General Information

Abstract

This document gives an overview of the concepts and principles used in the documents related to information security management systems (ISMS), including ISO/IEC 27001. This document is considered to be a horizontal document as it provides an explanation of the concepts and principles that underpin information security and ISMS.

Status
Published
Publication Date
02-Jul-2026
Current Stage
6060 - International Standard published
Start Date
03-Jul-2026
Due Date
03-Feb-2027
Completion Date
03-Jul-2026

Buy Documents

Standard

ISO/IEC 27000:2026 - Information security, cybersecurity and privacy protection — Information security management systems — Overview

Release Date:03-Jul-2026
English language (11 pages)
sale 15% off
Preview
sale 15% off
Preview
Standard

REDLINE ISO/IEC 27000:2026 - Information security, cybersecurity and privacy protection — Information security management systems — Overview

Release Date:03-Jul-2026
English language (11 pages)
sale 15% off
Preview
sale 15% off
Preview
Standard

ISO/IEC 27000:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l'information — Vue d'ensemble

Release Date:03-Jul-2026
French language (12 pages)
sale 15% off
Preview
sale 15% off
Preview
Standard

REDLINE ISO/IEC 27000:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l'information — Vue d'ensemble

Release Date:03-Jul-2026
French language (12 pages)
sale 15% off
Preview
sale 15% off
Preview

Overview

ISO/IEC 27000: Information security, cybersecurity and privacy protection - Information security management systems - Overview is an international standard developed by ISO and IEC. This standard provides a foundational overview of the principles and concepts behind information security management systems (ISMS). As a horizontal document, ISO/IEC 27000 explains the key terms, concepts, and relationships among various ISMS-related standards, with a particular focus on ISO/IEC 27001. The objective is to offer a common framework and language for organizations implementing or improving information security, cybersecurity, and privacy protection practices.

Key Topics

  • Core Concepts of ISMS: Defines the essential elements of information security, including confidentiality, integrity, and availability. These fundamental principles underpin any ISMS, delineating the need to protect information from unauthorized access, alteration, or loss.

  • Risk Management: Explains how risk is the combination of the likelihood and consequence of an event affecting organizational objectives. Managing risk through assessment and treatment is a cornerstone of information security.

  • Risk Treatment and Controls: Discusses selecting, implementing, and maintaining preventive, detective, and corrective controls aligned with an organization’s risk appetite. Controls can be organizational, people-focused, physical, or technical.

  • Process Approach: Emphasizes managing interrelated processes that enable organizations to plan, implement, review, and improve their ISMS systematically.

  • ISMS Scope and Objectives: Outlines the importance of clearly defining the boundaries and applicability of the ISMS to ensure all critical information assets are protected.

  • Stakeholder Engagement: Stresses the significance of considering requirements from customers, regulators, and other interested parties when designing and operating an ISMS.

  • Dynamic Risks: Acknowledges that risks change over time due to evolving threats, technologies, and business processes, making regular review and adaptation essential.

Applications

Organizations of various types and sizes across both public and private sectors use ISO/IEC 27000 as the entry point to the ISO/IEC 27000 family of standards. Practical applications include:

  • Establishing a Common Understanding: Ensuring all stakeholders share a consistent understanding of information security concepts, risks, and the ISMS framework.

  • Supporting ISMS Implementation: Laying the groundwork for organizations adopting ISO/IEC 27001 or any related standards by explaining foundations and key relationships.

  • Risk Mitigation and Compliance: Providing context for complying with legal, regulatory, and contractual requirements related to information security and privacy.

  • Integrating Information Security into Business Processes: Promoting the alignment of information security objectives with broader business targets and operational processes.

  • Continuous Improvement: Facilitating the ongoing enhancement and adaptation of information security processes to respond to new threats and changing conditions.

Related Standards

ISO/IEC 27000 serves as a reference point to the broader ISO/IEC 27000 family. Key related standards include:

  • ISO/IEC 27001: Specifies the requirements for establishing, implementing, maintaining, and continually improving an ISMS.
  • ISO/IEC 27002: Provides guidelines for organizational information security controls.
  • ISO/IEC 27005: Offers guidance on information security risk management.
  • ISO/IEC 27006-1: Details requirements for bodies providing ISMS certification and audit.
  • ISO/IEC 27003, 27004, 27007: Cover ISMS implementation guidance, monitoring and measurement, and ISMS auditing respectively.
  • Sector-specific standards: ISO/IEC 27011 (telecom sector), ISO/IEC 27017 (cloud services), ISO/IEC 27019 (energy utilities).

Conclusion

Adopting ISO/IEC 27000 helps organizations lay a strong foundation for information security management. By standardizing core terminology, principles, and concepts, ISO/IEC 27000 enables a reliable, scalable, and universally understood approach to managing information security, cybersecurity, and privacy protection risks. This standard is essential for those seeking to navigate the ISO/IEC 27000 family or start on the path to robust information security management.

Relations

Effective Date
12-Feb-2026
Effective Date
06-Jun-2022

Buy Documents

Standard

ISO/IEC 27000:2026 - Information security, cybersecurity and privacy protection — Information security management systems — Overview

Release Date:03-Jul-2026
English language (11 pages)
sale 15% off
Preview
sale 15% off
Preview
Standard

REDLINE ISO/IEC 27000:2026 - Information security, cybersecurity and privacy protection — Information security management systems — Overview

Release Date:03-Jul-2026
English language (11 pages)
sale 15% off
Preview
sale 15% off
Preview
Standard

ISO/IEC 27000:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l'information — Vue d'ensemble

Release Date:03-Jul-2026
French language (12 pages)
sale 15% off
Preview
sale 15% off
Preview
Standard

REDLINE ISO/IEC 27000:2026 - Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l'information — Vue d'ensemble

Release Date:03-Jul-2026
French language (12 pages)
sale 15% off
Preview
sale 15% off
Preview

Get Certified

Connect with accredited certification bodies for this standard

BSI Group

BSI (British Standards Institution) is the business standards company that helps organizations make excellence a habit.

UKAS United Kingdom Verified

Bureau Veritas

Bureau Veritas is a world leader in laboratory testing, inspection and certification services.

COFRAC France Verified

DNV

DNV is an independent assurance and risk management provider.

NA Norway Verified

Sponsored listings

Frequently Asked Questions

ISO/IEC 27000:2026 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information security, cybersecurity and privacy protection — Information security management systems — Overview". This standard covers: This document gives an overview of the concepts and principles used in the documents related to information security management systems (ISMS), including ISO/IEC 27001. This document is considered to be a horizontal document as it provides an explanation of the concepts and principles that underpin information security and ISMS.

This document gives an overview of the concepts and principles used in the documents related to information security management systems (ISMS), including ISO/IEC 27001. This document is considered to be a horizontal document as it provides an explanation of the concepts and principles that underpin information security and ISMS.

ISO/IEC 27000:2026 is classified under the following ICS (International Classification for Standards) categories: 01.040.35 - Information technology (Vocabularies); 35.030 - IT Security. The ICS classification helps identify the subject area and facilitates finding related standards.

ISO/IEC 27000:2026 has the following relationships with other standards: It is inter standard links to FprEN ISO/IEC 27000, ISO/IEC 27000:2018. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

ISO/IEC 27000:2026 is available in PDF format for immediate download after purchase. The document can be added to your cart and obtained through the secure checkout process. Digital delivery ensures instant access to the complete standard document.

Standards Content (Sample)


International
Standard
ISO/IEC 27000
Sixth edition
Information security, cybersecurity
2026-07
and privacy protection —
Information security management
systems — Overview
Sécurité de l'information, cybersécurité et protection de
la vie privée — Systèmes de management de la sécurité de
l'information — Vue d'ensemble
Horizontal document
Reference number
© ISO/IEC 2026
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2026 – All rights reserved
ii
Contents Page
Foreword .iv
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Concepts and principles . 2
4.1 Concepts .2
4.1.1 The need for information security .2
4.1.2 Information .3
4.1.3 Information security . .3
4.1.4 Constantly changing risks .3
4.1.5 Risk treatment plan .3
4.1.6 Purpose of an information security management system (ISMS) .4
4.1.7 Importance of an ISMS .4
4.1.8 Process approach .5
4.1.9 Scope .5
4.2 Principles .5
4.2.1 Establishing, implementing, maintaining and improving an ISMS .5
4.2.2 Successfully implementing an ISMS .5
4.2.3 Determining information security requirements .5
4.2.4 Integration into business processes .6
5 Documents related to ISMS including ISO/IEC 27001 . 6
5.1 General .6
5.2 ISO/IEC 27001 (specification of an ISMS) .6
5.3 Candidate necessary information security controls .7
5.3.1 ISO/IEC 27002 (information security controls) .7
5.3.2 ISO/IEC 27010 (inter-sector and inter-organizational communications) .7
5.3.3 ISO/IEC 27011 (telecommunications organizations) .7
5.3.4 ISO/IEC 27017 (cloud services) .7
5.3.5 ISO/IEC 27019 (energy utility industry) .7
5.4 Fulfilment of ISMS requirements .7
5.4.1 ISO/IEC 27003 (ISMS guidance) .7
5.4.2 ISO/IEC 27004 (monitoring, measurement, analysis and evaluation) .7
5.4.3 ISO/IEC 27005 (guidance on managing information security risks) .7
5.4.4 ISO/IEC 27007 (ISMS auditing) .7
5.5 Use of ISMS .8
5.5.1 ISO/IEC 27013 (integrated implementation of ISO/IEC 27001 and ISO/IEC
20000-1) .8
5.5.2 ISO/IEC 27014 (governance of information security) .8
5.5.3 ISO/IEC TR 27016 (organizational economics) .8
5.6 Control assessment, attributes, processes and competence .8
5.6.1 ISO/IEC TS 27008 (assessment of information security controls) .8
5.6.2 ISO/IEC 27021 (competence requirements for ISMS professionals) .8
5.6.3 ISO/IEC TS 27022 (ISMS processes) .8
5.6.4 ISO/IEC 27028 (ISO/IEC 27002 attributes) .8
5.7 ISO/IEC 27006-1 (Conformity assessment) .8
5.8 Relationships between the standards .8
Bibliography .10

© ISO/IEC 2026 – All rights reserved
iii
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection, in collaboration with the
European Committee for Standardization (CEN) Technical Committee CEN/CLC/JTC 13, Cybersecurity and
data protection, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This sixth edition cancels and replaces the fifth edition (ISO/IEC 27000:2018), which has been technically
revised.
The main changes are as follows:
— the title has been modified;
— the structure of the document has been changed to stress its primary role, which is to provide an
overview of, and explain the relationships between, documents related to ISMS (information security
management systems) including ISO/IEC 27001;
— text presenting the concepts and principles of information security and information security management
systems has been added;
— Clause 3 has been modified to only contain definitions for those terms used in presenting the concepts
and principles described in this document;
— it is no longer a terminology document.
This document has been given the status of a horizontal document in accordance with the ISO/IEC Directives,
Part 1.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.

