ISO/IEC 27000:2012
(Main)Information technology — Security techniques — Information security management systems — Overview and vocabulary
Information technology — Security techniques — Information security management systems — Overview and vocabulary
ISO/IEC 27000:2012 describes the overview and the vocabulary of information security management systems, which form the subject of the ISMS family of standards, and defines related terms and definitions. ISO/IEC 27000:2012 is applicable to all types and sizes of organisation (e.g. commercial enterprises, government agencies, not-for-profit organisations).
Technologies de l'information — Techniques de sécurité — Systèmes de management de la sécurité de l'information — Vue d'ensemble et vocabulaire
L'ISO 27000:2012 décrit une vue d'ensemble et le vocabulaire des systèmes de management de la sécurité de l'information, qui constituent l'objet de la famille de normes du SMSI, et définit les termes et les définitions qui s'y rapportent. L'ISO 27000:2012 est applicable à tous les types et à toutes les tailles d'organisations (par exemple entreprises commerciales, organisations publiques, organisations à but non lucratif).
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27000
Second edition
2012-12-01
Information technology — Security
techniques — Information security
management systems — Overview and
vocabulary
Technologies de l'information — Techniques de sécurité — Systèmes
de management de la sécurité de l'information — Vue d'ensemble et
vocabulaire
Reference number
ISO/IEC 27000:2012(E)
©
ISO/IEC 2012
---------------------- Page: 1 ----------------------
ISO/IEC 27000:2012(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO/IEC 2012 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 27000:2012(E)
Foreword
ISO (the International Organisation for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organisation to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organisations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27000 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, IT Security techniques.
This second edition cancels and replaces the first edition (ISO/IEC 27000:2009).
© ISO/IEC 2012 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 27000:2012(E)
0 Introduction
0.1 Overview
International Standards for management systems provide a model to follow in setting up and operating a
management system. This model incorporates the features on which experts in the field have reached a
consensus as being the international state of the art. ISO/IEC JTC 1/SC 27 maintains an expert committee
dedicated to the development of international management systems standards for information security,
otherwise known as the Information Security Management System (ISMS) family of standards.
Through the use of the ISMS family of standards, organisations can develop and implement a framework for
managing the security of their information assets including financial information, intellectual property, and
employee details, or information entrusted to them by customers or third parties. These standards can also be
used to prepare for an independent assessment of their ISMS applied to the protection of information.
0.2 ISMS family of standards
1)
The ISMS family of standards (see Clause 4) is intended to assist organisations of all types and sizes to
implement and operate an ISMS and consists of the following International Standards, under the general title
Information technology — Security techniques (given below in numerical order):
ISO/IEC 27000:2009, Information security management systems — Overview and vocabulary
ISO/IEC 27001:2005, Information security management systems — Requirements
ISO/IEC 27002:2005, Code of practice for information security management
ISO/IEC 27003:2010, Information security management system implementation guidance
ISO/IEC 27004:2009, Information security management — Measurement
ISO/IEC 27005:2011, Information security risk management
ISO/IEC 27006:2011, Requirements for bodies providing audit and certification of information security
management systems
ISO/IEC 27007:2011, Guidelines for information security management systems auditing
ISO/IEC TR 27008:2011, Guidelines for auditors on information security management systems controls
ISO/IEC 27010:2012, Information security management guidelines for inter-sector and inter-
organisational communications
ITU-T X.1051 | ISO/IEC 27011:2008, Information security management guidelines for
telecommunications organisations based on ISO/IEC 27002
ISO/IEC FDIS 27013, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC
20000-1
ITU-T X.1054 | ISO/IEC FDIS 27014, Governance of information security
1)
Standards identified throughout this subclause with no release year indicated are still under development.
iv © ISO/IEC 2012 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 27000:2012(E)
ISO/IEC TR 27015, Information security management guidelines for financial services
ISO/IEC WD 27016, Information security management – Organisational economics
NOTE The general title “Information technology — Security techniques” indicates that these standards were prepared
by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.
International Standards not under the same general title that are also part of the ISMS family of standards are
as follows:
ISO 27799:2008, Health informatics — Information security management in health using ISO/IEC 27002
0.3 Purpose of this International Standard
This International Standard provides an overview of information security management systems, and defines
related terms.
NOTE Annex A provides clarification on how verbal forms are used to express requirements and/or guidance in the
ISMS family of standards.
The ISMS family of standards includes standards that:
a) define requirements for an ISMS and for those certifying such systems;
b) provide direct support, detailed guidance and/or interpretation for the overall Plan-Do-Check-Act (PDCA)
processes and requirements;
c) address sector-specific guidelines for ISMS; and
d) address conformity assessment for ISMS.
The terms and definitions provided in this International Standard:
cover commonly used terms and definitions in the ISMS family of standards;
will not cover all terms and definitions applied within the ISMS family of standards; and
do not limit the ISMS family of standards in defining new terms for use.
© ISO/IEC 2012 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO/IEC 27000:2012(E)
Information technology — Security techniques — Information
security management systems — Overview and vocabulary
1 Scope
This International Standard describes the overview and the vocabulary of information security management
systems, which form the subject of the ISMS family of standards, and defines related terms and definitions.
This International Standard is applicable to all types and sizes of organisation (e.g. commercial enterprises,
government agencies, not-for-profit organisations).
2 Terms and definitions
For the purposes of this document , the following terms and definitions apply.
NOTE 1 A term in a definition or note which is defined elsewhere in this clause is indicated by boldface followed by its
entry number in parentheses. Such a boldface term can be replaced in the definition by its complete definition.
For example:
attack (2.4) is defined as “attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make
unauthorized use of an asset (2.3)”;
asset is defined as “any item that has value to the organisation”.
If the term “asset” is replaced by its definition:
attack then becomes “attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make
unauthorized use of any item that has value to the organisation”.
2.1
access control
means to ensure that access to assets (2.4) is authorized and restricted based on business and security
requirements
2.2
accountability
assignment of actions and decisions to an entity
2.3
analytical model
algorithm or calculation combining one or more base (2.11) and/or derived measures (2.21) with associated
decision
[ISO/IEC 15939:2007]
2.4
asset
anything that has value to the organisation
NOTE There are many types of assets, including:
© ISO/IEC 2012 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO/IEC 27000:2012(E)
a) information;
b) software, such as a computer program;
c) physical, such as computer;
d) services;
e) people, and their qualifications, skills, and experience; and
f) intangibles, such as reputation and image.
