73:2009]
2.70
risk management process
systematic application of management policies (2.51), procedures (2.53) and practices to the activities of
communicating, consulting, establishing the context and identifying, analyzing, evaluating, treating, monitoring
and reviewing risk (2.61)
[ISO Guide 73:2009]
NOTE ISO/IEC 27005 uses the term ‘process’ to describe risk management overall. The elements within the risk
management process are termed ‘activities’
2.71
risk treatment
process (2.54) to modify risk (2.61)
[ISO Guide 73:2009]
NOTE 1 Risk treatment can involve:
© ISO/IEC 2012 – All rights reserved 9
avoiding the risk by deciding not to start or continue with the activity that gives rise to the risk;
taking or increasing risk in order to pursue an opportunity;
removing the risk source;
changing the likelihood;
changing the consequences;
sharing the risk with another party or parties (including contracts and risk financing); and
retaining the risk by informed choice.
NOTE 2 Risk treatments that deal with negative consequences are sometimes referred to as “risk mitigation”, “risk
elimination”, “risk prevention” and “risk reduction”.
NOTE 3 Risk treatment can create new risks or modify existing risks.
2.72
scale
ordered set of values, continuous or discrete, or a set of categories to which the attribute (2.6) is mapped
[ISO/IEC 15939:2007]
NOTE The type of scale depends on the nature of the relationship between values on the scale. Four types of scale
are commonly defined:
nominal: the measurement values are categorical;
ordinal: the measurement values are rankings;
interval: the measurement values have equal distances corresponding to equal quantities of the attribute;
ratio: the measurement values have equal distances corresponding to equal quantities of the attribute,
where the value of zero corresponds to none of the attribute.
These are just examples of the types of scale.
2.73
security implementation standard
document specifying authorized ways for realizing security
2.74
stakeholder
person or organisation that can affect, be affected by, or perceive themselves to be affected by a decision or
activity
[ISO Guide 73:2009]
2.75
statement of applicability
documented statement describing the control objectives (2.17) and controls (2.16) that are relevant and
applicable to the organisation's ISMS (2.34)
2.76
third party
person or body that is recognized as being independent of the parties involved, as concerns the issue in
question
[ISO/IEC 27002:2005]
2.77
threat
potential cause of an unwanted incident, which may result in harm to a system or organisation
10 © ISO/IEC 2012 – All rights reserved
2.78
unit of measurement
particular quantity, defined and adopted by convention, with which other quantities of the same kind are
compared in order to express their magnitude relative to that quantity
[ISO/IEC 15939:2007]
2.79
validation
confirmation, through the provision of objective evidence, that the requirements for a specific intended use or
application have been fulfilled
[ISO 9000:2005]
2.80
verification
confirmation, through the provision of objective evidence, that specified requirements have been fulfilled
[ISO 9000:2005]
NOTE This could also be called compliance testing.
2.81
vulnerability
weakness of an asset (2.4) or control (2.16) that can be exploited by one or more threats (2.77)
3 Information security management systems
3.1 Introduction
Organisations of all types and sizes:
a) collect, process, store, and transmit information;
b) recognise that information, and related processes, systems, networks and people are important assets for
achieving organisation objectives;
c) face a range of risks that may affect the functioning of assets; and
d) address their perceived risk exposure by implementing information security controls.
All information held and processed by an organisation is subject to threats of attack, error, nature (for
example, flood or fire), etc, and is subject to vulnerabilities inherent in its use. The term information security is
generally based on information being considered as an asset which has a value requiring appropriate
protection, for example, against the loss of availability, confidentiality and integrity. Enabling accurate and
complete information to be available in a timely manner to those with an authorized need is a catalyst for
business efficiency.
Protecting information assets through defining, achieving, maintaining, and improving information security
effectively is essential to enable an organisation to achieve its objectives, and maintain and enhance its legal
compliance and image. These coordinated activities directing the implementation of suitable controls and
treating unacceptable information security risks are generally known as elements of information security
management.
As information security risks and the effectiveness of controls change depending on shifting circumstances,
organisations need to:
a) monitor and evaluate the effectiveness of implemented controls and procedures;
© ISO/IEC 2012 – All rights reserved 11
b) identify emerging risks to be treated; and
c) select, implement and improve appropriate controls as needed.
To interrelate and coordinate such information security activities, each organisation needs to establish its
policy and objectives for information security and achieve those objectives effectively by using a management
system.
3.2 What is an ISMS?
3.2.1 Overview and principles
An Information Security Management System (ISMS) consists of the policies, procedures, guidelines, and
associated resources and activities, collectively managed by an organisation, in the pursuit of protecting its
information assets. An ISMS is a systematic approach for establishing, implementing, operating, monitoring,
reviewing, maintaining and improving organisation’s information security to achieve business objectives. It is
based upon a risk assessment and the organisation's risk acceptance levels designed to effectively treat and
manage risks. Analysing requirements for the protection of information assets and applying appropriate
controls to ensure the protection of these information assets, as required, contributes to the successful
implementation of an ISMS. The following fundamental principles also contribute to the successful
implementation of an ISMS:
a) awareness of the need for information security;
b) assignment of responsibility for information security;
c) incorporating management commitment and the interests of stakeholders;
d) enhancing societal values;
e) risk assessments determining appropriate controls to reach acceptable levels of risk;
f) security incorporated as an essential element of information networks and systems;
g) active prevention and detection of information security incidents;
h) ensuring a comprehensive approach to information security management; and
i) continual reassessment of information security and making of modifications as appropriate.
3.2.2 Information
Information is an asset that, like other important business assets, is essential to an organisation's business
and consequently needs to be suitably protected. Information can be stored in many forms, including: digital
form (e.g. data files stored on electronic or optical media), material form (e.g. on paper), as well as
unrepresented information in the form of knowledge of the employees. Information may be transmitted by
various means including: courier, electronic or verbal communication. Whatever form information takes, or the
means by which the information is transmitted, it always needs appropriate protection.
In many organisations information is dependent upon information and communications technology. This
technology is often an essential element in the organisation and assists in facilitating the creation, processing,
storing, transmitting, protection and destruction of information.
3.2.3 Information security
Information security includes three main dimensions: confidentiality, availability and integrity. Information
security involves the application and management of appropriate security measures that involves
12 © ISO/IEC 2012 – All rights reserved
consideration of a wide range of threats, with the aim of ensuring sustained business success and continuity,
and minimising impacts of information security incidents.
Information security is achieved through the implementation of an applicable set of controls, selected through
the chosen risk management process and managed using an ISMS, including policies, processes,
procedures, organisational structures, software and hardware to protect the identified information assets.
These controls need to be specified, implemented, monitored, reviewed and improved where necessary, to
ensure that the specific information security and business objectives of the organisation are met. Relevant
information security controls are expected to be seamlessly integrated with an organisation's business
processes.