© ISO/IEC 2026 – All rights reserved
iv
© ISO/IEC 2026 – All rights reserved
v
Introduction
This document explains the concepts and principles that underpin information security and information
security management systems. It provides an overview of all documents related to ISMS (information
security management systems) including ISO/IEC 27001 and explains the relationship between them.

© ISO/IEC 2026 – All rights reserved
vi
International Standard ISO/IEC 27000:2026(en)
Information security, cybersecurity and privacy protection —
Information security management systems — Overview
1 Scope
This document gives an overview of the concepts and principles used in the documents related to information
security management systems (ISMS), including ISO/IEC 27001.
This document is considered to be a horizontal document as it provides an explanation of the concepts and
principles that underpin information security and ISMS.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
information security
preservation of confidentiality (3.2), integrity (3.3) and availability (3.4) of information
3.2
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or
processes
3.3
integrity
property of accuracy and completeness
3.4
availability
property of being accessible and usable on demand by an authorized entity
3.5
event
occurrence or change of a particular set of circumstances
[SOURCE: ISO/IEC 27005:2022, 3.1.11, modified — The two notes to entry have been omitted.]
3.6
likelihood
chance of something happening
[SOURCE: ISO/IEC 27005:2022, 3.1.13, modified — The two notes to entry have been omitted.]

© ISO/IEC 2026 – All rights reserved
3.7
consequence
outcome of an event (3.5) affecting objectives
[SOURCE: ISO/IEC 27005:2022, 3.1.14, modified — The three notes to entry have been omitted.]
3.8
risk
effect of uncertainty on objectives
[SOURCE: ISO/IEC 27005:2022, 3.1.3, modified — The seven notes to entry have been omitted.]
3.9
risk treatment
process to modify risk (3.8)
3.10
control
measure that maintains and/or modifies risk (3.8)
[SOURCE: ISO/IEC 27002:2022, 3.1.8, modified — The two notes to entry have been omitted.]
3.11
specified requirement
need or expectation that is stated
[SOURCE: ISO/IEC 17000:2020, 4.1, modified — The four notes to entry have been omitted.]
3.12
conformity assessment
demonstration that specified requirements (3.12) relating to a product, process, system, person or body are
fulfilled
[SOURCE: ISO/IEC 17000:2020, 5.1, modified — The two notes to entry have been omitted.]
4 Concepts and principles
4.1 Concepts
4.1.1 The need for information security
Organizations of all types and sizes:
a) collect, process, store, transmit and delete information;
b) recognize that some information (and the associated information and communications technology,
software, processes and people) can help the organization to achieve its objectives, and can therefore be
regarded as an asset;
c) appreciate that some of this information belongs to other organizations (e.g. customers) and that they
should manage that information in accordance with the agreed requirements;
d) realize that the organization can suffer if information is disclosed, lacks or loses integrity or is not
available when it is required.
Confidentiality, integrity and availability of information are important properties of value to organizations.
The preservation of these properties is referred to as information security.
In this modern interconnected world, information and related processes, systems, and networks can
constitute critical business assets. Organizations and their information systems and networks face
information security threats from a wide range of sources, including human errors, computer-assisted

© ISO/IEC 2026 – All rights reserved
fraud, theft, espionage, sabotage, vandalism, fire, flood and climate change. Damage to information systems
and networks caused by malicious code, computer hacking and denial of service attacks have become more
common, more ambitious and increasingly more sophisticated. The extent to which such events should
worry an organization depends on the likelihood of the occurrence of the event and the severity of the
consequences. The combination of likelihood and consequence is referred to as risk.
If the risk is unacceptable to the organization, it must be “treated”. Risk treatment is the process whereby
risks are modified, often through the implementation of information security controls. Ideally, the process
of treatment continues until the risk becomes acceptable to the organization.
Risks associated with an organization’s information assets should be addressed. Achieving information
security requires the management of risk, and encompasses risks from physical, human and technology
related threats associated with all forms of information within, used by or looked after by the organization.
4.1.2 Information
Information is an asset that, like other important business assets, is essential to an organization’s business
and, consequently, should be suitably protected. It does not matter whether the information is owned by the
organization or is entrusted to its care by a third party, e.g. a customer.
Information can be in many forms, including data files stored on electronic or optical media or on paper, as
well as knowledge. Information can be transmitted by various means including courier, electronic or verbal
communication. Whatever form information takes, or how it is transmitted, it always needs appropriate
protection.
In m
...


International
Standard
Redline version
compares Sixth edition
to Fifth edition
ISO/IEC 27000
Information security, cybersecurity
and privacy protection —
Information security management
systems — Overview
Sécurité de l'information, cybersécurité et protection de
la vie privée — Systèmes de management de la sécurité de
l'information — Vue d'ensemble
Reference number
ISO/IEC 27000:redline:2026(en) © ISO/IEC 2026

ISO/IEC 27000:redline:2026(en)
INFORMATION ON THIS REDLINE VERSION
This document is a Redline version published for information purposes. It is intended to
assist users in identifying the changes introduced in comparison with the previous edition
of the standard.
Additions are highlighted in green. Deletions are indicated by red strikethrough.
For graphics, additions are identified by a green frame, and deletions are indicated by a red
cross.
Clause and heading numbers that include modifications are highlighted in yellow in the
Table of Contents.
This Redline version is not an official ISO Standard and does not replace the current
published edition. Only the current edition of the International Standard is to be
regarded as the official document.
Markup used in this Redline version
Text example 1 added text (green highlight)
Text example 2 deleted text (red strike through)
added graphics (green frame)
deleted graphics (red cross)
1.x . modified clause and heading numbers (yellow in the Table of Contents)
© ISO/IEC 2026
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2026 – All rights reserved
ii
ISO/IEC 27000:redline:2026(en)
Contents Page
Foreword .vi
Introduction .viii
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Information security management systems .12
4.1 General . 12
4 Concepts and principles .12
4.2 What is an ISMS? . 12
4.1 Concepts . 12
4.2.1 Overview and principles . 12
4.1.1 The need for information security . 13
4.2.2 4.1.2 Information . 13
4.2.3 4.1.3 Information security .14
4.2.4 Management .14
4.1.4 Constantly changing risks . . .14
4.1.5 Risk treatment plan .14
4.2.5 Management system . 15
4.1.6 Purpose of an information security management system (ISMS) . 15
4.1.7 Importance of an ISMS . 15
4.1.8 Process approach .16
4.1.9 Scope .16
4.3 Process approach .16
4.4 Why an ISMS is important . .16
4.5 Establishing, monitoring, maintaining and improving an ISMS .17
4.2 Principles .17
4.5.1 Overview .17
4.2.1 Establishing, implementing, maintaining and improving an ISMS .17
4.2.2 Successfully implementing an ISMS. 18
4.5.2 4.2.3 Identifying Determining information security requirements . 18
4.5.3 Assessing information security risks . 18
4.5.4 Treating information security risks .19
4.5.5 Selecting and implementing controls .19
4.2.4 Integration into business processes . 20
4.5.6 Monitor, maintain and improve the effectiveness of the ISMS . 20
4.5.7 Continual improvement . 20

© ISO/IEC 2026 – All rights reserved
iii
ISO/IEC 27000:redline:2026(en)
4.6 ISMS critical success factors . 21
4.7 Benefits of the ISMS family of standards . 21
5 ISMS family of standards . 22
5.1 General information . 22
5.2 Standard describing an overview and terminology: ISO/IEC 27000
(this document) . 22
5.3 Standards specifying requirements . 23
5.3.1 ISO/IEC 27001. 23
5.3.2 ISO/IEC 27006 . 23
5.3.3 ISO/IEC 27009 . 23
5 Documents related to ISMS including ISO/IEC 27001 . 26
5.4 Standards describing general guidelines . 24
5.4.1 ISO/IEC 27002 . 24
5.4.2 ISO/IEC 27003 . 24
5.4.3 ISO/IEC 27004 . 24
5.4.4 ISO/IEC 27005 . 24
5.4.5 ISO/IEC 27007 . 24
5.4.6 ISO/IEC TR 27008 . 25
5.4.7 ISO/IEC 27013 . 25
5.4.8 ISO/IEC 27014 . 25
5.4.9 ISO/IEC TR 27016 . 25
5.4.10 ISO/IEC 27021 . 26
5.1 General . 26
5.2 ISO/IEC 27001 (specification of an ISMS) . 27
5.5 Standards describing sector-specific guidelines . 27
5.3 Candidate necessary information security controls . 27
5.3.1 ISO/IEC 27002 (information security controls) . 27
5.5.1 5.3.2 ISO/IEC 27010 (inter-sector and inter-organizational communications) . 27
5.5.2 5.3.3 ISO/IEC 27011 (telecommunications organizations) . 27
5.5.3 5.3.4 ISO/IEC 27017 (cloud services) . 28
5.5.4 ISO/IEC 27018 . 28
5.5.5 ISO/IEC 27019 . 28
5.5.6 ISO 27799 . 29
5.3.5 ISO/IEC 27019 (energy utility industry). 29
5.4 Fulfilment of ISMS requirements . 29
5.4.1 ISO/IEC 27003 (ISMS guidance) . 29
5.4.2 ISO/IEC 27004 (monitoring, measurement, analysis and evaluation). 29
5.4.3 ISO/IEC 27005 (guidance on managing information security risks) . 29
5.4.4 ISO/IEC 27007 (ISMS auditing) . 30

© ISO/IEC 2026 – All rights reserved
iv
ISO/IEC 27000:redline:2026(en)
5.5 Use of ISMS . 30
5.5.1 ISO/IEC 27013 (integrated implementation of ISO/IEC 27001 and
ISO/IEC 20000-1) . . 30
5.5.2 ISO/IEC 27014 (governance of information security) . 30
5.5.3 ISO/IEC TR 27016 (organizational economics) . 30
5.6 Control assessment, attributes, processes and competence . 30
5.6.1 ISO/IEC TS 27008 (assessment of information security controls) . 30
5.6.2 ISO/IEC 27021 (competence requirements for ISMS professionals) . 30
5.6.3 ISO/IEC TS 27022 (ISMS processes) . 30
5.6.4 ISO/IEC 27028 (ISO/IEC 27002 attributes) . 30
5.7 ISO/IEC 27006-1 (Conformity assessment) . 30
5.8 Relationships between the standards . 31
Bibliography .32