2.5
attack
attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use of
an asset (2.4)
2.6
attribute
property or characteristic of an object that can be distinguished quantitatively or qualitatively by human or
automated means
[ISO/IEC 15939:2007]
2.7
audit scope
extent and boundaries of an audit
[ISO 9000:2005]
2.8
authentication
provision of assurance that a claimed characteristic of an entity is correct
2.9
authenticity
property that an entity is what it claims to be
2.10
availability
property of being accessible and usable upon demand by an authorized entity
2.11
base measure
measure (2.43) defined in terms of an attribute (2.6) and the method for quantifying it
[ISO/IEC 15939:2007]
NOTE A base measure is functionally independent of other measures.
2.12
business continuity
procedures (2.53) and/or processes (2.54) for ensuring continued business operations
2.13
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or processes
(2.54)
2.14
conformity
fulfillment of a requirement
2 © ISO/IEC 2012 – All rights reserved
---------------------- Page: 7 ----------------------
ISO/IEC 27000:2012(E)
[ISO 9000:2005].
NOTE The term “conformance” is synonymous but deprecated.
2.15
consequence
outcome of an event (2.24) affecting objectives
[ISO Guide 73:2009]
NOTE 1 An event can lead to a range of consequences.
NOTE 2 A consequence can be certain or uncertain and in the context of information security is usually negative.
NOTE 3 Consequences can be expressed qualitatively or quantitatively.
NOTE 4 Initial consequences can escalate through knock-on effects.
2.16
control
means of managing risk (2.61), including policies (2.51), procedures (2.53), guidelines (2.26), practices or
organisational structures, which can be of administrative, technical, management, or legal nature
NOTE 1 Controls for information security include any process, policy, procedure, guideline, practice or organisational
structure, which can be administrative, technical, management, or legal in nature which modify information security risk.
NOTE 2 Controls may not always exert the intended or assumed modifying effect.
NOTE 3 Control is also used as a synonym for safeguard or countermeasure.
2.17
control objective
statement describing what is to be achieved as a result of implementing controls (2.16)
2.18
corrective action
action to eliminate the cause of a detected non-conformity (2.48) or other undesirable situation
[ISO 9000:2005]
2.19
data
collection of values assigned to base measures (2.11), derived measures (2.21) and/or indicators (2.27)
[ISO/IEC 15939:2007]
NOTE This definition applies only within the context of ISO/IEC 27004:2009.
2.20
decision criteria
thresholds, targets, or patterns used to determine the need for action or further investigation, or to describe
the level of confidence in a given result
[ISO/IEC 15939:2007]
2.21
derived measure
measure (2.43) that is defined as a function of two or more values of base measures (2.11)
[ISO/IEC 15939:2007]
© ISO/IEC 2012 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO/IEC 27000:2012(E)
2.22
effectiveness
extent to which planned activities are realized and planned results achieved
[ISO 9000:2005]
2.23
efficiency
relationship between the results achieved and the resources used
[ISO 9000:2005]
2.24
event
occurrence or change of a particular set of circumstances
[ISO Guide 73:2009]
NOTE 1 An event can be one or more occurrences, and can have several causes.
NOTE 2 An event can consist of something not happening.
NOTE 3 An event can sometimes be referred to as an “incident” or “accident”.
2.25
external context
external environment in which the organisation seeks to achieve its objectives
[ISO Guide 73:2009]
NOTE External context can include:
the cultural, social, political, legal, regulatory, financial, technological, economic, natural and competitive
environment, whether international, national, regional or local;
key drivers and trends having impact on the objectives of the organisation; and
relationships with, and perceptions and values of, external stakeholders.
2.26
guideline
description that clarifies what should be done and how, to achieve the objectives set out in policies (2.51)
2.27
indicator
measure (2.43) that provides an estimate or evaluation of specified attributes (2.6) derived from an
analytical model (2.3) with respect to defined information needs (2.28)
2.28
information need
insight necessary to manage objectives, goals, risks and problems
[ISO/IEC 15939:2007]
2.29
information processing facilities
any information processing system, service or infrastructure, or the physical locations housing them
2.30
information security
preservation of confidentiality (2.13), integrity (2.36) and availability (2.10) of information
4 © ISO/IEC 2012 – All rights reserved
---------------------- Page: 9 ----------------------
ISO/IEC 27000:2012(E)
NOTE In addition, other properties, such as authenticity (2.9), accountability (2.2), non-repudiation (2.49), and
reliability (2.56) can also be involved.
2.31
information security event
identified occurrence of a system, service or network state indicating a possible breach of information security
policy or failure of safeguards, or a previously unknown situation that may be security relevant
2.32
information security incident
single or a series of unwanted or unexpected information security events (2.31) that have a significant
probability of compromising business operations and threatening information security (2.30)
2.33
information security incident management
processes (2.54) for detecting, reporting, assessing, responding to, dealing with, and learning from
information security incidents (2.32)
2.34
information security management system
ISMS
part of the overall management system (2.42), based on a business risk approach, to establish, implement,
operate, monitor, review, maintain and improve information security (2.30)
NOTE The management system includes organisational structure, policies, planning activities, responsibilities,
practices, procedures, processes and resources.
2.35
information system
application, service, information technology asset, or any other information handling component
2.36
integrity
property of protecting the accuracy and completeness of assets (2.4)
2.37
internal context
internal environment in which the organisation seeks to achieve its objectives
[ISO Guide 73:2009]
NOTE Internal context can include:
governance, organisational structure, roles and accountabilities;
policies, objectives, and the strategies that are in place to achieve them;
the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes,
systems and technologies);
information systems, information flows and decision-making processes (both formal and informal);
relationships with, and perceptions and values of, internal stakeholders;
the organisation's culture;
standards, guidelines and models adopted by the organisation; and
form and extent of contractual relationships.