3.2.4 Management
Management involves activities to direct, control and continually improve the organisation within appropriate
structures. Management activities include the act, manner, or practice of organizing, handling, directing,
supervising, and controlling resources. Management structures extend from one person in a small
organisation to management hierarchies consisting of many individuals in large organisations.
In terms of an ISMS, management involves the supervision and making of decisions necessary to achieve
business objectives through the protection of the organisation's information assets. Management of
information security is expressed through the formulation and use of information security policies, procedures
and guidelines, which are then applied throughout the organisation by all individuals associated with the
organisation.
NOTE The term “management” may sometimes refer to people (i.e. a person or group of people with authority and
responsibility for the conduct and control of an organisation). The term “management” addressed in this clause is not in
this sense.
3.2.5 Management system
A management system uses a framework of resources to achieve an organisation's objectives. The
management system includes organisational structure, policies, planning activities, responsibilities, practices,
procedures, processes and resources.
In terms of information security, a management system allows an organisation to:
a) satisfy the information security requirements of customers and other stakeholders;
b) improve an organisation's plans and activities;
c) meet the organisation's information security objectives;
d) comply with regulations, legislation and industry mandates; and
e) manage information assets in an organized way that facilitates continual improvement and adjustment to
current organisational goals.
3.3 Process approach
Organisations need to identify and manage many activities in order to function effectively and efficiently. Any
activity using resources needs to be managed to enable the transformation of inputs into outputs using a set
of interrelated or interacting activities – this is also known as a process. The output from one process can
directly form the input to another process and generally this transformation is carried out under planned and
controlled conditions. The application of a system of processes within an organisation, together with the
identification and interactions of these processes, and their management, can be referred to as a “process
approach”.
© ISO/IEC 2012 – All rights reserved 13
The process approach for the ISMS presented in the ISMS family of standards is based on the operating
principle adopted in ISO's management system standards commonly known as the Plan – Do – Check – Act
(PDCA) process.
a) Plan – establish objectives and make plans (analyze the organisation's situation, establish the overall
objectives and set targets, and develop plans to achieve them);
b) Do – implement plans (do what was planned to do);
c) Check – measure results (measure/monitor the extent to which achievements meet planned objectives);
and
d) Act – correct and improve activities (learn from mistakes to improve activities to achieve better results).
3.4 Why an ISMS is important
Risks associated with an organisation's information assets need to be addressed. Achieving information
security requires the management of risk, and encompasses risks from physical, human and technology
related threats associated with all forms of information within or used by the organisation.
The adoption of an ISMS is expected to be a strategic decision for an organisation and it is necessary that this
decision is seamlessly integrated, scaled and updated in accordance with the needs of the organisation.
The design and implementation of an organisation's ISMS is influenced by the needs and objectives of the
organisation, security requirements, the business processes employed and the size and structure of the
organisation. The design and operation of an ISMS needs to reflect the interests and information security
requirements of all of the organisation's stakeholders including customers, suppliers, business partners,
shareholders and other relevant third parties.
In an interconnected world, information and related processes, systems, and networks constitute critical
business assets. Organisations and their information systems and networks face security threats from a wide
range of sources, including computer-assisted fraud, espionage, sabotage, vandalism, fire and flood. Damage
to information systems and networks caused by malicious code, computer hacking, and denial of service
attacks have become more common, more ambitious, and increasingly sophisticated.
An ISMS is important to both public and private sector businesses. In any industry, an ISMS is an enabler that
supports e-business and is essential for risk management activities. The interconnection of public and private
networks and the sharing of information assets increases the difficulty of controlling access to and handling of
information. In addition, the distribution of mobile storage devices containing information assets can weaken
the effectiveness of traditional controls. When organisations adopt the ISMS family of standards the ability to
apply consistent and mutually-recognisable information security principles can be demonstrated to business
partners and other interested parties.
Information security is not always taken into account in the design and development of information systems.
Further, information security is often thought of as being a technical solution. However, the information
security that can be achieved through technical means is limited, and may be ineffective without being
supported by appropriate management and procedures within the context of an ISMS. Integrating security into
an information system after the fact could be cumbersome and costly. An ISMS involves identifying which
controls are in place and requires careful planning and attention to detail. As an example, access controls,
which may be technical (logical), physical, administrative (managerial) or a combination, provide a means to
ensure that access to information assets is authorized and restricted based on the business and information
security requirements.
The successful adoption of an ISMS is important to protect information assets allowing an organisation to:
a) achieve greater assurance that its information assets are adequately protected against threats on a
continual basis;
14 © ISO/IEC 2012 – All rights reserved
b) maintain a structured and comprehensive framework for identifying and assessing information security
risks, selecting and applying applicable controls, and measuring and improving their effectiveness;
c) continually improve its control environment; and
d) effectively achieve legal and regulatory compliance.
3.5 Establishing, monitoring, maintaining and improving an ISMS
3.5.1 Overview
An organisation needs to undertake the following steps in establishing, monitoring, maintaining and improving
its ISMS:
a) identify information assets and their associated information security requirements (see 3.5.2);
b) assess information security risks (see 3.5.3) and treat information security risks (see 3.5.4);
c) select and implement relevant controls to manage unacceptable risks (see 3.5.5); and
d) monitor, maintain and improve the effectiveness of controls associated with the organisation's information
assets (see 3.5.6).
To ensure the ISMS is effectively protecting the organisation's information assets on an ongoing basis, it is
necessary for steps (a) – (d) to be continuously repeated to identify changes in risks or in the organisation's
strategies or business objectives.
3.5.2 Identifying information security requirements
Within the overall strategy and business objectives of the organisation, its size and geographical spread,
information security requirements can be identified through an understanding of:
a) identified information assets and their value;
b) business needs for information processing, storage and communication; and
c) legal, regulatory, and contractual requirements.
Conducting a methodical assessment of the risks associated with the organisation's information assets will
involve analyzing: threats to information assets; vulnerabilities to and the likelihood of a threat materializing to
information assets; and the potential impact of any information security incident on information assets. The
expenditure on relevant controls is expected to be proportionate to the perceived business impact of the risk
materialising.
3.5.3 Assessing information security risks
Managing information security risks requires a suitable risk assessment and risk treatment method which may
include an estimation of the costs and benefits, legal requirements, the concerns of stakeholders, and other
inputs and variables as appropriate.
Risk assessments should identify, quantify, and prioritize risks against criteria for risk acceptance and
objectives relevant to the organisation. The results should guide and determine the appropriate management
action and priorities for managing information security risks and for implementing controls selected to protect
against these risks.
Risk assessment should include the systematic approach of estimating the magnitude of risks (risk analysis)
and the process of comparing the estimated risks against risk criteria to determine the significance of the risks
(risk evaluation).