© ISO/IEC 2026 – All rights reserved
v
ISO/IEC 27000:redline:2026(en)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out through
ISO technical committees. Each member body interested in a subject for which a technical committee has
been established has the right to be represented on that committee. Internationaland IEC (the International
Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies
that are members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. ISO collaborates
closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical
standardization.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of
ISO documentsdocument should be noted. This document was drafted in accordance with the editorial rules
of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent
rights identified during the development of the document will be in the Introduction and/or on the ISO list of
patent declarations received (see www.iso.org/patents).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation onof the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the
following URL: www.iso.org/iso/foreword.htmlwww.iso.org/iso/foreword.html. In the IEC, see
www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1ISO/IEC JTC 1, Information
technology, Subcommittee SC 27, IT Security techniquesInformation security, cybersecurity and privacy
protection, in collaboration with the European Committee for Standardization (CEN) Technical Committee
CEN/CLC/JTC 13, Cybersecurity and data protection, in accordance with the Agreement on technical
cooperation between ISO and CEN (Vienna Agreement).
This fifthsixth edition cancels and replaces the fourthfifth edition (ISO/IEC 27000:20162018), which has
been technically revised. The main changes compared to the previous edition are as follows:
The main changes are as follows:
— the Introductiontitle has been rewordedmodified;
— some terms and definitions have been removed;
— the structure of the document has been changed to stress its primary role, which is to provide an
overview of, and explain the relationships between, documents related to ISMS (information security
management systems) including ISO/IEC 27001;

© ISO/IEC 2026 – All rights reserved
vi
ISO/IEC 27000:redline:2026(en)
— text presenting the concepts and principles of information security and information security management
systems has been added;
— Clause 3 has been aligned on the high-level structure for MSSmodified to only contain definitions for
those terms used in presenting the concepts and principles described in this document;
— Clause 5 has been updated to reflect the changes in the standards concerned;
— Annexes A and B have been deleted.
— it is no longer a terminology document.
This document has been given the status of a horizontal document in accordance with the ISO/IEC Directives,
Part 1.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.

© ISO/IEC 2026 – All rights reserved
vii
ISO/IEC 27000:redline:2026(en)
Introduction
0.1  Overview
International Standards for management systems provide a model to follow in setting up and operating a
management system. This model incorporates the features on which experts in the field have reached a
consensus as being the international state of the art. ISO/IEC JTC 1/SC 27 maintains an expert committee
dedicated to the development of international management systems standards for information security,
otherwise known as the Information Security Management system (ISMS) family of standards.
Through the use of the ISMS family of standards, organizations can develop and implement a framework for
managing the security of their information assets, including financial information, intellectual property, and
employee details, or information entrusted to them by customers or third parties. These standards can also
be used to prepare for an independent assessment of their ISMS applied to the protection of information.
0.2  Purpose of this document
The ISMS family of standards includes standards that:
a) define requirements for an ISMS and for those certifying such systems;
b) provide direct support, detailed guidance and/or interpretation for the overall process to establish,
implement, maintain, and improve an ISMS;
c) address sector-specific guidelines for ISMS; and
d) address conformity assessment for ISMS.
0.3  Content of this document
In this document, the following verbal forms are used:
— “shall” indicates a requirement;
— “should” indicates a recommendation;
— “may” indicates a permission;
— “can” indicates a possibility or a capability.
Information marked as "NOTE" is for guidance in understanding or clarifying the associated requirement.
“Notes to entry” used in Clause 3 provide additional information that supplements the terminological data
and can contain provisions relating to the use of a term.
This document explains the concepts and principles that underpin information security and information
security management systems. It provides an overview of all documents related to ISMS (information
security management systems) including ISO/IEC 27001 and explains the relationship between them.

© ISO/IEC 2026 – All rights reserved
viii
ISO/IEC 27000:redline:2026(en)
Information security, cybersecurity and privacy protection —
Information security management systems — Overview
1 Scope
This document provides the overview of information security management systems (ISMS). It also provides
terms and definitions commonly used in the ISMS family of standards. This document is applicable to all types
and sizes of organization (e.g. commercial enterprises, government agencies, not-for-profit organizations).
The terms and definitions provided in this document
— cover commonly used terms and definitions in the ISMS family of standards;
— do not cover all terms and definitions applied within the ISMS family of standards; and
— do not limit the ISMS family of standards in defining new terms for use.
This document gives an overview of the concepts and principles used in the documents related to information
security management systems (ISMS), including ISO/IEC 27001.
This document is considered to be a horizontal document as it provides an explanation of the concepts and
principles that underpin information security and ISMS.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminologicalterminology databases for use in standardization at the following
addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
access control
means to ensure that access to assets is authorized and restricted based on business and security
requirements (3.56)
3.2
attack
attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use of
an asset
© ISO/IEC 2026 – All rights reserved
ISO/IEC 27000:redline:2026(en)
3.3
3.1
audit
information security
systematic, independent and documented process (3.54) for obtaining audit evidence and evaluating it
objectively to determine the extent to which the audit criteria are fulfilled
Note 1 to entry: An audit can be an internal audit (first party) or an external audit (second party or third party), and it
can be a combined audit (combining two or more disciplines).
Note 2 to entry: An internal audit is conducted by the organization itself, or by an external party on its behalf.
Note 3 to entry: “Audit evidence” and “audit criteria” are defined in ISO 19011.
preservation of confidentiality (3.2), integrity (3.3) and availability (3.4) of information
3.4
audit scope
extent and boundaries of an audit (3.3)
[SOURCE: ISO 19011:2011, 3.14, modified — Note 1 to entry has been deleted.]
3.5
authentication
provision of assurance that a claimed characteristic of an entity is correct
3.6
authenticity
property that an entity is what it claims to be
3.7
availability
property of being accessible and usable on demand by an authorized entity
3.8
base measure
measure (3.42) defined in terms of an attribute and the method for quantifying it
Note 1 to entry: A base measure is functionally independent of other measures.
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.3, modified — Note 2 to entry has been deleted.]
3.9
competence
ability to apply knowledge and skills to achieve intended results
3.10
3.2
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or
processes (3.54) processes
3.11
3.3
conformity
integrity
fulfilment of a requirement (3.56)
property of accuracy and completeness

© ISO/IEC 2026 – All rights reserved
ISO/IEC 27000:redline:2026(en)
3.12
consequence
outcome of an event (3.21) affecting objectives (3.49)
Note 1 to entry: An event can lead to a range of consequences.
Note 2 to entry: A consequence can be certain or uncertain and, in the context of information security, is usually
negative.
Note 3 to entry: Consequences can be expressed qualitatively or quantitatively.
Note 4 to entry: Initial consequences can escalate through knock-on effects.
[SOURCE: ISO Guide 73:2009, 3.6.1.3, modified — Note 2 to entry has been changed after “and”.]
3.13
continual improvement
recurring activity to enhance performance (3.52)
3.14
control
measure that is modifying risk (3.61)
Note 1 to entry: Controls include any process (3.54), policy (3.53), device, practice, or other actions which modify risk
(3.61).
Note 2 to entry: It is possible that controls not always exert the intended or assumed modifying effect.
[SOURCE: ISO Guide 73:2009, 3.8.1.1 — Note 2 to entry has been changed.]
3.15
control objective
statement describing what is to be achieved as a result of implementing controls (3.14)
3.16
correction
action to eliminate a detected nonconformity (3.47)
3.17
corrective action
action to eliminate the cause of a nonconformity (3.47) and to prevent recurrence
3.18
derived measure
measure (3.42) that is defined as a function of two or more values of base measures (3.8)
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.8, modified — Note 1 to entry has been deleted.]
3.19
3.4
documented information
availability
information required to be controlled and maintained by an organization (3.50) and the medium on which it
is contained
Note 1 to entry: Documented information can be in any format and media and from any source.
Note 2 to entry: Documented information can refer to
— the management system (3.41), including related processes (3.54);
— information created in order for the organization (3.50) to operate (documentation);
— evidence of results achieved (records).

© ISO/IEC 2026 – All rights reserved
ISO/IEC 27000:redline:2026(en)
property of being accessible and usable on demand by an authorized entity
3.20
effectiveness
extent to which planned activities are realized and planned results achieved
3.21
3.5
event
occurrence or change of a particular set of circumstances
Note 1 to entry: An event can be one or more occurrences, and can have several causes.
Note 2 to entry: An event can consist of something not happening.
Note 3 to entry: An event can sometimes be referred to as an “incident” or “accident”.
[SOURCE: ISO Guide 73:2009, 3.5.1.3 /IEC 27005:2022, 3.1.11, modified — Note 4 The two notes to entry has
been deleted have been omitted.]
3.22
external context
external environment in which the organization seeks to achieve its objectives (3.49)
Note 1 to entry: External context can include the following:
— the cultural, social, political, legal, regulatory, financial, technological, economic, natural and competitive
environment, whether international, national, regional or local;
— key drivers and trends having impact on the objectives of the organization (3.50);
— relationships with, and perceptions and values of, external stakeholders (3.37).
[SOURCE: ISO Guide 73:2009, 3.3.1.1]
3.23
governance of information security
system by which an organization’s (3.50) information security (3.28) activities are directed and controlled
3.24
governing body
person or group of people who are accountable for the performance (3.52) and conformity of the organization
(3.50)
Note 1 to entry: The governing body can, in some jurisdictions, be a board of directors.
3.25
indicator
measure (3.42) that provides an estimate or evaluation
3.26
information need
insight necessary to manage objectives (3.49), goals, risks and problems
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.12]
3.27
information processing facilities
any information processing system, service or infrastructure, or the physical location housing it