2.38
ISMS project
structured activities undertaken by an organisation to implement an ISMS (2.34)
© ISO/IEC 2012 – All rights reserved 5
---------------------- Page: 10 ----------------------
ISO/IEC 27000:2012(E)
2.39
level of risk
magnitude of a risk (2.61) expressed in terms of the combination of consequences (2.15) and their
likelihood (2.40)
[ISO Guide 73:2009]
2.40
likelihood
chance of something happening
[ISO Guide 73:2009]
2.41
management
coordinated activities to direct and control an organisation
[ISO 9000:2005]
2.42
management system
framework of guidelines (2.26), policies (2.51), procedures (2.53), processes (2.54) and associated
resources aimed at ensuring an organisation meets its objectives
2.43
measure
variable to which a value is assigned as the result of measurement (2.44)
[ISO/IEC 15939:2007]
NOTE The term “measures” is used to refer collectively to base measures, derived measures, and indicators.
2.44
measurement
process of obtaining information about the effectiveness (2.22) of ISMS (2.34) and controls (2.16) using a
measurement method (2.46), a measurement function (2.45), an analytical model (2.3), and decision
criteria (2.20)
2.45
measurement function
algorithm or calculation performed to combine two or more base measures (2.11)
[ISO/IEC 15939:2007]
2.46
measurement method
logical sequence of operations, described generically, used in quantifying an attribute (2.6) with respect to a
specified scale (2.72)
[ISO/IEC 15939:2007]
NOTE The type of measurement method depends on the nature of the operations used to quantify an attribute. Two
types can be distinguished:
subjective: quantification involving human judgment;
objective: quantification based on numerical rules.
2.47
measurement results
one or more indicators (2.27) and their associated interpretations that address an information need (2.28)
6 © ISO/IEC 2012 – All rights reserved
---------------------- Page: 11 ----------------------
ISO/IEC 27000:2012(E)
2.48
non-conformity
non-fulfillment of a requirement
[ISO 9000:2005]
2.49
non-repudiation
ability to prove the occurrence of a claimed event or action and its originating entities
2.50
object
item characterized through the measurement (2.44) of its attributes (2.6)
2.51
policy
overall intention and direction as formally expressed by management (2.41)
2.52
preventive action
action to eliminate the cause of a potential non-conformity (2.48) or other undesirable potential situation
[ISO 9000:2005]
2.53
procedure
specified way to carry out an activity or a process (2.54)
[ISO 9000:2005]
2.54
process
set of interrelated or interacting activities which transforms inputs into outputs
[ISO 9000:2005]
2.55
record
document stating results achieved or providing evidence of activities performed
[ISO 9000:2005]
2.56
reliability
property of consistent intended behaviour and results
2.57
residual risk
risk (2.61) remaining after risk treatment (2.71)
NOTE 1 Residual risk can contain unidentified risk.
NOTE 2 Residual risk can also be known as “retained risk”.
2.58
review
activity undertaken to determine the suitability, adequacy and effectiveness (2.22) of the subject matter to
achieve established objectives
[ISO 9000:2005]
© ISO/IEC 2012 – All rights reserved 7
---------------------- Page: 12 ----------------------
ISO/IEC 27000:2012(E)
2.59
review object
specific item being reviewed
2.60
review objective
statement describing what is to be achieved as a result of a review
2.61
risk
effect of uncertainty on objectives
[ISO Guide 73:2009]
NOTE 1 An effect is a deviation from the expected — positive and/or negative.
NOTE 2 Objectives can have different aspects (such as financial, health and safety, information security, and
environmental goals) and can apply at different levels (such as strategic, organisation-wide, project, product and process).
NOTE 3 Risk is often characterized by reference to potential events (2.24) and consequences (2.15), or a
combination of these.
NOTE 4 Information security risk is often expressed in terms of a combination of the consequences of an information
security event and the associated likelihood (2.40) of occurrence.
NOTE 5 Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an
event, its consequence, or likelihood.
NOTE 6 Information security risk is associated with the potential that threats will exploit vulnerabilities of an information
asset or group of information assets and thereby cause harm to an organisation.
2.62
risk acceptance
decision to accept a risk (2.61)
2.63
risk analysis
process to comprehend the nature of risk (2.61) and to determine the level of risk (2.39)
[ISO Guide 73:2009]
NOTE 1 Risk analysis provides the basis for risk evaluation and decisions about risk treatment.
NOTE 2 Risk analysis includes risk estimation.
2.64
risk assessment
overall process (2.54) of risk identification (2.68), risk analysis (2.63) and risk evaluation (2.67)
[ISO Guide 73:2009]
2.65
risk communication and consultation
continual and iterative processes that an organisation conducts to provide, share or obtain information, and to
engage in dialogue with stakeholders (2.74) regarding the management of risk (2.61)
[ISO Guide 73:2009]
NOTE 1 The information can relate to the existence, nature, form, likelihood, significance, evaluation, acceptability and
treatment of risk.
8 © ISO/IEC 2012 – All rights reserved
---------------------- Page: 13 ----------------------
ISO/IEC 27000:2012(E)
NOTE 2 Consultation is a two-way process of informed communication between an organisation and its stakeholders
on an issue prior to making a decision or determining a direction on that issue. Consultation is:
a process which impacts on a decision through influence rather than power; and
an input to decision making, not joint decision making.
2.66
risk criteria
terms of reference against which the significance of risk (2.61) is evaluated
[ISO Guide 73:2009]
NOTE 1 Risk criteria are based on organisational objectives, and external and internal context.
NOTE 2 Risk criteria can be derived from standards, laws, policies and other requirements.
2.67
risk evaluation
process (2.54) of comparing the results of risk analysis (2.63) with risk criteria (2.66) to determine whether
the risk (2.61) and/or its magnitude is acceptable or tolerable
[ISO Guide 73:2009]
NOTE Risk evaluation assists in the decision about risk treatment.
2.68
risk identification
process of finding, recognizing and describing risks (2.61)
[ISO Guide 73:2009]
NOTE 1 Risk identification involves the identification of risk sources, events, their causes and their potential
consequences.
NOTE 2 Risk identification can involve historical data, theoretical analysis, informed and expert opinions, and
stakeholders’ needs.