© ISO/IEC 2012 – All rights reserved 15
Risk assessments should be performed periodically to address changes in the information security
requirements and in the risk situation, e.g. in the assets, threats, vulnerabilities, impacts, the risk evaluation,
and when significant changes occur. These risk assessments should be undertaken in a methodical manner
capable of producing comparable and reproducible results.
The information security risk assessment should have a clearly defined scope in order to be effective and
should include relationships with risk assessments in other areas, if appropriate.
ISO/IEC 27005 provides information security risk management guidance, including advice on risk
assessment, risk treatment, risk acceptance, risk reporting, risk monitoring and risk review. Examples of risk
assessment methodologies are included as well.
3.5.4 Treating information security risks
Before considering the treatment of a risk, the organisation should decide criteria for determining whether or
not risks can be accepted. Risks may be accepted if, for example, it is assessed that the risk is low or that the
cost of treatment is not cost-effective for the organisation. Such decisions should be recorded.
For each of the risks identified following the risk assessment a risk treatment decision needs to be made.
Possible options for risk treatment include:
a) applying appropriate controls to reduce the risks;
b) knowingly and objectively accepting risks, providing they clearly satisfy the organisation’s policy and
criteria for risk acceptance;
c) avoiding risks by not allowing actions that
...
NORME ISO/CEI
INTERNATIONALE 27000
Deuxième édition
2012-12-01
Technologies de l'information —
Techniques de sécurité — Systèmes de
management de la sécurité de
l'information — Vue d'ensemble et
vocabulaire
Information technology — Security techniques — Information security
management systems — Overview and vocabulary
Numéro de référence
ISO/CEI 27000:2012(F)
©
ISO/CEI 2012
ISO/CEI 27000:2012(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/CEI 2012
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2013
Publié en Suisse
ii © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 27000:2012(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé
un comité technique mixte, l'ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 27000 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information.
Cette deuxième édition annule et remplace la première édition (ISO/CEI 27000:2009).
© ISO/CEI 2012 – Tous droits réservés iii
ISO/CEI 27000:2012(F)
0 Introduction
0.1 Vue d'ensemble
Les Normes internationales relatives aux systèmes de management fournissent un modèle en matière
d'établissement et d'exploitation d'un système de management. Ce modèle comprend les caractéristiques que
les experts dans le domaine s'accordent à reconnaître comme reflétant l'état de l'art au niveau international.
Le sous-comité ISO/CEI JTC 1/SC 27 bénéficie de l'expérience d'un comité d'experts qui se consacre à
l'élaboration des Normes internationales sur les systèmes de management pour la sécurité de l'information,
connues également comme famille de normes des Systèmes de Management de la Sécurité de
l'Information (SMSI).
Grâce à l'utilisation de la famille de normes du SMSI, les organisations peuvent élaborer et mettre en œuvre
un cadre de référence pour gérer la sécurité de leurs actifs informationnels, y compris les informations
financières, la propriété intellectuelle, les informations sur les employés, etc., ou les informations qui leur sont
confiées par des clients ou des tiers. Elles peuvent également utiliser ces normes pour se préparer à une
évaluation indépendante de leurs SMSI en matière de protection de l'information.
0.2 La famille de normes du SMSI
1)
La famille de normes du SMSI (voir l'Article 4) a pour objet d'aider les organisations de tous types et de
toutes tailles à déployer et à exploiter un SMSI. Elle se compose des Normes internationales suivantes
(indiquées ci-dessous par ordre numérique) regroupées sous le titre général Technologies de l'information –
Techniques de sécurité :
⎯ ISO/CEI 27000:2009, Systèmes de management de la sécurité de l'information – Vue d'ensemble et
vocabulaire
⎯ ISO/CEI 27001:2005, Systèmes de gestion de la sécurité de l'information – Exigences
⎯ ISO/CEI 27002:2005, Code de bonne pratique pour la gestion de la sécurité de l'information
⎯ ISO/CEI 27003:2010, Lignes directrices pour la mise en œuvre du système de management de la
sécurité de l'information
⎯ ISO/CEI 27004:2009, Management de la sécurité de l'information – Mesurage
⎯ ISO/CEI 27005:2011, Gestion des risques liés à la sécurité de l'information
⎯ ISO/CEI 27006:2011, Exigences pour les organismes procédant à l'audit et à la certification des
systèmes de management de la sécurité de l'information
⎯ ISO/CEI 27007:2011, Lignes directrices pour l'audit des systèmes de management de la sécurité de
l'information
⎯ ISO/CEI TR 27008:2011, Lignes directrices pour les auditeurs des contrôles de sécurité de l'information
⎯ ISO/CEI 27010:2012, Gestion de la sécurité de l'information des communications intersectorielles et
interorganisationnelles
⎯ ITU-T X.1051 | ISO/CEI 27011:2008, Lignes directrices pour le management de la sécurité de
l'information pour les organismes de télécommunications sur la base de l'ISO/CEI 27002
1)
Les normes mentionnées dans le présent paragraphe qui ne comportent pas d'année de publication sont toujours en
cours d'élaboration.
iv © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 27000:2012(F)
⎯ ISO/CEI FDIS 27013, Lignes directrices relatives à la mise en œuvre intégrée de l'ISO/CEI 27001 et de
l'ISO/CEI 20000-1
⎯ ITU-T X.1054 | ISO/CEI FDIS 27014, Gouvernance de la sécurité de l'information
⎯ ISO/CEI TR 27015, Lignes directrices pour le management de la sécurité de l'information pour les
services financiers
⎯ ISO/CEI WD 27016, Management de la sécurité de l'information – Économie organisationnelle
NOTE Le titre général « Technologies de l'information – Techniques de sécurité » indique que ces normes ont été
élaborées par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information, sous-comité SC 27, Techniques
de sécurité des technologies de l'information.
Les Normes internationales qui font également partie de la famille de normes du SMSI, mais qui ne sont pas
comprises comme « Technologies de l'information – Techniques de sécurité » sont les suivantes :
⎯ ISO 27799:2008, Informatique de santé – Gestion de la sécurité de l'information relative à la santé en
utilisant l'ISO/CEI 27002
0.3 Objet de la présente Norme internationale
La présente Norme internationale fournit une vue d'ensemble des systèmes de management de la sécurité de
l'information et définit les termes qui s'y rapportent.
NOTE L'Annexe A fournit des éclaircissements sur la façon dont les normes de la famille du SMSI doivent être
interprétées en fonction des expressions verbales utilisées, celles-ci exprimant des exigences et/ou des lignes directrices.
La famille de normes du SMSI comporte des normes qui :
a) définissent les exigences pour un SMSI et pour les organisations certifiant de tels systèmes ;
b) apportent un soutien direct, des recommandations détaillées et/ou une interprétation des processus et
des exigences généraux selon le modèle Planifier-Déployer-Contrôler-Agir (PDCA) ;
c) traitent des pratiques propres à des secteurs particuliers en matière de SMSI ;
d) traitent de l'évaluation de la conformité d'un SMSI.