© ISO/IEC 2026 – All rights reserved
ISO/IEC 27000:redline:2026(en)
3.28
information security
preservation of confidentiality (3.10), integrity (3.36) and availability (3.7) of information
Note 1 to entry: In addition, other properties, such as authenticity (3.6), accountability, non-repudiation (3.48), and
reliability (3.55) can also be involved.
3.29
information security continuity
processes (3.54) and procedures for ensuring continued information security (3.28) operations
3.30
information security event
identified occurrence of a system, service or network state indicating a possible breach of information
security (3.28) policy (3.53) or failure of controls (3.14), or a previously unknown situation that can be
security relevant
3.31
information security incident
single or a series of unwanted or unexpected information security events (3.30) that have a significant
probability of compromising business operations and threatening information security (3.28)
3.32
information security incident management
set of processes (3.54) for detecting, reporting, assessing, responding to, dealing with, and learning from
information security incidents (3.31)
3.33
information security management system (ISMS) professional
person who establishes, implements, maintains and continuously improves one or more information security
management system processes (3.54)
3.34
information sharing community
group of organizations (3.50) that agree to share information
Note 1 to entry: An organization can be an individual.
3.35
information system
set of applications, services, information technology assets, or other information-handling components
3.36
integrity
property of accuracy and completeness
3.37
interested party (preferred term)
stakeholder (admitted term)
person or organization (3.50) that can affect, be affected by, or perceive itself to be affected by a decision or
activity
3.38
internal context
internal environment in which the organization (3.50) seeks to achieve its objectives
Note 1 to entry: Internal context can include:
— governance, organizational structure, roles and accountabilities;
— policies (3.53), objectives (3.49), and the strategies that are in place to achieve them;

© ISO/IEC 2026 – All rights reserved
ISO/IEC 27000:redline:2026(en)
— the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes (3.54),
systems and technologies);
— information systems (3.35), information flows and decision-making processes (both formal and informal);
— relationships with, and perceptions and values of, internal stakeholders (3.37);
— the organization's culture;
— standards, guidelines and models adopted by the organization;
— form and extent of contractual relationships.
[SOURCE: ISO Guide 73:2009, 3.3.1.2]
3.39
level of risk
magnitude of a risk (3.61) expressed in terms of the combination of consequences (3.12) and their likelihood
(3.40)
[SOURCE: ISO Guide 73:2009, 3.6.1.8, modified — “or combination of risks” has been deleted in the definition.]
3.40
3.6
likelihood
chance of something happening
[SOURCE: ISO Guide 73:2009, 3.6.1.1 /IEC 27005:2022, 3.1.13, modified — Notes 1 and 2 The two notes to
entry have been deleted omitted.]
3.41
3.7
management system
consequence
set of interrelated or interacting elements of an organization (3.50) to establish policies (3.53) and objectives
(3.49) and processes (3.54) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines.
Note 2 to entry: The system elements include the organization’s structure, roles and responsibilities, planning and
operation.
Note 3 to entry: The scope of a management system may include the whole of the organization, specific and identified
functions of the organization, specific and identified sections of the organization, or one or more functions across a
group of organizations.
outcome of an event (3.5) affecting objectives
[SOURCE: ISO/IEC 27005:2022, 3.1.14, modified — The three notes to entry have been omitted.]
3.42
3.8
measure
risk
variable to which a value is assigned as the result of measurement (3.43)
effect of uncertainty on objectives
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.15 27005:2022, 3.1.3, modified — Note 2 The seven notes to entry
has been deleted have been omitted.]

© ISO/IEC 2026 – All rights reserved
ISO/IEC 27000:redline:2026(en)
3.43
3.9
measurement
risk treatment
process (3.54) to determine a value
process to modify risk (3.8)
3.44
3.10
measurement function
control
algorithm or calculation performed to combine two or more base measures (3.8)
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.20]
measure that maintains and/or modifies risk (3.8)
[SOURCE: ISO/IEC 27002:2022, 3.1.8, modified — The two notes to entry have been omitted.]
3.45
measurement method
logical sequence of operations, described generically, used in quantifying an attribute with respect to a
specified scale
Note 1 to entry: The type of measurement method depends on the nature of the operations used to quantify an
attribute (3.4). Two types can be distinguished:
— subjective: quantification involving human judgment; and
— objective: quantification based on numerical rules.
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.21, modified — Note 2 to entry has been deleted.]
3.46
monitoring
determining the status of a system, a process (3.54) or an activity
Note 1 to entry: To determine the status, there may be a need to check, supervise or critically observe.
3.47
nonconformity
non-fulfilment of a requirement (3.56)
3.48
non-repudiation
ability to prove the occurrence of a claimed event (3.21) or action and its originating entities
3.49
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical, or operational.
Note 2 to entry: Objectives can relate to different disciplines (such as financial, health and safety, and environmental
goals) and can apply at different levels [such as strategic, organization-wide, project, product and process (3.54)].
Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an operational
criterion, as an information security objective or by the use of other words with similar meaning (e.g. aim, goal, or
target).
Note 4 to entry: In the context of information security management systems, information security objectives are set
by the organization, consistent with the information security policy, to achieve specific results.

© ISO/IEC 2026 – All rights reserved
ISO/IEC 27000:redline:2026(en)
3.50
organization
person or group of people that has its own functions with responsibilities, authorities and relationships to
achieve its objectives (3.49)
Note 1 to entry: The concept of organization includes but is not limited to sole-trader, company, corporation, firm,
enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not,
public or private.
3.51
outsource
make an arrangement where an external organization (3.50) performs part of an organization’s function or
process (3.54)
Note 1 to entry: An external organization is outside the scope of the management system (3.41), although the
outsourced function or process is within the scope.
3.52
performance
measurable result
Note 1 to entry: Performance can relate either to quantitative or qualitative findings.
Note 2 to entry: Performance can relate to the management of activities, processes (3.54), products (including services),
systems or organizations (3.50).
3.53
policy
intentions and direction of an organization (3.50), as formally expressed by its top management (3.75)
3.54
process
set of interrelated or interacting activities which transforms inputs into outputs
3.55
reliability
property of consistent intended behaviour and results
3.56
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization and interested
parties that the need or expectation under consideration is implied.
Note 2 to entry: A specified requirement is one that is stated, for example in documented information.
3.57
residual risk
risk (3.61) remaining after risk treatment (3.72)
Note 1 to entry: Residual risk can contain unidentified risk.
Note 2 to entry: Residual risk can also be referred to as “retained risk”.
3.58
review
activity undertaken to determine the suitability, adequacy and effectiveness (3.20) of the subject matter to
achieve established objectives (3.49)
[SOURCE: ISO Guide 73:2009, 3.8.2.2, modified — Note 1 to entry has been deleted.]

© ISO/IEC 2026 – All rights reserved
ISO/IEC 27000:redline:2026(en)
3.59
review object
specific item being reviewed
3.60
review objective
statement describing what is to be achieved as a result of a review (3.59)
3.61
risk
effect of uncertainty on objectives (3.49)
Note 1 to entry: An effect is a deviation from the expected — positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event, its consequence, or likelihood.
Note 3 to entry: Risk is often characterized by reference to potential “events” (as defined in ISO Guide 73:2009, 3.5.1.3)
and “consequences” (as defined in ISO Guide 73:2009, 3.6.1.3), or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including changes
in circumstances) and the associated “likelihood” (as defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.
Note 5 to entry: In the context of information security management systems, information security risks can be
expressed as effect of uncertainty on information security objectives.
Note 6 to entry: Information security risk is associated with the potential that threats will exploit vulnerabilities of an
information asset or group of information assets and thereby cause harm to an organization.
3.62
risk acceptance
informed decision to take a particular risk (3.61)
Note 1 to entry: Risk acceptance can occur without risk treatment (3.72) or during the process (3.54) of risk treatment.
Note 2 to entry: Accepted risks are subject to monitoring (3.46) and review (3.58).
[SOURCE: ISO Guide 73:2009, 3.7.1.6]
3.63
risk analysis
process (3.54) to comprehend the nature of risk (3.61) and to determine the level of risk (3.39)
Note 1 to entry: Risk analysis provides the basis for risk evaluation (3.67) and decisions about risk treatment (3.72).
Note 2 to entry: Risk analysis includes risk estimation.
[SOURCE: ISO Guide 73:2009, 3.6.1]
3.64
risk assessment
overall process (3.54) of risk identification (3.68), risk analysis (3.63) and risk evaluation (3.67)
[SOURCE: ISO Guide 73:2009, 3.4.1]
3.65
risk communication and consultation
set of continual and iterative processes (3.54) that an organization conducts to provide, share or obtain
information, and to engage in dialogue with stakeholders (3.37) regarding the management of risk (3.61)
Note 1 to entry: The information can relate to the existence, nature, form, likelihood (3.41), significance, evaluation,
acceptability and treatment of risk.

© ISO/IEC 2026 – All rights reserved
ISO/IEC 27000:redline:2026(en)
Note 2 to entry: Consultation is a two-way process of informed communication between an organization (3.50) and its
stakeholders on an issue prior to making a decision or determining a direction on that issue. Consultation is
— a process which impacts on a decision through influence rather than power; and
— an input to decision making, not joint decision making.
3.66
risk criteria
terms of reference against which the significance of risk (3.61) is evaluated
Note 1 to entry: Risk criteria are based on organizational objectives, and external context (3.22) and internal context
(3.38).
Note 2 to entry: Risk criteria can be derived from standards, laws, policies (3.53) and other requirements (3.56).
[SOURCE: ISO Guide 73:2009, 3.3.1.3]
3.67
risk evaluation
process (3.54) of comparing the results of risk analysis (3.63) with risk criteria (3.66) to determine whether
the risk (3.61) and/or its magnitude is acceptable or tolerable
Note 1 to entry: Risk evaluation assists in the decision about risk treatment (3.72).
[SOURCE: ISO Guide 73:2009, 3.7.1]
3.68
risk identification
process (3.54) of finding, recognizing and describing risks (3.61)
Note 1 to entry: Risk identification involves the identification of risk sources, events (3.21), their causes and their
potential consequences (3.12).
Note 2 to entry: Risk identification can involve historical data, theoretical analysi
...