2.69
risk management
coordinated activities to direct and control an organisation with regard to risk (2.61)
[ISO Guide 73:2009]
2.70
risk management process
systematic application of management policies (2.51), procedures (2.53) and practices to the activities of
communicating, consulting, establishing the context and identifying, analyzing, evaluating, treating, monitoring
and reviewing risk (2.61)
[ISO Guide 73:2009]
NOTE ISO/IEC 27005 uses the term ‘process’ to describe risk management overall. The elements within the risk
management process are termed ‘activities’
2.71
risk treatment
process (2.54) to modify risk (2.61)
[ISO Guide 73:2009]
NOTE 1 Risk treatment can involve:
© ISO/IEC 2012 – All rights reserved 9
---------------------- Page: 14 ----------------------
ISO/IEC 27000:2012(E)
avoiding the risk by deciding not to start or continue with the activity that gives rise to the risk;
taking or increasing risk in order to pursue an opportunity;
removing the risk source;
changing the likelihood;
changing the consequences;
sharing the risk with another party or parties (including contracts and risk financing); and
retaining the risk by informed choice.
NOTE 2 Risk treatments that deal with negative consequences are sometimes referred to as “risk mitigation”, “risk
elimination”, “risk prevention” and “risk reduction”.
NOTE 3 Risk treatment can create new risks or modify existing risks.
2.72
scale
ordered set of values, continuous or discrete, or a set of categories to which the attribute (2.6) is mapped
[ISO/IEC 15939:2007]
NOTE The type of scale depends on the nature of the relationship between values on the scale. Four types of scale
are commonly defined:
nominal: the measurement values are categorical;
ordinal: the measurement values are rankings;
interval: the measurement values have equal distances corresponding to equal quantities of the attribute;
ratio: the measurement values have equal distances corresponding to equal quantities of the attribute,
where the value of zero corresponds to none of the attribute.
These are just examples of the types of scale.
2.73
security implementation standard
document specifying authorized ways for realizing security
2.74
stakeholder
person or organisation that can affect, be affected by, or perceive themselves to be affected by a decision or
activity
[ISO Guide 73:2009]
2.75
statement of applicability
documented statement describing the control objectives (2.17) and controls (2.16) that are relevant and
applicable to the organisation's ISMS (2.34)
2.76
third party
person or body that is recognized as being independent of the parties involved, as concerns the issue in
question
[ISO/IEC 27002:2005]
2.77
threat
potential cause of an unwanted incident, which may result in harm to a system or organisation
10 © ISO/IEC 2012 – All rights reserved
---------------------- Page: 15 ----------------------
ISO/IEC 27000:2012(E)
2.78
unit of measurement
particular quantity, defined and adopted by convention, with which other quantities of the same kind are
compared in order to express their magnitude relative to that quantity
[ISO/IEC 15939:2007]
2.79
validation
confirmation, through the provision of objective evidence, that the requirements for a specific intended use or
application have been fulfilled
[ISO 9000:2005]
2.80
verification
confirmation, through the provision of objective evidence, that specified requirements have been fulfilled
[ISO 9000:2005]
NOTE This could also be called compliance testing.
2.81
vulnerability
weakness of an asset (2.4) or control (2.16) that can be exploited by one or more threats (2.77)
3 Information security management systems
3.1 Introduction
Organisations of all types and sizes:
a) collect, process, store, and transmit information;
b) recognise that information, and related processes, systems, networks and people are important assets for
achieving organisation objectives;
c) face a range of risks that may affect the functioning of assets; and
d) address their perceived risk exposure by implementing information security controls.
All information held and processed by an organisation is subject to threats of attack, error, nature (for
example, flood or fire), etc, and is subject to vulnerabilities inherent in its use. The term information security is
generally based on information being considered as an asset which has a value requiring appropriate
protection, for example, against the loss of availability, confidentiality and integrity. Enabling accurate and
complete information to be available in a timely manner to those with an authorized need is a catalyst for
business efficiency.
Protecting information assets through defining, achieving, maintaining, and improving information security
effectively is essential to enable an organisation to achieve its objectives, and maintain and enhance its legal
compliance and image. These coordinated activities directing the implementation of suitable controls and
treating unacceptable information security risks are generally known as elements of information security
management.
As information security risks and the effectiveness of controls change depending on shifting circumstances,
organisations need to:
a) monitor and evaluate the effectiveness of implemented controls and procedures;
© ISO/IEC 2012 – All rights reserved 11
---------------------- Page: 16 ----------------------
ISO/IEC 27000:2012(E)
b) identify emerging risks to be treated; and
c) select, implement and improve appropriate controls as needed.
To interrelate and coordinate such information security activities, each organisation needs to establish its
policy and objectives for information security and achieve those objectives effectively by using a management
system.
3.2 What is an ISMS?
3.2.1 Overview and principles
An Information Security Management System (ISMS) consists of the policies, procedures, guidelines, and
associated resources and activities, collectively ma
...
NORME ISO/CEI
INTERNATIONALE 27000
Deuxième édition
2012-12-01
Technologies de l'information —
Techniques de sécurité — Systèmes de
management de la sécurité de
l'information — Vue d'ensemble et
vocabulaire
Information technology — Security techniques — Information security
management systems — Overview and vocabulary
Numéro de référence
ISO/CEI 27000:2012(F)
©
ISO/CEI 2012
---------------------- Page: 1 ----------------------
ISO/CEI 27000:2012(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/CEI 2012
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Version française parue en 2013
Publié en Suisse
ii © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/CEI 27000:2012(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine des technologies de l'information, l'ISO et la CEI ont créé
un comité technique mixte, l'ISO/CEI JTC 1.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale du comité technique mixte est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO et la CEI ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 27000 a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l'information.
Cette deuxième édition annule et remplace la première édition (ISO/CEI 27000:2009).
© ISO/CEI 2012 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/CEI 27000:2012(F)
0 Introduction
0.1 Vue d'ensemble
Les Normes internationales relatives aux systèmes de management fournissent un modèle en matière
d'établissement et d'exploitation d'un système de management. Ce modèle comprend les caractéristiques que
les experts dans le domaine s'accordent à reconnaître comme reflétant l'état de l'art au niveau international.
Le sous-comité ISO/CEI JTC 1/SC 27 bénéficie de l'expérience d'un comité d'experts qui se consacre à
l'élaboration des Normes internationales sur les systèmes de management pour la sécurité de l'information,
connues également comme famille de normes des Systèmes de Management de la Sécurité de
l'Information (SMSI).