Les termes et les définitions fournis dans cette Norme internationale :
⎯ couvrent les termes et les définitions d'usage courant dans la famille de normes du SMSI ;
⎯ ne couvrent pas l'ensemble des termes et des définitions utilisés dans la famille de normes du SMSI ;
⎯ ne limitent pas la famille de normes du SMSI en définissant de nouveaux termes à utiliser.
© ISO/CEI 2012 – Tous droits réservés v
NORME INTERNATIONALE ISO/CEI 27000:2012(F)
Technologies de l'information — Techniques de sécurité —
Systèmes de management de la sécurité de l'information — Vue
d'ensemble et vocabulaire
1 Domaine d'application
La présente Norme internationale décrit une vue d'ensemble et le vocabulaire des systèmes de management
de la sécurité de l'information, qui constituent l'objet de la famille de normes du SMSI, et définit les termes et
les définitions qui s'y rapportent.
La présente Norme internationale est applicable à tous les types et à toutes les tailles d'organisations (par
exemple entreprises commerciales, organisations publiques, organisations à but non lucratif).
2 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
NOTE 1 Un terme utilisé dans une définition ou une note et défini à un autre endroit du présent article figure en
caractères gras, suivi de la référence de l'entrée entre parenthèses. Ce terme en caractères gras peut être remplacé dans
la définition par sa propre définition.
Par exemple :
attaque (2.4) est définie comme une « tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'obtenir
un accès non autorisé ou d'utiliser sans autorisation un actif (2.3) » ;
actif est défini comme « tout élément représentant de la valeur pour l'organisation ».
En remplaçant le terme « actif » par sa définition :
attaque est alors définie comme une « tentative de détruire, de rendre public, de modifier, d'invalider, de voler, d'obtenir
un accès non autorisé ou d'utiliser sans autorisation tout élément représentant de la valeur pour l'organisation ».
2.1
contrôle d'accès
moyens mis en œuvre pour assurer que l'accès aux actifs (2.4) est autorisé et limité selon les exigences
propres à la sécurité et à l'activité métier
2.2
imputabilité
attribution d'actions et de décisions à une entité
2.3
modèle analytique
algorithme ou calcul combinant une ou plusieurs mesures élémentaires (2.11) et/ou mesures
dérivées (2.21) avec les critères de décision associés
[ISO/CEI 15939:2007]
© ISO/CEI 2012 – Tous droits réservés 1
ISO/CEI 27000:2012(F)
2.4
actif
tout élément représentant de la valeur pour l'organisation
NOTE Il existe plusieurs sortes d'actifs, dont :
a) l'information ;
b) les logiciels, par exemple un programme informatique ;
c) les actifs physiques, par exemple un ordinateur ;
d) les services ;
e) le personnel, et ses qualifications, compétences et expérience ;
f) les actifs incorporels, par exemple la réputation et l'image.
2.5
attaque
tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'obtenir un accès non autorisé ou
d'utiliser sans autorisation un actif (2.4)
2.6
attribut
propriété ou caractéristique d'un objet qui peut être distingué quantitativement ou qualitativement par des
moyens humains ou automatiques
[ISO/CEI 15939:2007]
2.7
champ de l'audit
étendue et limites d'un audit
[ISO 9000:2005]
2.8
authentification
moyen pour une entité d'assurer la légitimité d'une caractéristique revendiquée
2.9
authenticité
propriété selon laquelle une entité est ce qu'elle revendique être
2.10
disponibilité
propriété d'être accessible et utilisable à la demande par une entité autorisée
2.11
mesure élémentaire
mesure (2.43) définie en fonction d'un attribut (2.6) et de la méthode de mesurage spécifiée pour l'identifier
[ISO/CEI 15939:2007]
NOTE Une mesure élémentaire est fonctionnellement indépendante des autres mesures.
2.12
continuité de l'activité
procédures (2.53) et/ou processus (2.54) permettant d'assurer la continuité de l'activité métier
2 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 27000:2012(F)
2.13
confidentialité
propriété selon laquelle l'information n'est pas rendue disponible ou divulguée à des personnes, des entités
ou des processus (2.54) non autorisés
2.14
conformité
satisfaction d'une exigence
[ISO 9000:2005]
NOTE Le terme anglais « conformance » est synonyme de « conformity », mais a été abandonné.
2.15
conséquence
effet d'un événement (2.24) affectant les objectifs
[Guide ISO 73:2009]
NOTE 1 Un événement peut engendrer une série de conséquences.
NOTE 2 Une conséquence peut être certaine ou incertaine ; dans le contexte de la sécurité de l'information, elle est
généralement négative.
NOTE 3 Les conséquences peuvent être exprimées de façon qualitative ou quantitative.
NOTE 4 Des conséquences initiales peuvent déclencher des réactions en chaîne.
2.16
mesure de sécurité
moyens de gestion des risques (2.61), comprenant les politiques (2.51), les procédures (2.53), les lignes
directrices (2.26), les pratiques ou l'organisation, qui peuvent être de nature administrative, technique,
managériale ou juridique
NOTE 1 Dans le domaine de la sécurité de l'information, les mesures de sécurité comprennent tous les processus,
politiques, procédures, lignes directrices, pratiques ou organisations, qui peuvent être de nature administrative, technique,
managériale ou juridique, qui modifient les risques liés à la sécurité de l'information.
NOTE 2 Une mesure de sécurité peut ne pas aboutir à la modification voulue ou supposée.
NOTE 3 Mesure de sécurité est également synonyme de protection ou de contre-mesure.
2.17
objectif de sécurité
déclaration décrivant ce qui doit être atteint comme résultat de la mise en œuvre des mesures de
sécurité (2.16)
2.18
action corrective
action visant à éliminer la cause d'une non-conformité (2.48) ou d'une autre situation indésirable détectée
[ISO 9000:2005]
© ISO/CEI 2012 – Tous droits réservés 3
ISO/CEI 27000:2012(F)
2.19
données
ensemble des valeurs attribuées aux mesures élémentaires (2.11), aux mesures dérivées (2.21) et/ou aux
indicateurs (2.27)
[ISO/CEI 15939:2007]
NOTE Cette définition s'applique uniquement dans le contexte de l'ISO/CEI 27004:2009.
2.20
critères de décision
seuils, cibles ou modèles utilisés pour déterminer la nécessité d'une action ou d'un complément d'enquête, ou
pour décrire le niveau de confiance dans un résultat donné
[ISO/CEI 15939:2007]
2.21
mesure dérivée
mesure (2.43) définie en fonction d'au moins deux mesures élémentaires (2.11)
[ISO/CEI 15939:2007]
2.22
efficacité
niveau de réalisation des activités planifiées et d'obtention des résultats escomptés
[ISO 9000:2005]
2.23
efficience
rapport entre le résultat obtenu et les ressources utilisées
[ISO 9000:2005]
2.24
événement
occurrence ou changement d'un ensemble particulier de circonstances
[Guide ISO 73:2009]
NOTE 1 Un événement peut être unique ou se reproduire et peut avoir plusieurs causes.