Norme
internationale
ISO/IEC 27000
Sixième édition
Sécurité de l'information,
2026-07
cybersécurité et protection de la vie
privée — Systèmes de management
de la sécurité de l'information —
Vue d'ensemble
Information security, cybersecurity and privacy protection —
Information security management systems — Overview
Document horizontal
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2026
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2026 – Tous droits réservés
ii
Sommaire Page
Avant-propos .iv
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Concepts et principes . 2
4.1 Concepts .2
4.1.1 La nécessité de la sécurité de l'information .2
4.1.2 Informations .3
4.1.3 Sécurité de l'information .3
4.1.4 Risques en constante évolution .3
4.1.5 Plan de traitement des risques .4
4.1.6 Objectif d'un système de management de la sécurité de l'information (SMSI) .4
4.1.7 L'importance d'un SMSI .4
4.1.8 Approche par processus .5
4.1.9 Domaine d'application .5
4.2 Principes .5
4.2.1 Établissement, mise en œuvre, maintenance et amélioration d'un SMSI .5
4.2.2 Mise en œuvre réussie d'un SMSI .6
4.2.3 Déterminer les exigences liées à la sécurité de l'information .6
4.2.4 Intégration dans les processus métier .6
5 Normes relatives au SMSI, y compris l'ISO/IEC 27001 . 6
5.1 Généralités .6
5.2 ISO/IEC 27001 (Spécification d'un SMSI) .7
5.3 Candidat aux mesures de sécurité de l'information nécessaires .7
5.3.1 ISO/IEC 27002 (mesures de sécurité de l'information) .7
5.3.2 ISO/IEC 27010 (communications intersectorielles et interorganisationnelles) .7
5.3.3 ISO/IEC 27011 (organismes de télécommunications) .7
5.3.4 ISO/IEC 27017 (services du nuage) .8
5.3.5 ISO/IEC 27019 (industrie des opérateurs de l'énergie) . .8
5.4 Satisfaction d'exigences du SMSI .8
5.4.1 ISO/IEC 27003 (recommandations SMSI) .8
5.4.2 ISO/IEC 27004 (surveillance, mesure, analyse et évaluation) .8
5.4.3 ISO/IEC 27005 (préconisations pour la gestion des risques liés à la sécurité de
l'information).8
5.4.4 ISO/IEC 27007 (audit du SMSI) .8
5.5 Utilisation du SMSI .8
5.5.1 ISO/IEC 27013 (mise en œuvre intégrée de l'ISO/IEC 27001 et de l'ISO/
IEC 20000-1) .8
5.5.2 ISO/IEC 27014 (gouvernance de la sécurité de l'information) .8
5.5.3 ISO/IEC TR 27016 (économie organisationnelle) .8
5.6 Évaluation de la maîtrise, attributs, processus et compétences .9
5.6.1 ISO/IEC TS 27008 (évaluation des mesures de sécurité de l'information) .9
5.6.2 ISO/IEC 27021 (exigences de compétence pour les professionnels du SMSI) .9
5.6.3 ISO/IEC TS 27022 (processus SMSI) .9
5.6.4 ISO/IEC 27028 (attributs ISO/IEC 27002) .9
5.7 ISO/IEC 27006-1 (évaluation de la conformité) .9
5.8 Relations entre les normes .9
Bibliographie .11

© ISO/IEC 2026 – Tous droits réservés
iii
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents. Le présent document a été rédigé conformément
aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives ou
www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de
l'information, sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée, en
collaboration avec le comité technique CEN/CLC/JTC 13, Cybersécurité et protection des données, du Comité
européen de normalisation (CEN), conformément à l'Accord de coopération technique entre l'ISO et le CEN
(Accord de Vienne).
Cette sixième édition annule et remplace la cinquième édition (ISO/IEC 27000:2018), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
— le titre a été modifié;
— la structure du document a été modifiée pour souligner son rôle principal, qui est de fournir une vue
d'ensemble et d'expliquer les relations entre les documents relatifs au SMSI (systèmes de management
de la sécurité de l'information), y compris l'ISO/IEC 27001;
— un texte présentant les concepts et les principes de la sécurité de l'information et des systèmes de
management de la sécurité de l'information a été ajouté;
— l’Article 3 a été modifié afin de contenir uniquement les définitions des termes utilisés pour présenter les
concepts et principes décrits dans le présent document;
— il ne s'agit plus un document terminologique.
Le présent document a obtenu le statut de document transversal conformément aux Directives ISO/IEC,
Partie 1.
© ISO/IEC 2026 – Tous droits réservés
iv
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.

© ISO/IEC 2026 – Tous droits réservés
v
Introduction
Le présent document explique les concepts et les principes qui sous-tendent les systèmes de management de
la sécurité de l'information. Il fournit une vue d'ensemble de tous les documents relatifs au SMSI (systèmes
de management de la sécurité de l'information), y compris l'ISO/IEC 27001 et explique la relation entre eux.

© ISO/IEC 2026 – Tous droits réservés
vi
Norme internationale ISO/IEC 27000:2026(fr)
Sécurité de l'information, cybersécurité et protection de
la vie privée — Systèmes de management de la sécurité de
l'information — Vue d'ensemble
1 Domaine d'application
Le présent document donne une vue d'ensemble des concepts et des principes utilisés dans des documents
relatifs aux systèmes de management de la sécurité de l'information (SMSI), y compris l'ISO/IEC 27001.
Le présent document est pris en considération comme un document transversal, car il explique les concepts
et les principes qui sous-tendent la sécurité de l'information et le SMSI.
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
sécurité de l'information
protection de la confidentialité (3.2), de l'intégrité (3.3) et de la disponibilité (3.4) de l'information
3.2
confidentialité
propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou processus non
autorisés
3.3
intégrité
propriété d'exactitude et de complétude
3.4
disponibilité
propriété d'être accessible et utilisable à la demande par une entité autorisée
3.5
événement
occurrence ou changement d'un ensemble particulier de circonstances
[SOURCE: ISO/IEC 27005:2022, 3.1.11, modifié — Les Notes à l'article ont été omises.]

© ISO/IEC 2026 – Tous droits réservés
3.6
vraisemblance
probabilité que quelque chose se produise
[SOURCE: ISO/IEC 27005:2022, 3.1.13, modifié — Les Notes à l'article ont été omises.]
3.7
conséquence
effet d’un événement (3.5) affectant les objectifs
[SOURCE: ISO/IEC 27005:2022, 3.1.14, modifié — Les trois Notes à l'article ont été omises.]
3.8
risque
effet de l'incertitude sur les objectifs
[SOURCE: ISO/IEC 27005:2022, 3.1.3, modifié — Les sept Notes à l'article ont été omises.]
3.9
traitement du risque
processus destiné à modifier un risque (3.8)
3.10
moyen de maîtrise
action qui maintient et/ou modifie un risque (3.8)
[SOURCE: ISO/IEC 27002:2022, 3.1.8, modifié — Les deux Notes à l'article ont été omises.]
3.11
exigence spécifiée
besoin ou attente formulé
[SOURCE: ISO/IEC 17000:2020, 4.1, modifiée — Les quatre Notes à l'article ont été omises.]
3.12
évaluation de la conformité
démonstration que les exigences spécifiées (3.12) relatives à un produit, un processus, un système, une
personne ou un corps sont satisfaites
[SOURCE: ISO/IEC 17000:2020, 5.1, modifiée — Les deux Notes à l'article ont été omises.]
4 Concepts et principes
4.1 Concepts
4.1.1 La nécessité de la sécurité de l'information
Des organismes de toutes catégories et de toutes tailles:
a) collectent, traitent, stockent, transmettent ou suppriment des informations;
b) reconnaissent que certaines informations (et les outils de la technologie et de la communication,
logiciels, processus et personnes associés) peuvent aider l'organisme à atteindre ses objectifs et peuvent
donc être considérées comme un actif informationnel;
c) apprécient le fait que certaines de ces informations appartiennent à d'autres organismes (par exemple
clients) et qu'il convient qu'ils gèrent ces informations conformément aux exigences convenues;
d) réalisent que l'organisme peut subir des préjudices si l'information est divulguée, manque ou perd de
l'intégrité ou n'est pas disponible au moment nécessaire.

© ISO/IEC 2026 – Tous droits réservés
La confidentialité, l'intégrité et la disponibilité de l'information sont des propriétés importantes de valeur
pour les organismes. La préservation de ces propriétés est appelée sécurité de l'information.
Dans ce monde interconnecté, l'information et les processus, systèmes et réseaux qui s'y rapportent peuvent
constituer des actifs critiques de l'organisme. Les organismes et leurs systèmes et réseaux d'informations
sont confrontés à des menaces pour la sécurité de l'information dont les origines sont très variées: erreurs
humaines, fraude assistée par ordinateur, vol, espionnage, sabotage, vandalisme, incendie, changement
climatique, par exemple. Les dommages causés aux systèmes et aux réseaux d'information par des
programmes malveillants, le piratage informatique et des attaques de type Refus de service sont de plus
en plus courants, ambitieux et sophistiqués. La mesure dans laquelle il convient que de tels événements
inquiètent un organisme dépend de la vraisemblance de l'occurrence de l'événement et de la gravité des
conséquences. La combinaison de vraisemblance et de conséquence est appelée risque.
Si le risque est inacceptable pour l'organisme, il doit être «traité». Le traitement des risques est le processus
par lequel les risques sont modifiés, souvent par la mise en œuvre de mesures de sécurité de l'information.
Dans l'idéal, le processus de traitement se poursuit jusqu'à ce que le risque devienne acceptable pour
l'organisme.
Il convient de traiter les risques associés aux actifs informationnels d'un organisme. Mener à bien la sécurité
de l'information requiert un management du risque et englobe les risques qui découlent des menaces
physiques, humaines et technologiques associées aux informations sous toutes leurs formes, au sein de
l'organisme, utilisées par celui-ci ou dont il s'occupe.
4.1.2 Informations
L'information est un actif qui, comme tous les autres actifs importants de l'organisme, est essentiel à son
fonctionnement et qu'il convient, par conséquent, de protéger de manière adéquate. Peu importe que les
informations soient détenues par l'organisme ou qu'elles lui soient confiées par un tiers, par exemple un
client.
Elle peut être sous différentes formes, notamment des fichiers de données stockés sur un support
électronique ou optique ou sur papier, ainsi que des connaissances. L'information peut être transmise par
différents moyens, notamment par courrier ou dans le cadre de communications électroniques ou verbales.
Quelle que soit la forme que prend l'information ou la manière dont elle est transmise, elle requiert une
protection appropriée.
Dans de nombreux organismes, l'information dépend des technologies de l'information et des communications.
Ces technologies représentent souvent un élément essentiel dans l'organisme et elles facilitent la création, le
traitement, le stockage, la transmission, la protection ou la destruction de l'information.
4.1.3 Sécurité de l'information
La sécurité de l'information garantit la confidentialité, la disponibilité et l'intégrité de l'information. Tout en
contribuant au succès de l'organisme et à sa pérennité et en minimisant le plus possible les conséquences
des incidents liés à la sécurité de l'information, la sécurité de l'information implique l'application et le
management, et le contrôle de mesures de sécurité appropriées qui prennent en compte un vaste éventail de
menaces.
4.1.4 Risques en constante évolution
Les risques ne sont pas statiques. Les changements au sein de l'organisme peuvent modifier la vraisemblance
d'occurrence d'événements liés à la sécurité de l'information et la gravité des conséquences. Pareillement, les
changements dans l'environnement, ainsi que les intérêts et les capacités des attaquants, peuvent
...