Grâce à l'utilisation de la famille de normes du SMSI, les organisations peuvent élaborer et mettre en œuvre
un cadre de référence pour gérer la sécurité de leurs actifs informationnels, y compris les informations
financières, la propriété intellectuelle, les informations sur les employés, etc., ou les informations qui leur sont
confiées par des clients ou des tiers. Elles peuvent également utiliser ces normes pour se préparer à une
évaluation indépendante de leurs SMSI en matière de protection de l'information.
0.2 La famille de normes du SMSI
1)
La famille de normes du SMSI (voir l'Article 4) a pour objet d'aider les organisations de tous types et de
toutes tailles à déployer et à exploiter un SMSI. Elle se compose des Normes internationales suivantes
(indiquées ci-dessous par ordre numérique) regroupées sous le titre général Technologies de l'information –
Techniques de sécurité :
⎯ ISO/CEI 27000:2009, Systèmes de management de la sécurité de l'information – Vue d'ensemble et
vocabulaire
⎯ ISO/CEI 27001:2005, Systèmes de gestion de la sécurité de l'information – Exigences
⎯ ISO/CEI 27002:2005, Code de bonne pratique pour la gestion de la sécurité de l'information
⎯ ISO/CEI 27003:2010, Lignes directrices pour la mise en œuvre du système de management de la
sécurité de l'information
⎯ ISO/CEI 27004:2009, Management de la sécurité de l'information – Mesurage
⎯ ISO/CEI 27005:2011, Gestion des risques liés à la sécurité de l'information
⎯ ISO/CEI 27006:2011, Exigences pour les organismes procédant à l'audit et à la certification des
systèmes de management de la sécurité de l'information
⎯ ISO/CEI 27007:2011, Lignes directrices pour l'audit des systèmes de management de la sécurité de
l'information
⎯ ISO/CEI TR 27008:2011, Lignes directrices pour les auditeurs des contrôles de sécurité de l'information
⎯ ISO/CEI 27010:2012, Gestion de la sécurité de l'information des communications intersectorielles et
interorganisationnelles
⎯ ITU-T X.1051 | ISO/CEI 27011:2008, Lignes directrices pour le management de la sécurité de
l'information pour les organismes de télécommunications sur la base de l'ISO/CEI 27002
1)
Les normes mentionnées dans le présent paragraphe qui ne comportent pas d'année de publication sont toujours en
cours d'élaboration.
iv © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/CEI 27000:2012(F)
⎯ ISO/CEI FDIS 27013, Lignes directrices relatives à la mise en œuvre intégrée de l'ISO/CEI 27001 et de
l'ISO/CEI 20000-1
⎯ ITU-T X.1054 | ISO/CEI FDIS 27014, Gouvernance de la sécurité de l'information
⎯ ISO/CEI TR 27015, Lignes directrices pour le management de la sécurité de l'information pour les
services financiers
⎯ ISO/CEI WD 27016, Management de la sécurité de l'information – Économie organisationnelle
NOTE Le titre général « Technologies de l'information – Techniques de sécurité » indique que ces normes ont été
élaborées par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information, sous-comité SC 27, Techniques
de sécurité des technologies de l'information.
Les Normes internationales qui font également partie de la famille de normes du SMSI, mais qui ne sont pas
comprises comme « Technologies de l'information – Techniques de sécurité » sont les suivantes :
⎯ ISO 27799:2008, Informatique de santé – Gestion de la sécurité de l'information relative à la santé en
utilisant l'ISO/CEI 27002
0.3 Objet de la présente Norme internationale
La présente Norme internationale fournit une vue d'ensemble des systèmes de management de la sécurité de
l'information et définit les termes qui s'y rapportent.
NOTE L'Annexe A fournit des éclaircissements sur la façon dont les normes de la famille du SMSI doivent être
interprétées en fonction des expressions verbales utilisées, celles-ci exprimant des exigences et/ou des lignes directrices.
La famille de normes du SMSI comporte des normes qui :
a) définissent les exigences pour un SMSI et pour les organisations certifiant de tels systèmes ;
b) apportent un soutien direct, des recommandations détaillées et/ou une interprétation des processus et
des exigences généraux selon le modèle Planifier-Déployer-Contrôler-Agir (PDCA) ;
c) traitent des pratiques propres à des secteurs particuliers en matière de SMSI ;
d) traitent de l'évaluation de la conformité d'un SMSI.
Les termes et les définitions fournis dans cette Norme internationale :
⎯ couvrent les termes et les définitions d'usage courant dans la famille de normes du SMSI ;
⎯ ne couvrent pas l'ensemble des termes et des définitions utilisés dans la famille de normes du SMSI ;
⎯ ne limitent pas la famille de normes du SMSI en définissant de nouveaux termes à utiliser.
© ISO/CEI 2012 – Tous droits réservés v
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO/CEI 27000:2012(F)
Technologies de l'information — Techniques de sécurité —
Systèmes de management de la sécurité de l'information — Vue
d'ensemble et vocabulaire
1 Domaine d'application
La présente Norme internationale décrit une vue d'ensemble et le vocabulaire des systèmes de management
de la sécurité de l'information, qui constituent l'objet de la famille de normes du SMSI, et définit les termes et
les définitions qui s'y rapportent.
La présente Norme internationale est applicable à tous les types et à toutes les tailles d'organisations (par
exemple entreprises commerciales, organisations publiques, organisations à but non lucratif).
2 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
NOTE 1 Un terme utilisé dans une définition ou une note et défini à un autre endroit du présent article figure en
caractères gras, suivi de la référence de l'entrée entre parenthèses. Ce terme en caractères gras peut être remplacé dans
la définition par sa propre définition.
Par exemple :
attaque (2.4) est définie comme une « tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'obtenir
un accès non autorisé ou d'utiliser sans autorisation un actif (2.3) » ;
actif est défini comme « tout élément représentant de la valeur pour l'organisation ».
En remplaçant le terme « actif » par sa définition :
attaque est alors définie comme une « tentative de détruire, de rendre public, de modifier, d'invalider, de voler, d'obtenir
un accès non autorisé ou d'utiliser sans autorisation tout élément représentant de la valeur pour l'organisation ».