NOTE 2 Un événement peut consister en quelque chose qui ne se produit pas.
NOTE 3 Un événement peut parfois être qualifié « d'incident » ou « d'accident ».
2.25
contexte externe
environnement externe dans lequel l'organisation cherche à atteindre ses objectifs
[Guide ISO 73:2009]
NOTE Le contexte externe peut inclure :
⎯ l'environnement culturel, social, politique, légal, réglementaire, financier, technologique, économique, naturel et
concurrentiel, au niveau international, national, régional ou local,
⎯ les facteurs et tendances ayant un impact déterminant sur les objectifs de l'organisation, et
⎯ les relations avec les parties prenantes externes, leurs perceptions et leurs valeurs.
4 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 27000:2012(F)
2.26
ligne directrice
description clarifiant ce qu'il convient de réaliser et par quels moyens, en vue d'atteindre les objectifs fixés par
la politique (2.51) de l'organisation
2.27
indicateur
mesure (2.43) qui fournit une estimation ou une évaluation d'attributs (2.6) spécifiés à partir d'un modèle
analytique (2.3) concernant des besoins d'information (2.28) définis
2.28
besoin d'information
information nécessaire pour gérer les objectifs, les risques et les problèmes
[ISO/CEI 15939:2007]
2.29
moyens de traitement de l'information
tout système, service ou infrastructure de traitement de l'information, ou locaux les abritant
2.30
sécurité de l'information
protection de la confidentialité (2.13), de l'intégrité (2.36) et de la disponibilité (2.10) de l'information
NOTE En outre, d'autres propriétés, telles que l'authenticité (2.9), l'imputabilité (2.2), la non-répudiation (2.49) et
la fiabilité (2.56), peuvent également être concernées.
2.31
événement lié à la sécurité de l'information
occurrence identifiée de l'état d'un système, d'un service ou d'un réseau indiquant une faille possible dans la
politique de sécurité de l'information ou un échec des protections ou encore une situation inconnue jusqu'alors
et pouvant relever de la sécurité
2.32
incident lié à la sécurité de l'information
un ou plusieurs événements liés à la sécurité de l'information (2.31) indésirables ou inattendus présentant
une probabilité forte de compromettre les opérations liées à l'activité de l'organisation et de menacer la
sécurité de l'information (2.30)
2.33
gestion des incidents liés à la sécurité de l'information
processus (2.54) pour détecter, rapporter, apprécier, intervenir, résoudre et tirer les enseignements des
incidents liés à la sécurité de l'information (2.32)
2.34
système de management de la sécurité de l'information
SMSI
partie du système de management global (2.42), basée sur une approche du risque lié à l'activité, visant à
établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de
l'information (2.30)
NOTE Le système de management inclut l'organisation, les politiques, les activités de planification, les
responsabilités, les pratiques, les procédures, les processus et les ressources.
2.35
système d'information
application, service, actif informationnel ou toute autre composante permettant la prise en charge de
l'information
© ISO/CEI 2012 – Tous droits réservés 5
ISO/CEI 27000:2012(F)
2.36
intégrité
propriété de protection de l'exactitude et de la complétude des actifs (2.4)
2.37
contexte interne
environnement interne dans lequel l'organisation cherche à atteindre ses objectifs
[Guide ISO 73:2009]
NOTE Le contexte interne peut inclure :
⎯ la gouvernance, l'organisation, les rôles et les responsabilités,
⎯ les politiques, les objectifs et les stratégies mises en place pour atteindre ces derniers,
⎯ les capacités, en termes de ressources et de connaissances (par exemple, capital, temps, personnel,
processus, systèmes et technologies),
⎯ les systèmes d'information, les flux d'information et les processus de prise de décision (à la fois formels et
informels),
⎯ les relations avec les parties prenantes internes, leurs perceptions et leurs valeurs,
⎯ la culture de l'organisation,
⎯ les normes, lignes directrices et modèles adoptés par l'organisation, et
⎯ la forme et l'étendue des relations contractuelles.
2.38
projet SMSI
activités structurées entreprises par une organisation pour déployer un SMSI (2.34)
2.39
niveau de risque
importance d'un risque (2.61) exprimée en termes de combinaison des conséquences (2.15) et de leur
vraisemblance (2.40)
[Guide ISO 73:2009]
2.40
vraisemblance
possibilité que quelque chose se produise
[Guide ISO 73:2009]
2.41
management
activités coordonnées visant à diriger et contrôler une organisation
[ISO 9000:2005]
2.42
système de management
cadre de référence des lignes directrices (2.26), politiques (2.51), procédures (2.53), processus (2.54) et
ressources associées visant à assurer la réalisation des objectifs d'une organisation
2.43
mesure
variable à laquelle on attribue une valeur correspondant au résultat du mesurage (2.44)
[ISO/CEI 15939:2007]
6 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 27000:2012(F)
NOTE Le terme « mesures » est utilisé pour désigner collectivement les mesures élémentaires, les mesures
dérivées et les indicateurs.
2.44
mesurage
processus d'obtention d'information relative à l'efficacité (2.22) d'un SMSI (2.34) et de mesures de
sécurité (2.16), à l'aide d'une méthode de mesurage (2.46), d'une fonction de mesurage (2.45), d'un
modèle analytique (2.3) et de critères de décision (2.20)
2.45
fonction de mesurage
algorithme ou calcul utilisé pour combiner au moins deux mesures élémentaires (2.11)
[ISO/CEI 15939:2007]
2.46
méthode de mesurage
suite logique d'opérations décrites de manière générique qui permettent de quantifier un attribut (2.6) selon
une échelle (2.72) spécifiée
[ISO/CEI 15939:2007]
NOTE Le type de méthode de mesurage employé dépend de la nature des opérations utilisées pour quantifier un
attribut. On peut en distinguer deux :
⎯ le type subjectif : quantification faisant appel au jugement humain ;
⎯ le type objectif : quantification fondée sur des règles numériques.