Norme
internationale
Redline version
compare la Sixième
édition à la Cinquième
édition
ISO/IEC 27000
Sécurité de l'information,
cybersécurité et protection de la vie
privée — Systèmes de management
de la sécurité de l'information —
Vue d'ensemble
Information security, cybersecurity and privacy protection —
Information security management systems — Overview
Numéro de référence
ISO/IEC 27000:redline:2026(fr) © ISO/IEC 2026

ISO/IEC 27000:redline:2026(fr)
INFORMATION SUR LA PRÉSENTE VERSION AVEC MARQUES DE RÉVISION
Le présent document est une version avec marques de révision, publié à titre informatif.
Il a pour objectif d’aider les utilisateurs à identifier les modifications introduites par rapport
à l’édition précédente de la norme.
Les ajouts sont mis en évidence en vert.
Les suppressions sont indiquées par un texte barré en rouge.
Pour les éléments graphiques, les ajouts sont signalés par un cadre vert, et les suppressions
par une croix rouge.
Les numéros d’articles et de titres contenant des modifications sont surlignés en jaune dans
le Sommaire.
La présente version avec marques de révision n’est pas une norme ISO officielle et
ne remplace pas l’édition publiée en vigueur. Seule l’édition actuelle de la Norme
internationale doit être considérée comme le document officiel.
Marquage utilisé dans la présente version avec marques de révision
Text example 1 texte ajouté (surlignage vert)
Text example 2 exte supprimé (barré en rouge)
graphique ajouté (cadre vert)
graphique supprimé (croix rouge)
1.x . numéros d’articles et de titres modifiés (surlignés en jaune dans le
Sommaire)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2026
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2026 – Tous droits réservés
ii
ISO/IEC 27000:redline:2026(fr)
Sommaire Page
Avant-propos .vi
Introduction .viii
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Systèmes de management de la sécurité de l'information . 12
4.1 Généralités . 12
4 Concepts et principes . 13
4.2 Qu'est-ce qu'un SMSI? . 13
4.1 Concepts . 13
4.2.1 Vue d'ensemble et principes . 13
4.1.1 La nécessité de la sécurité de l'information . 13
4.2.2 L'information .14
4.1.2 Informations .14
4.2.3 4.1.3 Sécurité de l'information .14
4.1.4 Risques en constante évolution .14
4.2.4 Management . 15
4.1.5 Plan de traitement des risques. 15
4.2.5 Système de management . 15
4.1.6 Objectif d'un système de management de la sécurité de l'information (SMSI) .16
4.1.7 L'importance d'un SMSI .16
4.1.8 Approche par processus.16
4.1.9 Domaine d'application .17
4.3 Approche processus .17
4.4 Raisons expliquant pourquoi un SMSI est important .17
4.5 Établissement, surveillance, maintenance et amélioration d'un SMSI . 18
4.2 Principes . 18
4.5.1 Vue d'ensemble . 18
4.2.1 Établissement, mise en œuvre, maintenance et amélioration d'un SMSI . 18
4.5.2 Identifier les exigences liées à la sécurité de l'information .19
4.5.3 Apprécier les risques liés à la sécurité de l'information .19
4.5.4 Traiter les risques liés à la sécurité de l'information .19
4.5.5 Sélectionner et mettre en œuvre les mesures de sécurité . 20
4.2.2 Mise en œuvre réussie d'un SMSI . 20
4.5.6 Surveiller, mettre à jour et améliorer l'efficacité du SMSI . 21
4.5.7 Amélioration continue . 21

© ISO/IEC 2026 – Tous droits réservés
iii
ISO/IEC 27000:redline:2026(fr)
4.2.3 Déterminer les exigences liées à la sécurité de l'information . 21
4.2.4 Intégration dans les processus métier . 22
4.6 Facteurs critiques de succès du SMSI . 22
4.7 Avantages de la famille de normes du SMSI . 23
5 La famille de normes du SMSI . 23
5 Normes relatives au SMSI, y compris l'ISO/IEC 27001 . 23
5.1 Informations générales. 23
5.1 Généralités . 24
5.2 Norme donnant une vue d'ensemble et décrivant la terminologie ISO/IEC 27000
(le présent document) . 25
5.3 Normes spécifiant des exigences . 25
5.3.1 ISO/IEC 27001. 25
5.3.2 ISO/IEC 27006 . 25
5.3.3 ISO/IEC 27009 . 26
5.2 ISO/IEC 27001 (Spécification d'un SMSI) . 26
5.3 Candidat aux mesures de sécurité de l'information nécessaires . 26
5.3.1 ISO/IEC 27002 (mesures de sécurité de l'information) . 26
5.3.2 ISO/IEC 27010 (communications intersectorielles et interorganisationnelles) . 26
5.3.3 ISO/IEC 27011 (organismes de télécommunications) . 26
5.3.4 ISO/IEC 27017 (services du nuage) . 26
5.3.5 ISO/IEC 27019 (industrie des opérateurs de l'énergie) . 26
5.4 Normes décrivant des lignes directrices générales. 27
5.4 Satisfaction d'exigences du SMSI. 27
5.4.1 ISO/IEC 27002 27003 (recommandations SMSI) . 27
5.4.2 ISO/IEC 27003 . 27
5.4.3 5.4.2 ISO/IEC 27004 (surveillance, mesure, analyse et évaluation) . 27
5.4.4 5.4.3 ISO/IEC 27005 (préconisations pour la gestion des risques liés à
la sécurité de l'information) . 27
5.4.5 5.4.4 ISO/IEC 27007 (audit du SMSI) . 28
5.4.6 ISO/IEC TR 27008 . 28
5.4.7 ISO/IEC 27013 . 28
5.4.8 ISO/IEC 27014 . 29
5.4.9 ISO/IEC TR 27016 . 29
5.4.10 ISO/IEC 27021 . 29
5.5 Utilisation du SMSI . 30
5.5.1 ISO/IEC 27013 (mise en œuvre intégrée de l'ISO/IEC 27001 et de
l'ISO/IEC 20000-1) . 30
5.5.2 ISO/IEC 27014 (gouvernance de la sécurité de l'information) . 30
5.5.3 ISO/IEC TR 27016 (économie organisationnelle) . 30

© ISO/IEC 2026 – Tous droits réservés
iv
ISO/IEC 27000:redline:2026(fr)
5.5 Normes décrivant des lignes directrices propres à un secteur . 30
5.5.1 ISO/IEC 27010 . 30
5.5.2 ISO/IEC 27011 . 30
5.5.3 ISO/IEC 27017 . 30
5.6 Évaluation de la maîtrise, attributs, processus et compétences . 31
5.5.4 5.6.1 ISO/IEC 27018 TS 27008 (évaluation des mesures de sécurité de
l'information) . 31
5.6.2 ISO/IEC 27021 (exigences de compétence pour les professionnels du SMSI). 31
5.5.5 5.6.3 ISO/IEC 27019 TS 27022 (processus SMSI) . 31
5.5.6 5.6.4 ISO 27799 /IEC 27028 (attributs ISO/IEC 27002) . 32
5.7 ISO/IEC 27006-1 (évaluation de la conformité) . 33
5.8 Relations entre les normes . 33
Bibliographie .34

© ISO/IEC 2026 – Tous droits réservés
v
ISO/IEC 27000:redline:2026(fr)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux
de normalisation (comitéset l’IEC (Commission électrotechnique internationale) forment le système
spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO). L'élaboration des
Normes internationales est en général confiée aux ou de l’IEC participent au développement de Normes
internationales par l'intermédiaire des comités techniques créés par l'organisation concernée afin de
s'occuper des domaines particuliers de l'activité technique. Les comités techniques de l'ISO. Chaque comité
membre intéressé par une étude a le droit de faire partie du comité technique créé à cet effet. Les et de l’IEC
collaborent dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales
et non gouvernementales, en liaison avec l'ISO et l’IEC, participent également aux travaux. L'ISO collabore
étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation
électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directiveswww.iso.org/directives ou www.iec.ch/members_experts/refdocs).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les
références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l'élaboration du
document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de brevets reçues par l'ISO
(voir www.iso.org/brevets).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de
l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au
commerce (OTC), voir le lien suivant: www.iso.org/avant-proposwww.iso.org/iso/avant-propos. Pour l'IEC,
voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Techniques de sécurité des technologies de l'informationSécurité de l'information,
cybersécurité et protection de la vie privée, en collaboration avec le comité technique CEN/CLC/JTC 13,
Cybersécurité et protection des données, du Comité européen de normalisation (CEN), conformément à
l'Accord de coopération technique entre l'ISO et le CEN (Accord de Vienne).
Cette cinquièmesixième édition annule et remplace la quatrièmecinquième édition (ISO/IEC 27000:20162018),
qui a fait l'objet d'une révision technique. Les principales modifications par rapport à l'édition précédente
sont les suivantes:
Les principales modifications sont les suivantes:
— le titre a été modifié;
— modification du texte de l'Introduction;

© ISO/IEC 2026 – Tous droits réservés
vi
ISO/IEC 27000:redline:2026(fr)
— la structure du document a été modifiée pour souligner son rôle principal, qui est de fournir une vue
d'ensemble et d'expliquer les relations entre les documents relatifs au SMSI (systèmes de management
de la sécurité de l'information), y compris l'ISO/IEC 27001;
— suppression de certains termes et définitions;
— un texte présentant les concepts et les principes de la sécurité de l'information et des systèmes de
management de la sécurité de l'information a été ajouté;
— alignement de l'Article 3 par rapport à la structure-cadre pour MSS;
— mise à jour de l'Article 5 pour refléter les modifications dans les normes concernées;
— l’Article 3 a été modifié afin de contenir uniquement les définitions des termes utilisés pour présenter les
concepts et principes décrits dans le présent document;
— suppression des Annexes A et B.
— il ne s'agit plus un document terminologique.
Le présent document a obtenu le statut de document transversal conformément aux Directives ISO/IEC,
Partie 1.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.