2.1
contrôle d'accès
moyens mis en œuvre pour assurer que l'accès aux actifs (2.4) est autorisé et limité selon les exigences
propres à la sécurité et à l'activité métier
2.2
imputabilité
attribution d'actions et de décisions à une entité
2.3
modèle analytique
algorithme ou calcul combinant une ou plusieurs mesures élémentaires (2.11) et/ou mesures
dérivées (2.21) avec les critères de décision associés
[ISO/CEI 15939:2007]
© ISO/CEI 2012 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
ISO/CEI 27000:2012(F)
2.4
actif
tout élément représentant de la valeur pour l'organisation
NOTE Il existe plusieurs sortes d'actifs, dont :
a) l'information ;
b) les logiciels, par exemple un programme informatique ;
c) les actifs physiques, par exemple un ordinateur ;
d) les services ;
e) le personnel, et ses qualifications, compétences et expérience ;
f) les actifs incorporels, par exemple la réputation et l'image.
2.5
attaque
tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'obtenir un accès non autorisé ou
d'utiliser sans autorisation un actif (2.4)
2.6
attribut
propriété ou caractéristique d'un objet qui peut être distingué quantitativement ou qualitativement par des
moyens humains ou automatiques
[ISO/CEI 15939:2007]
2.7
champ de l'audit
étendue et limites d'un audit
[ISO 9000:2005]
2.8
authentification
moyen pour une entité d'assurer la légitimité d'une caractéristique revendiquée
2.9
authenticité
propriété selon laquelle une entité est ce qu'elle revendique être
2.10
disponibilité
propriété d'être accessible et utilisable à la demande par une entité autorisée
2.11
mesure élémentaire
mesure (2.43) définie en fonction d'un attribut (2.6) et de la méthode de mesurage spécifiée pour l'identifier
[ISO/CEI 15939:2007]
NOTE Une mesure élémentaire est fonctionnellement indépendante des autres mesures.
2.12
continuité de l'activité
procédures (2.53) et/ou processus (2.54) permettant d'assurer la continuité de l'activité métier
2 © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO/CEI 27000:2012(F)
2.13
confidentialité
propriété selon laquelle l'information n'est pas rendue disponible ou divulguée à des personnes, des entités
ou des processus (2.54) non autorisés
2.14
conformité
satisfaction d'une exigence
[ISO 9000:2005]
NOTE Le terme anglais « conformance » est synonyme de « conformity », mais a été abandonné.
2.15
conséquence
effet d'un événement (2.24) affectant les objectifs
[Guide ISO 73:2009]
NOTE 1 Un événement peut engendrer une série de conséquences.
NOTE 2 Une conséquence peut être certaine ou incertaine ; dans le contexte de la sécurité de l'information, elle est
généralement négative.
NOTE 3 Les conséquences peuvent être exprimées de façon qualitative ou quantitative.
NOTE 4 Des conséquences initiales peuvent déclencher des réactions en chaîne.
2.16
mesure de sécurité
moyens de gestion des risques (2.61), comprenant les politiques (2.51), les procédures (2.53), les lignes
directrices (2.26), les pratiques ou l'organisation, qui peuvent être de nature administrative, technique,
managériale ou juridique
NOTE 1 Dans le domaine de la sécurité de l'information, les mesures de sécurité comprennent tous les processus,
politiques, procédures, lignes directrices, pratiques ou organisations, qui peuvent être de nature administrative, technique,
managériale ou juridique, qui modifient les risques liés à la sécurité de l'information.
NOTE 2 Une mesure de sécurité peut ne pas aboutir à la modification voulue ou supposée.
NOTE 3 Mesure de sécurité est également synonyme de protection ou de contre-mesure.
2.17
objectif de sécurité
déclaration décrivant ce qui doit être atteint comme résultat de la mise en œuvre des mesures de
sécurité (2.16)
2.18
action corrective
action visant à éliminer la cause d'une non-conformité (2.48) ou d'une autre situation indésirable détectée
[ISO 9000:2005]
© ISO/CEI 2012 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
ISO/CEI 27000:2012(F)
2.19
données
ensemble des valeurs attribuées aux mesures élémentaires (2.11), aux mesures dérivées (2.21) et/ou aux
indicateurs (2.27)
[ISO/CEI 15939:2007]
NOTE Cette définition s'applique uniquement dans le contexte de l'ISO/CEI 27004:2009.
2.20
critères de décision
seuils, cibles ou modèles utilisés pour déterminer la nécessité d'une action ou d'un complément d'enquête, ou
pour décrire le niveau de confiance dans un résultat donné
[ISO/CEI 15939:2007]
2.21
mesure dérivée
mesure (2.43) définie en fonction d'au moins deux mesures élémentaires (2.11)
[ISO/CEI 15939:2007]
2.22
efficacité
niveau de réalisation des activités planifiées et d'obtention des résultats escomptés
[ISO 9000:2005]
2.23
efficience
rapport entre le résultat obtenu et les ressources utilisées
[ISO 9000:2005]
2.24
événement
occurrence ou changement d'un ensemble particulier de circonstances
[Guide ISO 73:2009]
NOTE 1 Un événement peut être unique ou se reproduire et peut avoir plusieurs causes.
NOTE 2 Un événement peut consister en quelque chose qui ne se produit pas.
NOTE 3 Un événement peut parfois être qualifié « d'incident » ou « d'accident ».
2.25
contexte externe
environnement externe dans lequel l'organisation cherche à atteindre ses objectifs
[Guide ISO 73:2009]
NOTE Le contexte externe peut inclure :
⎯ l'environnement culturel, social, politique, légal, réglementaire, financier, technologique, économique, naturel et
concurrentiel, au niveau international, national, régional ou local,
⎯ les facteurs et tendances ayant un impact déterminant sur les objectifs de l'organisation, et
⎯ les relations avec les parties prenantes externes, leurs perceptions et leurs valeurs.
4 © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/CEI 27000:2012(F)
2.26
ligne directrice
description clarifiant ce qu'il convient de réaliser et par quels moyens, en vue d'atteindre les objectifs fixés par
la politique (2.51) de l'organisation
2.27
indicateur
mesure (2.43) qui fournit une estimation ou une évaluation d'attributs (2.6) spécifiés à partir d'un modèle
analytique (2.3) concernant des besoins d'information (2.28) définis
2.28
besoin d'information
information nécessaire pour gérer les objectifs, les risques et les problèmes
[ISO/CEI 15939:2007]
2.29
moyens de traitement de l'information
tout système, service ou infrastructure de traitement de l'information, ou locaux les abritant
2.30
sécurité de l'information
protection de la confidentialité (2.13), de l'intégrité (2.36) et de la disponibilité (2.10) de l'information
NOTE En outre, d'autres propriétés, telles que l'authenticité (2.9), l'imputabilité (2.2), la non-répudiation (2.49) et
la fiabilité (2.56), peuvent également être concernées.