2.47
résultats de mesurage
un ou plusieurs indicateurs (2.27), et les interprétations associées, répondant à un besoin
d'information (2.28)
2.48
non-conformité
non-satisfaction d'une exigence
[ISO 9000:2005]
2.49
non-répudiation
capacité à prouver l'occurrence d'un événement ou d'une action donné(e) et des entités qui en sont à l'origine
2.50
objet
élément caractérisé par le mesurage (2.44) de ses attributs (2.6)
2.51
politique
orientations et intentions globales d'une organisation telles qu'elles sont exprimées formellement par le
management (2.41)
2.52
action préventive
action visant à éliminer la cause d'une non-conformité (2.48) potentielle ou d'une autre situation potentielle
indésirable
[ISO 9000:2005]
© ISO/CEI 2012 – Tous droits réservés 7
ISO/CEI 27000:2012(F)
2.53
procédure
manière spécifiée d'effectuer une activité ou un processus (2.54)
[ISO 9000:2005]
2.54
processus
ensemble d'activités corrélées ou interactives qui transforme des éléments d'entrée en éléments de sortie
[ISO 9000:2005]
2.55
enregistrement
document faisant état de résultats obtenus ou apportant la preuve de la réalisation d'une activité
[ISO 9000:2005]
2.56
fiabilité
propriété relative à un comportement et des résultats prévus et cohérents
2.57
risque résiduel
risque (2.61) subsistant après le traitement des risques (2.71)
NOTE 1 Un risque résiduel peut inclure un risque non identifié.
NOTE 2 Un risque résiduel peut également être appelé « risque pris ».
2.58
revue
activité entreprise afin de déterminer l'adaptation, l'adéquation et l'efficacité (2.22) de l'objet étudié pour
atteindre les objectifs établis
[ISO 9000:2005]
2.59
objet de revue
élément spécifique soumis à la revue
2.60
objectif de revue
déclaration décrivant ce qui doit être atteint comme résultat d'une revue
2.61
risque
effet de l'incertitude sur la réalisation des objectifs
[Guide ISO 73:2009]
NOTE 1 Un effet est un écart, positif et/ou négatif, par rapport à une attente.
NOTE 2 Les objectifs peuvent avoir différents aspects (par exemple, buts financiers, de santé et de sécurité, de
sécurité de l'information ou environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d'un
projet, d'un produit, d'un processus ou d'une organisation toute entière).
NOTE 3 Un risque est souvent caractérisé en référence à des événements (2.24) et des conséquences (2.15)
potentiels ou à une combinaison des deux.
8 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 27000:2012(F)
NOTE 4 Un risque lié à la sécurité de l'information est souvent exprimé en termes de combinaison des conséquences
d'un événement lié à la sécurité de l'information et de sa vraisemblance (2.40).
NOTE 5 L'incertitude est l'état, même partiel, de défaut d'information concernant la compréhension ou la connaissance
d'un événement, de ses conséquences ou de sa vraisemblance.
NOTE 6 Le risque lié à la sécurité de l'information est associé à la possibilité que des menaces exploitent les
vulnérabilités d'un actif ou d'un groupe d'actifs informationnels et nuisent donc à une organisation.
2.62
acceptation des risques
décision d'accepter un risque (2.61)
2.63
analyse des risques
processus mis en œuvre pour comprendre la nature d'un risque (2.61) et pour déterminer le niveau de
risque (2.39)
[Guide ISO 73:2009]
NOTE 1 L'analyse des risques fournit la base de l'évaluation des risques et des décisions relatives au traitement des
risques.
NOTE 2 L'analyse des risques inclut l'estimation des risques.
2.64
appréciation des risques
ensemble du processus (2.54) d'identification des risques (2.68), d'analyse des risques (2.63) et
d'évaluation des risques (2.67)
[Guide ISO 73:2009]
2.65
communication et concertation relatives aux risques
processus itératifs et continus mis en œuvre par une organisation afin de fournir, partager ou obtenir des
informations et d'engager un dialogue avec les parties prenantes (2.74) concernant la gestion du
risque (2.61)
[Guide ISO 73:2009]
NOTE 1 Ces informations peuvent concerner l'existence, la nature, la forme, la vraisemblance, l'importance,
l'évaluation, l'acceptabilité et le traitement des risques.
NOTE 2 La concertation est un processus de communication argumentée à double sens entre une organisation et ses
parties prenantes sur une question donnée avant de prendre une décision ou de déterminer une orientation concernant
ladite question. La concertation est :
⎯ un processus dont l'effet sur une décision s'exerce par l'influence plutôt que par le pouvoir, et
⎯ une contribution à une prise de décision, et non une prise de décision conjointe.
2.66
critères de risque
termes de référence vis-à-vis desquels l'importance d'un risque (2.61) est évaluée
[Guide ISO 73:2009]
NOTE 1 Les critères de risque sont fondés sur les objectifs de l'organisation et sur le contexte externe et interne.
NOTE 2 Les critères de risque peuvent être issus de normes, de lois, de politiques et d'autres exigences.
© ISO/CEI 2012 – Tous droits réservés 9
ISO/CEI 27000:2012(F)
2.67
évaluation des risques
processus (2.54) de comparaison des résultats de l'analyse des risques (2.63) avec les critères de
risque (2.66) afin de déterminer si le risque (2.61) et/ou son importance sont acceptables ou tolérables
[Guide ISO 73:2009]
NOTE L'évaluation des risques aide à la prise de décision relative au traitement des risques.
2.68
identification des risques
processus de recherche, de reconnaissance et de description des risques (2.61)
[Guide ISO 73:2009]
NOTE 1 L'identification des risques comprend l'identification des sources de risque, des événements, de leurs causes
et de leurs conséquences potentielles.
NOTE 2 L'identification des risques peut faire appel à des données historiques, des analyses théoriques et des avis
d'experts et autres personnes compétentes, et tenir compte des besoins des parties prenantes.
2.69
management du risque
activités coordonnées visant à diriger et contrôler une organisation vis-à-vis du risque (2.61)
[Guide ISO 73:2009]
2.70
processus de management du risque
application systématique de politiques (2.51), procédures (2.53) et pratiques de management aux activités
de communication, de concertation, d'établissement du contexte, et aux activités d'identification, d'analyse,
d'évaluation, de traitement, de surveillance et de revue des risques (2.61)
[Guide ISO 73:2009]
NOTE L'ISO/CEI 27005 emploie le terme « processus » pour décrire le management du risque dans sa globalité. Les
éléments qui composent le processus de management du risque sont appelés « activités ».
2.71
traitement des risques
processus (2.54) destiné à modifier un risque (2.61)
[Guide ISO 73:2009]
NOTE 1 Le traitement des risques peut inclure :
⎯ un refus du risque en décidant de ne pas démarrer ou poursuivre l'activité porteuse du risque,
⎯ la prise ou l'augmentation d'un risque afin de saisir une opportunité,
⎯ l'élimination de la source de risque,
⎯ une modification de la vraisemblance,
⎯ une modification des conséquences,
⎯ un partage du risque avec une ou plusieurs autres parties (incluant des contrats et un financement du risque), et
⎯ un maintien du risque fondé sur un choix argumenté.
NOTE 2 Les traitements des risques portant sur les conséquences négatives sont parfois appelés « atténuation des
risques », « élimination des risques », « prévention des risques » et « réduction des risques ».
NOTE 3 Le traitement des risques peut créer de nouveaux risques ou modifier des risques existants.