© ISO/IEC 2026 – Tous droits réservés
vii
ISO/IEC 27000:redline:2026(fr)
Introduction
0.1  Vue d'ensemble
Les Normes internationales relatives aux systèmes de management fournissent un modèle en matière
d'établissement et d'exploitation d'un système de management. Ce modèle comprend les caractéristiques que
les experts dans le domaine s'accordent à reconnaître comme reflétant l'état de l'art au niveau international.
Le sous-comité ISO/IEC JTC 1/SC 27 bénéficie de l'expérience d'un comité d'experts qui se consacre à
l'élaboration des Normes internationales sur les systèmes de management pour la sécurité de l'information,
connues également comme famille de normes du Système de Management de la Sécurité de l'Information
(SMSI).
Grâce à l'utilisation de la famille de normes du SMSI, les organismes peuvent élaborer et mettre en œuvre
un cadre de référence pour gérer la sécurité de leurs actifs informationnels, y compris les informations
financières, la propriété intellectuelle, les informations sur les employés, ou les informations qui leur sont
confiées par des clients ou des tiers. Ils peuvent également utiliser ces normes pour se préparer à une
évaluation indépendante de leur SMSI en matière de protection de l'information.
0.2  Objet du présent document
La famille de normes du SMSI comporte des normes qui:
a) définissent les exigences relatives à un SMSI et à ceux qui certifient de tels systèmes;
b) apportent des informations directes, des recommandations et/ou une interprétation détaillées
concernant le processus général visant à établir, mettre en œuvre, maintenir et améliorer un SMSI;
c) présentent des lignes directrices propres à des secteurs particuliers en matière de SMSI;
d) traitent de l'évaluation de la conformité d'un SMSI.
0.3  Contenu du présent document
Dans le présent document, les formes verbales suivantes sont utilisées:
— «doit» indique une exigence;
— «il convient» indique une recommandation;
— «peut» indique une autorisation («may» en anglais),
— ou une possibilité ou une capacité («can» en anglais).
Les informations sous forme de «NOTE» sont fournies pour clarifier l'exigence associée ou en faciliter la
compréhension. Les «Notes à l’article» employées à l’Article 3 fournissent des informations supplémentaires
qui viennent compléter les données terminologiques et peuvent contenir des dispositions concernant l’usage
d’un terme.
Le présent document explique les concepts et les principes qui sous-tendent les systèmes de management de
la sécurité de l'information. Il fournit une vue d'ensemble de tous les documents relatifs au SMSI (systèmes
de management de la sécurité de l'information), y compris l'ISO/IEC 27001 et explique la relation entre eux.

© ISO/IEC 2026 – Tous droits réservés
viii
ISO/IEC 27000:redline:2026(fr)
Sécurité de l'information, cybersécurité et protection de
la vie privée — Systèmes de management de la sécurité de
l'information — Vue d'ensemble
1 Domaine d'application
Le présent document offredonne une vue d'ensemble des concepts et des principes utilisés dans des
documents relatifs aux systèmes de management de la sécurité de l'information (SMSI). Il comprend
également les termes et définitions d'usage courant dans la famille de normes du SMSI. Le présent document
est applicable à tous les types et à toutes les tailles d'organismes (par exemple: les entreprises commerciales,
les organismes publics, les organismes à but non lucratif), y compris l'ISO/IEC 27001.
Les termes et les définitions fournis dans le présent document:
— couvrent les termes et les définitions d'usage courant dans la famille de normes du SMSI;
— ne couvrent pas l'ensemble des termes et des définitions utilisés dans la famille de normes du SMSI;
— ne limitent pas la famille de normes du SMSI en définissant de nouveaux termes à utiliser.
Le présent document est pris en considération comme un document transversal, car il explique les concepts
et les principes qui sous-tendent la sécurité de l'information et le SMSI.
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http https:// www .electropedia .org/
3.1
contrôle d'accès
moyens mis en œuvre pour assurer que l'accès aux actifs est autorisé et limité selon les exigences (3.56)
propres à la sécurité et à l'activité métier
3.2
attaque
tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'utiliser sans autorisation un
actif, ou de faire un usage non autorisé de celui-ci

© ISO/IEC 2026 – Tous droits réservés
ISO/IEC 27000:redline:2026(fr)
3.3
3.1
audit
sécurité de l'information
processus méthodique, indépendant et documenté (3.54) permettant d'obtenir des preuves d'audit et de les
évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits
Note 1 à l'article: Un audit peut être interne (audit de première partie), externe (audit de seconde ou de tierce partie)
ou combiné (associant deux disciplines ou plus).
Note 2 à l'article: Un audit interne est réalisé par l’organisme lui-même ou par une partie externe pour le compte de
celui-ci.
Note 3 à l'article: Les termes «preuves d'audit» et «critères d'audit» sont définis dans l'ISO 19011.
protection de la confidentialité (3.2), de l'intégrité (3.3) et de la disponibilité (3.4) de l'information
3.4
3.2
champ de l'audit
confidentialité
étendue et limites d'un audit (3.3)
[SOURCE: ISO 19011:2011, 3.14, modifiée — Suppression de la note 1 à l'article.]
propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou processus non
autorisés
3.5
authentification
méthode permettant de garantir qu'une caractéristique revendiquée pour une entité est correcte
3.6
3.3
authenticité
intégrité
propriété selon laquelle une entité est ce qu'elle revendique être d'exactitude et de complétude
3.7
3.4
disponibilité
propriété d'être accessible et utilisable à la demande par une entité autorisée
3.8
mesure élémentaire
mesure (3.42) définie en fonction d'un attribut et de la méthode de mesurage spécifiée pour le quantifier
Note 1 à l'article: Une mesure élémentaire est fonctionnellement indépendante des autres mesures.
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.3, modifiée — Suppression de la note 2 à l'article.]
3.9
compétence
capacité à appliquer des connaissances et des aptitudes pour obtenir les résultats escomptés
3.10
confidentialité
propriété selon laquelle l'information n'est pas diffusée ni divulguée à des personnes, des entités ou des
processus (3.54) non autorisés
3.11
conformité
satisfaction d'une exigence (3.56)

© ISO/IEC 2026 – Tous droits réservés
ISO/IEC 27000:redline:2026(fr)
3.12
conséquence
effet d'un événement (3.21) affectant les objectifs (3.49)
Note 1 à l'article: Un événement peut engendrer une série de conséquences.
Note 2 à l'article: Une conséquence peut être certaine ou incertaine; dans le contexte de la sécurité de l'information,
elle est généralement négative.
Note 3 à l'article: Les conséquences peuvent être exprimées de façon qualitative ou quantitative.
Note 4 à l'article: Des conséquences initiales peuvent déclencher des réactions en chaîne.
[SOURCE: Guide ISO 73:2009, 3.6.1.3, modifié — Modification de la Note 2 à l'article après «et».]
3.13
amélioration continue
activité régulière destinée à améliorer les performances (3.52)
3.14
mesure de sécurité
mesure qui modifie un risque (3.61)
Note 1 à l'article: Les mesures de sécurité comprennent tous les processus (3.54), politiques (3.53), dispositifs, pratiques
ou autres actions qui modifient un risque (3.61).
Note 2 à l'article: Il est possible que les mesures de sécurité ne puissent pas toujours aboutir à la modification voulue
ou supposée.
[SOURCE: Guide ISO 73:2009, 3.8.1.1, — Modification de la Note 2 à l'article.]
3.15
objectif d'une mesure de sécurité
déclaration décrivant ce qui est attendu de la mise en œuvre des mesures de sécurité (3.14)
3.16
correction
action visant à éliminer une non-conformité (3.47) détectée
3.17
action corrective
action visant à éliminer la cause d'une non-conformité (3.47) et à empêcher qu'elle ne se répète
3.18
mesure dérivée
mesure (3.42) définie en fonction d'au moins deux mesures élémentaires (3.8)
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.8, modifiée — Suppression de la note 1 à l'article.]
3.19
informations documentées
informations devant être contrôlées et mises à jour par un organisme (3.50) et le support sur lequel elles
sont stockées
Note 1 à l'article: Les informations documentées peuvent être dans n'importe quel format, sur n'importe quel support
et provenir de n'importe quelle source.
Note 2 à l'article: Les informations documentées peuvent se rapporter:
— au système de management (3.41) et aux processus associés (3.54);
— aux informations créées pour permettre à l'organisme (3.50) de fonctionner (documentation);
— aux preuves des résultats obtenus (enregistrements).

© ISO/IEC 2026 – Tous droits réservés
ISO/IEC 27000:redline:2026(fr)
3.20
efficacité
niveau de réalisation des activités planifiées et d'obtention des résultats escomptés
3.21
3.5
événement
occurrence ou changement d'un ensemble particulier de circonstances
Note 1 à l'article: Un événement peut être unique ou se reproduire. Il peut avoir plusieurs causes.
Note 2 à l'article: Un événement peut consister en quelque chose qui ne se produit pas.
Note 3 à l'article: Un événement peut parfois être qualifié «d'incident» ou «d'accident».
[SOURCE: Guide ISO 73:2009, 3.5.1.3, modifié — Suppression de la note 4 à l'article.]
[SOURCE: ISO/IEC 27005:2022, 3.1.11, modifié — Les Notes à l'article ont été omises.]
3.22
contexte externe
environnement externe dans lequel l'organisme cherche à atteindre ses objectifs (3.49)
Note 1 à l'article: Le contexte externe peut inclure les aspects suivants:
— l'environnement culturel, social, politique, légal, réglementaire, financier, technologique, économique, naturel et
concurrentiel, au niveau international, national, régional ou local;
— les facteurs clés et tendances ayant un impact déterminant sur les objectifs de l'organisme (3.50);
— les relations avec les parties prenantes (3.37) externes, les perceptions et valeurs relatives à celles-ci.
[SOURCE: Guide ISO 73:2009, 3.3.1.1]
3.23
gouvernance de la sécurité de l'information
système par lequel un organisme (3.50) conduit et supervise les activités liées à la sécurité de l'information
(3.28)
3.24
instances dirigeantes
personne ou groupe de personnes ayant la responsabilité des performances (3.52) et de la conformité de
l'organisme (3.50)
Note 1 à l'article: Dans certaines juridictions, les instances dirigeantes peuvent être constituées d'un conseil
d'administration.
3.25
indicateur
mesure (3.42) qui fournit une estimation ou une évaluation
3.26
besoin d'information
information nécessaire pour gérer les objectifs (3.49), les buts, les risques et les problèmes
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.12]
3.27
moyens de traitement de l'information
tout système, service ou infrastructure de traitement de l'information, ou le local les abritant