2.31
événement lié à la sécurité de l'information
occurrence identifiée de l'état d'un système, d'un service ou d'un réseau indiquant une faille possible dans la
politique de sécurité de l'information ou un échec des protections ou encore une situation inconnue jusqu'alors
et pouvant relever de la sécurité
2.32
incident lié à la sécurité de l'information
un ou plusieurs événements liés à la sécurité de l'information (2.31) indésirables ou inattendus présentant
une probabilité forte de compromettre les opérations liées à l'activité de l'organisation et de menacer la
sécurité de l'information (2.30)
2.33
gestion des incidents liés à la sécurité de l'information
processus (2.54) pour détecter, rapporter, apprécier, intervenir, résoudre et tirer les enseignements des
incidents liés à la sécurité de l'information (2.32)
2.34
système de management de la sécurité de l'information
SMSI
partie du système de management global (2.42), basée sur une approche du risque lié à l'activité, visant à
établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de
l'information (2.30)
NOTE Le système de management inclut l'organisation, les politiques, les activités de planification, les
responsabilités, les pratiques, les procédures, les processus et les ressources.
2.35
système d'information
application, service, actif informationnel ou toute autre composante permettant la prise en charge de
l'information
© ISO/CEI 2012 – Tous droits réservés 5
---------------------- Page: 10 ----------------------
ISO/CEI 27000:2012(F)
2.36
intégrité
propriété de protection de l'exactitude et de la complétude des actifs (2.4)
2.37
contexte interne
environnement interne dans lequel l'organisation cherche à atteindre ses objectifs
[Guide ISO 73:2009]
NOTE Le contexte interne peut inclure :
⎯ la gouvernance, l'organisation, les rôles et les responsabilités,
⎯ les politiques, les objectifs et les stratégies mises en place pour atteindre ces derniers,
⎯ les capacités, en termes de ressources et de connaissances (par exemple, capital, temps, personnel,
processus, systèmes et technologies),
⎯ les systèmes d'information, les flux d'information et les processus de prise de décision (à la fois formels et
informels),
⎯ les relations avec les parties prenantes internes, leurs perceptions et leurs valeurs,
⎯ la culture de l'organisation,
⎯ les normes, lignes directrices et modèles adoptés par l'organisation, et
⎯ la forme et l'étendue des relations contractuelles.
2.38
projet SMSI
activités structurées entreprises par une organisation pour déployer un SMSI (2.34)
2.39
niveau de risque
importance d'un risque (2.61) exprimée en termes de combinaison des conséquences (2.15) et de leur
vraisemblance (2.40)
[Guide ISO 73:2009]
2.40
vraisemblance
possibilité que quelque chose se produise
[Guide ISO 73:2009]
2.41
management
activités coordonnées visant à diriger et contrôler une organisation
[ISO 9000:2005]
2.42
système de management
cadre de référence des lignes directrices (2.26), politiques (2.51), procédures (2.53), processus (2.54) et
ressources associées visant à assurer la réalisation des objectifs d'une organisation
2.43
mesure
variable à laquelle on attribue une valeur correspondant au résultat du mesurage (2.44)
[ISO/CEI 15939:2007]
6 © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO/CEI 27000:2012(F)
NOTE Le terme « mesures » est utilisé pour désigner collectivement les mesures élémentaires, les mesures
dérivées et les indicateurs.
2.44
mesurage
processus d'obtention d'information relative à l'efficacité (2.22) d'un SMSI (2.34) et de mesures de
sécurité (2.16), à l'aide d'une méthode de mesurage (2.46), d'une fonction de mesurage (2.45), d'un
modèle analytique (2.3) et de critères de décision (2.20)
2.45
fonction de mesurage
algorithme ou calcul utilisé pour combiner au moins deux mesures élémentaires (2.11)
[ISO/CEI 15939:2007]
2.46
méthode de mesurage
suite logique d'opérations décrites de manière générique qui permettent de quantifier un attribut (2.6) selon
une échelle (2.72) spécifiée
[ISO/CEI 15939:2007]
NOTE Le type de méthode de mesurage employé dépend de la nature des opérations utilisées pour quantifier un
attribut. On peut en distinguer deux :
⎯ le type subjectif : quantification faisant appel au jugement humain ;
⎯ le type objectif : quantification fondée sur des règles numériques.
2.47
résultats de mesurage
un ou plusieurs indicateurs (2.27), et les interprétations associées, répondant à un besoin
d'information (2.28)
2.48
non-conformité
non-satisfaction d'une exigence
[ISO 9000:2005]
2.49
non-répudiation
capacité à prouver l'occurrence d'un événement ou d'une action donné(e) et des entités qui en sont à l'origine
2.50
objet
élément caractérisé par le mesurage (2.44) de ses attributs (2.6)
2.51
politique
orientations et intentions globales d'une organisation telles qu'elles sont exprimées formellement par le
management (2.41)
2.52
action préventive
action visant à éliminer la cause d'une non-conformité (2.48) potentielle ou d'une autre situation potentielle
indésirable
[ISO 9000:2005]
© ISO/CEI 2012 – Tous droits réservés 7
---------------------- Page: 12 ----------------------
ISO/CEI 27000:2012(F)
2.53
procédure
manière spécifiée d'effectuer une activité ou un processus (2.54)
[ISO 9000:2005]
2.54
processus
ensemble d'activités corrélées ou interactives qui transforme des éléments d'entrée en éléments de sortie
[ISO 9000:2005]
2.55
enregistrement
document faisant état de résultats obtenus ou apportant la preuve de la réalisation d'une activité
[ISO 9000:2005]
2.56
fiabilité
propriété relative à un comportement et des résultats prévus et cohérents
2.57
risque résiduel
risque (2.61) subsistant après le traitement des risques (2.71)
NOTE 1 Un risque résiduel peut inclure un risque non identifié.
NOTE 2 Un risque résiduel peut également être appelé « risque pris ».