10 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 27000:2012(F)
2.72
échelle
ensemble ordonné de valeurs, continu ou discontinu, ou ensemble de catégories avec lequel l'attribut (2.6)
est mis en correspondance
[ISO/CEI 15939:2007]
NOTE Le type d'échelle employé dépend de la nature de la relation entre les valeurs de l'échelle. Quatre types
d'échelle sont habituellement définis :
⎯ le type nominal : les valeurs de mesure sont des catégories ;
⎯ le type ordinal : les valeurs de mesure sont des classements ;
⎯ le type intervalle : les valeurs de mesure présentent des distances égales correspondant à des quantités égales
de l'attribut ;
⎯ le type rapport : les valeurs de mesure présentent des distances égales correspondant à des quantités égales
de l'attribut, la valeur zéro correspondant à l'absence de l'attribut.
Ceux-ci ne sont que quelques exemples de types d'échelle.
2.73
norme relative à la mise en œuvre de la sécurité
document qui spécifie les manières autorisées d'assurer la sécurité
2.74
partie prenante
personne ou organisation susceptible d'affecter, d'être affectée ou de se sentir elle-même affectée par une
décision ou une activité
[Guide ISO 73:2009]
2.75
déclaration d'applicabilité
déclaration documentée décrivant les objectifs de sécurité (2.17), et les mesures de sécurité (2.16)
appropriés et applicables au SMSI (2.34) d'une organisation
2.76
tiers
personne ou organisme reconnu(e) comme indépendant(e) des parties en cause, en ce qui concerne le sujet
en question
[ISO/CEI 27002:2005]
2.77
menace
cause potentielle d'un incident indésirable, qui peut nuire à un système ou une organisation
2.78
unité de mesure
grandeur particulière, définie et adoptée par convention, avec laquelle d'autres grandeurs de même nature
sont comparées afin d'exprimer leur valeur par rapport à cette grandeur
[ISO/CEI 15939:2007]
2.79
validation
confirmation par des preuves tangibles que les exigences pour une utilisation ou une application spécifique
prévue ont été satisfaites
[ISO 9000:2005]
© ISO/CEI 2012 – Tous droits réservés 11
ISO/CEI 27000:2012(F)
2.80
vérification
confirmation par des preuves tangibles que les exigences spécifiées ont été satisfaites
[ISO 9000:2005]
NOTE Le terme « essai de conformité » pourrait également être employé pour désigner cette notion.
2.81
vulnérabilité
faille dans un actif (2.4) ou dans une mesure de sécurité (2.16) qui peut être exploitée par une ou plusieurs
menaces (2.77)
3 Systèmes de management de la sécurité de l'information
3.1 Introduction
Des organisations de toutes catégories et de toutes tailles :
a) collectent, traitent, stockent et transmettent des informations ;
b) reconnaissent que les informations et les processus associés, les systèmes, les réseaux et les gens qui
s'y rattachent sont des actifs importants pour la réalisation des objectifs de l'organisation ;
c) font face à un éventail de risques qui peut avoir des répercussions sur le fonctionnement des actifs ; et
d) traitent l'exposition aux risques perçue en mettant en œuvre des mesures de sécurité de l'information.
Toutes les informations détenues et traitées par une organisation sont exposées à des menaces d'attaque,
d'erreur, d'événement naturel (par exemple, inondation ou incendie), etc. et sont exposées à des
vulnérabilités inhérentes à leur utilisation. Le terme sécurité de l'information repose, en général, sur le fait que
l'information est considérée comme un actif qui a une valeur et qui, en tant que tel, nécessite une protection
appropriée contre, par exemple, la perte de disponibilité, de confidentialité et d'intégrité. Permettre aux
personnes qui en ont l'autorisation et le besoin de disposer d'informations précises et complètes en temps
utile est un catalyseur pour l'efficience de l'organisation.
Protéger les actifs informationnels en définissant, accomplissant, maintenant et améliorant efficacement la
sécurité de l'information est essentiel pour permettre à une organisation d'atteindre ses objectifs, et de
maintenir et améliorer sa conformité légale et son image. Ces activités coordonnées visant à orienter la mise
en œuvre de mesures appropriées et à traiter les risques inacceptables liés à la sécurité de l'information, sont
généralement connues comme étant des éléments de management de la sécurité de l'information.
Les risques liés à la sécurité de l'information et l'efficacité des mesures changeant en fonction des
conjonctures, les organisations doivent :
a) surveiller et évaluer l'efficacité des mesures et des procédures mises en œuvre ;
b) identifier les risques émergents qu'il faut traiter ; et
c) sélectionner, mettre en œuvre et améliorer les mesures appropriées le cas échéant.
Pour relier ces activités de sécurité de l'information et les coordonner, chaque organisation doit établir sa
politique et ses objectifs en matière de sécurité de l'information et atteindre ces objectifs de manière efficace
en utilisant un système de management.
12 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 27000:2012(F)
3.2 Qu'est-ce qu'un SMSI ?
3.2.1 Vue d'ensemble et principes
Un Système de Management de la Sécurité de l'Information (SMSI) se compose des politiques, des
procédures, des lignes directrices et des ressources et activités associées, gérées collectivement par une
organisation dans le but de protéger ses actifs informationnels. Un SMSI utilise une approche systématique
visant à établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de
l'information de l'organisation afin que celle-ci atteigne ses objectifs métier. Cette approche se fonde sur
l'appréciation des risques et sur les niveaux d'acceptation des risques définis par l'organisation pour traiter et
gérer efficacement les risques. L'analyse des exigences de protection des actifs informationnels et
l'application des mesures appropriées pour assurer comme il se doit la protection de ces actifs, contribuent à
la réussite de la mise en œuvre d'un SMSI. Les principes essentiels suivants y contribuent également :
a) la sensibilisation à la sécurité de l'information ;
b) l'attribution des responsabilités liées à la sécurité de l'information ;
c) la prise en compte de l'engagement de la direction et des intérêts des parties prenantes ;
d) la consolidation des valeurs sociales ;
e) l'appréciation des risques déterminant les mesures appropriées pour arriver à des niveaux de risques
acceptables ;
f) l'intégration de la sécurité comme élément essentiel des systèmes et des réseaux d'information ;
g) la prévention et la détection actives des incidents liés à la sécurité de l'information ;
h) l'adoption d'une approche globale du management de la sécurité de l'information ; et
i) le réexamen continu de l'appréciation de la sécurité de l'information et la mise en œuvre de modifications
le cas échéant.
3.2.2 L'information
L'information est un actif qui, comme tous les autres actifs importants de l'organisation, est essentiel à son
fonctionnement et nécessite, par conséquent, d'être protégé de manière adéquate. L'information peut être
stockée sous différentes formes, notamment numérique (par exemple, fichiers de données stockés sur un
support électronique ou optique), matérielle (par exemple, sur papier) ou en tant qu'information intangible (par
exemple, connaissances des salariés). L'information peut être transmise par différents moyens, notamment
par courrier, par communication électronique ou verbale. Quelle que soit la forme que prend l'information ou
quel que soit son vecteur de transmission, elle nécessite toujours une protection appropriée.