© ISO/IEC 2026 – Tous droits réservés
ISO/IEC 27000:redline:2026(fr)
3.28
sécurité de l'information
protection de la confidentialité (3.10), de l'intégrité (3.36) et de la disponibilité (3.7) de l'information
Note 1 à l'article: En outre, d'autres propriétés, telles que l'authenticité (3.6), l'imputabilité, la non-répudiation (3.48) et
la fiabilité (3.55) peuvent également être concernées.
3.29
continuité de la sécurité de l'information
processus (3.54) et procédures visant à assurer la continuité des opérations liées à la sécurité de l'information
(3.28)
3.30
événement lié à la sécurité de l'information
occurrence identifiée de l'état d'un système, d'un service ou d'un réseau indiquant une faille possible dans la
politique (3.28) de sécurité de l'information (3.53) ou un échec des mesures de sécurité (3.14), ou encore une
situation inconnue jusqu'alors et pouvant relever de la sécurité
3.31
incident lié à la sécurité de l'information
un ou plusieurs événements liés à la sécurité de l'information (3.30), indésirables ou inattendus, présentant
une probabilité forte de compromettre les opérations liées à l'activité de l'organisme et de menacer la
sécurité de l'information (3.28)
3.32
gestion des incidents liés à la sécurité de l'information
ensemble de processus (3.54) visant à détecter, rapporter, apprécier, gérer et résoudre les incidents liés à la
sécurité de l'information (3.31), ainsi qu'à en tirer des enseignements
3.33
professionnel SMSI (Système de management de la sécurité de l'information)
personne chargée d'établir et de mettre en œuvre un ou plusieurs processus (3.54) d'un système de
management de la sécurité de l'information, ainsi que d'en assurer la maintenance et l'amélioration continue
3.34
communauté de partage d'informations
groupe d'organismes (3.50) qui s'accordent pour partager des informations
Note 1 à l'article: Un organisme peut être un individu.
3.35
système d'information
ensemble d'applications, services, actifs informationnels ou autres composants permettant de gérer
l'information
3.36
intégrité
propriété d'exactitude et de complétude
3.37
partie intéressée (terme préféré)
partie prenante (terme admis)
personne ou organisme (3.50) susceptible d'affecter, d'être affecté ou de se sentir lui-même affecté par une
décision ou une activité
3.38
contexte interne
environnement interne dans lequel l'organisme (3.50) cherche à atteindre ses objectifs
Note 1 à l'article: Le contexte interne peut inclure:
— la gouvernance, la structure organisationnelle, les rôles et les responsabilités;

© ISO/IEC 2026 – Tous droits réservés
ISO/IEC 27000:redline:2026(fr)
— les politiques (3.53), objectifs (3.49) et stratégies mises en place pour atteindre ces derniers;
— les capacités, en termes de ressources et de connaissances (par exemple: capital, temps, personnel, processus
(3.54), systèmes et technologies);
— les systèmes d'information (3.35), flux d'information et processus de prise de décision (formels et informels);
— les relations avec les parties prenantes (3.37) internes, les perceptions et valeurs associées à celles-ci;
— la culture de l'organisme;
— les normes, lignes directrices et modèles adoptés par l'organisme;
— la forme et l'étendue des relations contractuelles.
[SOURCE: Guide ISO 73:2009, 3.3.1.2]
3.39
niveau de risque
importance d'un risque (3.61) exprimée en termes de combinaison des conséquences (3.12) et de leur
vraisemblance (3.40)
[SOURCE: Guide ISO 73:2009, 3.6.1.8, modifiée— Suppression de «ou combinaison de risques» de la
définition.]
3.40
3.6
vraisemblance
possibilité probabilité que quelque chose se produise
[SOURCE: Guide ISO 73:2009, 3.6.1.1, modifié — Suppression des notes 1 et 2 à l'article.]
[SOURCE: ISO/IEC 27005:2022, 3.1.13, modifié — Les Notes à l'article ont été omises.]
3.41
système de management
ensemble d'éléments corrélés ou interactifs d'un organisme (3.50) visant à établir des politiques (3.53), des
objectifs (3.49) et des processus (3.54) permettant d'atteindre ces objectifs
Note 1 à l'article: Un système de management peut recouvrir une ou plusieurs disciplines.
Note 2 à l'article: Les éléments du système comprennent la structure de l'organisme, les rôles et responsabilités, la
planification et les opérations.
Note 3 à l'article: Le domaine d'un système de management peut comprendre l'organisme dans son ensemble, certaines
de ses fonctions spécifiques et identifiées, certaines de ses sections spécifiques et identifiées, ou une ou plusieurs
fonctions au sein d'un groupe d'organismes.
3.42
3.7
mesure
conséquence
variable à laquelle on attribue une valeur correspondant au résultat du mesurage (3.43)
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.15, modifiée — Suppression de la note 2 à l'article.]
effet d’un événement (3.5) affectant les objectifs
[SOURCE: ISO/IEC 27005:2022, 3.1.14, modifié — Les trois Notes à l'article ont été omises.]
3.43
mesurage
processus (3.54) permettant de déterminer une valeur

© ISO/IEC 2026 – Tous droits réservés
ISO/IEC 27000:redline:2026(fr)
3.44
fonction de mesurage
algorithme ou calcul utilisé pour combiner au moins deux mesures élémentaires (3.8)
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.20]
3.45
méthode de mesurage
suite logique d'opérations décrites de manière générique qui permettent de quantifier un attribut selon une
échelle spécifiée
Note 1 à l'article: Le type de méthode de mesure employé dépend de la nature des opérations utilisées pour quantifier
un attribut (3.4). On peut en distinguer deux:
— le type subjectif: quantification faisant appel au jugement humain;
— le type objectif: quantification fondée sur des règles numériques.
[SOURCE: ISO/IEC/IEEE 15939:2017, 3.21, modifiée — Suppression de la note 2 à l'article.]
3.46
surveillance
détermination du statut d'un système, d'un processus (3.54) ou d'une activité
Note 1 à l'article: Pour déterminer le statut, il peut s'avérer nécessaire de vérifier, de superviser ou d'observer de
manière critique.
3.47
non-conformité
non-satisfaction d'une exigence (3.56)
3.48
non-répudiation
capacité à prouver l'occurrence d'un événement (3.21) ou d'une action donnée(e) et des entités qui en sont à
l'origine
3.49
objectif
résultat à atteindre
Note 1 à l'article: Un objectif peut être stratégique, tactique ou opérationnel.
Note 2 à l'article: Les objectifs peuvent concerner différentes disciplines (par exemple: finance, santé, sécurité ou
environnement) et différents niveaux (par exemple: au niveau stratégique, à l'échelle de l'organisme, au niveau d'un
projet, d'un produit et d'un processus (3.54).
Note 3 à l'article: Un objectif peut être exprimé de différentes manières, par exemple comme un résultat recherché,
un but, un critère opérationnel, un objectif de sécurité de l'information, ou en utilisant d'autres mots de sens similaire
(par exemple: intention ou cible).
Note 4 à l'article: Dans le contexte des systèmes de management de la sécurité de l'information, les objectifs de sécurité
de l'information sont définis par l'organisme, conformément à la politique de sécurité de l'information, afin d'obtenir
des résultats spécifiques.
3.50
organisme
personne ou groupe de personnes qui exerce ses propres fonctions associées aux responsabilités, pouvoirs
et relations nécessaires pour atteindre ses objectifs (3.49)
Note 1 à l'article: Le concept d'organisme inclut, sans s'y limiter, les travailleurs indépendants, compagnies, sociétés,
firmes, entreprises, autorités, partenariats, œuvres de bienfaisance ou institutions, ou toute partie ou combinaison de
ceux-ci, constituée en société de capitaux ou ayant un autre statut, de droit privé ou public.

© ISO/IEC 2026 – Tous droits réservés
ISO/IEC 27000:redline:2026(fr)
3.51
externaliser
prendre des dispositions pour qu'un organisme (3.50) externe prenne en charge une partie des fonctions ou
des processus (3.54) d'un organisme
Note 1 à l'article: Un organisme externe se situe hors du domaine d'application du système de management (3.41), mais
les fonctions ou processus externalisés entrent dans le cadre de celui-ci.
3.52
performance
résultat mesurable
Note 1 à l'article: La performance peut se rapporter à des observations quantitatives ou qualitatives.
Note 2 à l'article: La performance peut se rapporter au management des activités, des processus (3.54), des produits (y
compris les services), des systèmes ou des organismes (3.50).
3.53
politique
intentions et orientation d'un organisme (3.50) telles que formalisées par sa direction (3.75)
3.54
processus
ensemble d'activités corrélées ou interactives qui transforme des éléments d'entrée en éléments de sortie
3.55
fiabilité
propriété relative à un comportement et à des résultats prévus et cohérents
3.56
exigence
besoin ou attente formulé, généralement implicite ou obligatoire
Note 1 à l'article: «Généralement implicite» signifie qu'il est habituel ou courant, pour l'organisme et les parties
intéressées, que le besoin ou l'attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence formulée, par exemple une information documentée.
3.57
risque résiduel
risque (3.61) subsistant après le traitement du risque (3.72)
Note 1 à l'article: Un risque résiduel peut inclure un risque non identifié.
Note 2 à l'article: Un risque résiduel peut également être appelé «risque conservé».
3.58
revue
activité entreprise afin de déterminer l'adaptation, l'adéquation et l'efficacité (3.20) de l'objet étudié pour
atteindre les objectifs (3.49) établis
[SOURCE: Guide ISO 73:2009, 3.8.2.2, modifié — Suppression de la note 1 à l'article.]
3.59
objet de revue
élément spécifique soumis à la revue
3.60
objectif de revue
déclaration décrivant le résultat attendu d'une revue (3.59)

© ISO/IEC 2026 – Tous droits réservés
ISO/IEC 27000:redline:2026(fr)
3.61
risque
effet de l’incertitude sur les objectifs (3.49)
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L’incertitude est l’état, même partiel, de défaut d’information concernant la compréhension ou la
connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l'article: Un risque est souvent caractérisé en référence à des «événements» potentiels (tels que définis dans le
Guide ISO 73:2009, 3.5.1.3) et des «conséquences» potentielles (telles que définies dans le Guide ISO 73:2009, 3.6.1.3),
ou à une combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d'un événement (incluant
des changements de circonstances) et de sa «vraisemblance» (telle que définie dans le Guide ISO 73:2009, 3.6.1.1).
Note 5 à l'article: Dans le contexte des systèmes de management de la sécurité de l'
...