2.58
revue
activité entreprise afin de déterminer l'adaptation, l'adéquation et l'efficacité (2.22) de l'objet étudié pour
atteindre les objectifs établis
[ISO 9000:2005]
2.59
objet de revue
élément spécifique soumis à la revue
2.60
objectif de revue
déclaration décrivant ce qui doit être atteint comme résultat d'une revue
2.61
risque
effet de l'incertitude sur la réalisation des objectifs
[Guide ISO 73:2009]
NOTE 1 Un effet est un écart, positif et/ou négatif, par rapport à une attente.
NOTE 2 Les objectifs peuvent avoir différents aspects (par exemple, buts financiers, de santé et de sécurité, de
sécurité de l'information ou environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d'un
projet, d'un produit, d'un processus ou d'une organisation toute entière).
NOTE 3 Un risque est souvent caractérisé en référence à des événements (2.24) et des conséquences (2.15)
potentiels ou à une combinaison des deux.
8 © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 13 ----------------------
ISO/CEI 27000:2012(F)
NOTE 4 Un risque lié à la sécurité de l'information est souvent exprimé en termes de combinaison des conséquences
d'un événement lié à la sécurité de l'information et de sa vraisemblance (2.40).
NOTE 5 L'incertitude est l'état, même partiel, de défaut d'information concernant la compréhension ou la connaissance
d'un événement, de ses conséquences ou de sa vraisemblance.
NOTE 6 Le risque lié à la sécurité de l'information est associé à la possibilité que des menaces exploitent les
vulnérabilités d'un actif ou d'un groupe d'actifs informationnels et nuisent donc à une organisation.
2.62
acceptation des risques
décision d'accepter un risque (2.61)
2.63
analyse des risques
processus mis en œuvre pour comprendre la nature d'un risque (2.61) et pour déterminer le niveau de
risque (2.39)
[Guide ISO 73:2009]
NOTE 1 L'analyse des risques fournit la base de l'évaluation des risques et des décisions relatives au traitement des
risques.
NOTE 2 L'analyse des risques inclut l'estimation des risques.
2.64
appréciation des risques
ensemble du processus (2.54) d'identification des risques (2.68), d'analyse des risques (2.63) et
d'évaluation des risques (2.67)
[Guide ISO 73:2009]
2.65
communication et concertation relatives aux risques
processus itératifs et continus mis en œuvre par une organisation afin de fournir, partager ou obtenir des
informations et d'engager un dialogue avec les parties prenantes (2.74) concernant la gestion du
risque (2.61)
[Guide ISO 73:2009]
NOTE 1 Ces informations peuvent concerner l'existence, la nature, la forme, la vraisemblance, l'importance,
l'évaluation, l'acceptabilité et le traitement des risques.
NOTE 2 La concertation est un processus de communication argumentée à double sens entre une organisation et ses
parties prenantes sur une question donnée avant de prendre une décision ou de déterminer une orientation concernant
ladite question. La concertation est :
⎯ un processus dont l'effet sur une décision s'exerce par l'influence plutôt que par le pouvoir, et
⎯ une contribution à une prise de décision, et non une prise de décision conjointe.
2.66
critères de risque
termes de référence vis-à-vis desquels l'importance d'un risque (2.61) est évaluée
[Guide ISO 73:2009]
NOTE 1 Les critères de risque sont fondés sur les objectifs de l'organisation et sur le contexte externe et interne.
NOTE 2 Les critères de risque peuvent être issus de normes, de lois, de politiques et d'autres exigences.
© ISO/CEI 2012 – Tous droits réservés 9
---------------------- Page: 14 ----------------------
ISO/CEI 27000:2012(F)
2.67
évaluation des risques
processus (2.54) de comparaison des résultats de l'analyse des risques (2.63) avec les critères de
risque (2.66) afin de déterminer si le risque (2.61) et/ou son importance sont acceptables ou tolérables
[Guide ISO 73:2009]
NOTE L'évaluation des risques aide à la prise de décision relative au traitement des risques.
2.68
identification des risques
processus de recherche, de reconnaissance et de description des risques (2.61)
[Guide ISO 73:2009]
NOTE 1 L'identification des risques comprend l'identification des sources de risque, des événements, de leurs causes
et de leurs conséquences potentielles.
NOTE 2 L'identification des risques peut faire appel à des données historiques, des analyses théoriques et des avis
d'experts et autres personnes compétentes, et tenir compte des besoins des parties prenantes.
2.69
management du risque
activités coordonnées visant à diriger et contrôler une organisation vis-à-vis du risque (2.61)
[Guide ISO 73:2009]
2.70
processus de management du risque
application systématique de politiques (2.51), procédures (2.53) et pratiques de management aux activités
de communication, de concertation, d'établissement du contexte, et aux activités d'identification, d'analyse,
d'évaluation, de traitement, de surveillance et de revue des risques (2.61)
[Guide ISO 73:2009]
NOTE L'ISO/CEI 27005 emploie le terme « processus » pour décrire le management du risque dans sa globalité. Les
éléments qui composent le processus de management du risque sont appelés « activités ».
2.71
traitement des risques
processus (2.54) destiné à modifier un risque (2.61)
[Guide ISO 73:2009]
NOTE 1 Le traitement des risques peut inclure :
⎯ un refus du risque en décidant de ne pas démarrer ou poursuivre l'activité porteuse du risque,
⎯ la prise ou l'augmentation d'un risque afin de saisir une opportunité,
⎯ l'élimination de la source de risque,
⎯ une modification de la vraisemblance,
⎯ une modification des conséquences,
⎯ un partage du risque avec une ou plusieurs autres parties (incluant des contrats et un financement du risque), et
⎯ un maintien du risque fondé sur un choix argumenté.
NOTE 2 Les traitements des risques portant sur les conséquences négatives sont parfois appelés « atténuation des
risques », « élimination des risques », « prévention des risques » et « réduction des risques ».
NOTE 3 Le traitement des risques peut créer de nouveaux risques ou modifier des risques existants.
10 © ISO/CEI 2012 – Tous droits réservés
---------------------- Page: 15 ----------------------
ISO/CEI 27000:2012(F)
2.72
échelle
ensemble ordonné de valeurs, continu ou discontinu, ou ensemble de catégories avec lequel l'attribut (2.6)
est mis en correspondance
[ISO/CEI 15939:200
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.