Dans de nombreuses organisations, l'information dépend des technologies de l'information et des
communications. Ces technologies sont souvent un élément essentiel dans l'organisation et elles facilitent la
création, le traitement, le stockage, la transmission, la protection et la destruction de l'information.
3.2.3 Sécurité de l'information
La sécurité de l'information comprend trois grandes dimensions : la confidentialité, la disponibilité et l'intégrité.
Dans le but d'assurer la réussite durable de l'organisation et sa continuité, et de réduire le plus possible les
impacts des incidents liés à la sécurité de l'information, la sécurité de l'information implique l'application et le
management de mesures de sécurité appropriées, ce qui implique la prise en compte d'un vaste éventail de
menaces.
© ISO/CEI 2012 – Tous droits réservés 13
ISO/CEI 27000:2012(F)
La sécurité de l'information s'obtient par la mise en œuvre d'un ensemble de mesures applicables,
sélectionnées au moyen d'un processus déterminé de gestion du risque et gérées au moyen d'un SMSI,
incluant des politiques, des processus, des procédures, des organisations, des logiciels et des matériels pour
protéger l'actif informationnel identifié. Ces mesures doivent être spécifiées, mises en œuvre, surveillées,
réexaminées et améliorées si nécessaire, pour s'assurer qu'elles répondent aux objectifs sécurité de
l'information et métier spécifiques de l'organisation. Les mesures de sécurité pertinentes touchant l'information
doivent en principe s'intégrer sans heurts dans les processus métier de l'organisation.
3.2.4 Management
Le management implique des activités de pilotage, de contrôle et d'amélioration continue de l'organisation
dans des structures appropriées. Les activités de management incluent les actions, la manière ou les
pratiques pour organiser, prendre en charge, diriger, superviser et contrôler les ressources. Les structures de
management vont d'une personne dans une petite organisation à des hiérarchies de management
composées d'un grand nombre de personnes dans les grandes organisations.
Au sens d'un SMSI, le management implique la supervision et la prise de décisions nécessaires à la
réalisation des objectifs métier par le biais de la protection des actifs informationnels de l'organisation. Le
management de la sécurité de l'information s'exprime au travers de la formulation et l'utilisation de politiques,
de procédures et de lignes directrices relatives à la sécurité de l'information, qui sont ensuite appliquées à
tous les niveaux de l'organisation par toutes les personnes qui y sont associées.
NOTE Le terme « management » peut parfois se rapporter aux personnes (c'est-à-dire à une personne ou à un
groupe de personnes ayant l'autorité et la responsabilité de la direction et du contrôle d'une organisation). Dans cet article,
le terme « management » n'est pas utilisé dans ce sens.
3.2.5 Système de management
Un système de management utilise un cadre de référence en vue d'atteindre les objectifs d'une organisation.
Le système de management inclut l'organisation, les politiques, les activités de planification, les
responsabilités, les pratiques, les procédures, les processus et les ressources.
En termes de sécurité de l'information, un système de management permet à une organisation :
a) de satisfaire les exigences de sécurité de l'information des clients et des autres parties prenantes ;
b) d'améliorer les plans et les activités d'une organisation ;
c) de répondre aux objectifs de sécurité de l'information de l'organisation ;
d) de se conformer aux réglementations, à la législation et aux autorités sectorielles ; et
e) de manager les actifs informationnels d'une manière organisée qui facilite l'amélioration et l'ajustement
continus aux objectifs actuels de l'organisation.
3.3 Approche processus
Les organisations doivent identifier et manager de nombreuses activités de manière à avoir un
fonctionnement efficace et efficient. Toute activité utilisant des ressources a besoin d'être managée pour
permettre la transformation d'éléments d'entrée en éléments de sortie en utilisant un ensemble d'activités
corrélées ou interactives : cela est aussi connu sous le nom de « processus ». Les éléments de sortie d'un
processus peuvent constituer directement les éléments d'entrée d'un autre processus et, généralement, cette
transformation s'opère dans des conditions planifiées et maîtrisées. L'application d'un système de processus
au sein d'une organisation, et l'identification, les interactions et le management de ces processus peuvent être
désignés par le terme « approche processus ».
L'approche processus d'un SMSI présentée dans la famille de normes du SMSI se fonde sur le principe de
fonctionnement adopté dans les normes de système de management de l'ISO, connu sous le nom de
processus PDCA : Planifier-Déployer-Contrôler-Agir.
14 © ISO/CEI 2012 – Tous droits réservés
ISO/CEI 27000:2012(F)
a) Planifier – déterminer des objectifs et faire des plans (analyser la situation de l'organisation, déterminer
des objectifs d'ensemble et définir des cibles, puis élaborer des plans pour les atteindre) ;
b) Déployer – mettre en œuvre les plans (faire ce qui a été prévu) ;
c) Contrôler – mesurer les résultats (mesurer/vérifier dans quelle mesure les réalisations répondent aux
objectifs planifiés) ; et
d) Agir – corriger et améliorer les activités (tirer les leçons des erreurs pour améliorer les activités afin
d'atteindre de meilleurs résultats).
3.4 Raisons pour lesquelles un SMSI est important
Les risques associés aux actifs informationnels d'une organisation doivent être traités. Mener à bien la
sécurité de l'information requiert une gestion du risque et englobe les risques découlant de menaces
physiques, humaines et technologiques associées à toutes les formes d'information au sein de l'organisation
ou utilisées par l'organisation.
L'adoption d'un SMSI doit en principe être une décision stratégique pour une organisation et il est nécessaire
que cette décision soit intégrée sans heurts, dimensionnée et actualisée en fonction des besoins de
l'organisation.
La conception et la mise en œuvre du SMSI d'une organisation sont influencées par les besoins et les
objectifs de l'organisation, les exigences de sécurité, les processus métier mis en œuvre, et par la taille et la
structure de l'organisation. La conception et la mise en œuvre d'un SMSI doivent correspondre aux intérêts et
aux exigences en matière de sécurité de l'information de toutes les parties prenantes de l'organisation,
incluant les clients, les fournisseurs, les partenaires commerciaux, les actionnaires et toutes les autres tierces
parties à prendre en considération.
Dans un monde interconnecté, l'information, et les processus, les systèmes et les réseaux qui s'y rapportent
constituent des actifs critiques de l'organisation. Les organisations et leurs systèmes et réseaux d'information
sont confrontés à des menaces pour la sécurité émanant de multiples sources, notamment la fraude assistée
par ordinateur, l'espionnage, le sabotage, le vandalisme, les incendies et les inondations. Les dommages
causés aux systèmes et aux réseaux d'information par des programmes malveillants, le piratage informatique
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...