oSIST ISO/IEC DIS 27000:2013

INTERNATIONAL ISO/IEC
STANDARD 27000
Third edition
2014-01-15
Information technology — Security
techniques — Information security
management systems — Overview and
vocabulary
Technologies de l’information — Techniques de sécurité — Systèmes
de management de la sécurité de l’information — Vue d’ensemble et
vocabulaire
Reference number
ISO/IEC 27000:2014(E)
ISO/IEC 2014
---------------------- Page: 1 ----------------------
ISO/IEC 27000:2014(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO/IEC 2014

All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form

or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior

written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of

Foreword ........................................................................................................................................................................................................................................iv

0 Introduction ...............................................................................................................................................................................................................v

1 Scope ................................................................................................................................................................................................................................. 1

2 Terms and definitions ..................................................................................................................................................................................... 1

3 Information security management systems .........................................................................................................................12

3.1 Introduction ...........................................................................................................................................................................................12

3.2 What is an ISMS? ................................................................................................................................................................................13

3.3 Process approach ...............................................................................................................................................................................14

3.4 Why an ISMS is important ..........................................................................................................................................................14

3.5 Establishing, monitoring, maintaining and improving an ISMS ................................................................15

3.6 ISMS critical success factors .....................................................................................................................................................18

3.7 Benefits of the ISMS family of standards .......................................................................................................................19

4 ISMS family of standards ...........................................................................................................................................................................19

4.1 General information ........................................................................................................................................................................19

4.2 Standards describing an overview and terminology ..........................................................................................20

4.3 Standards specifying requirements ...................................................................................................................................21

4.4 Standards describing general guidelines ......................................................................................................................21

4.5 Standards describing sector-specific guidelines ....................................................................................................23

Annex A (informative) Verbal forms for the expression of provisions...........................................................................25

Annex B (informative) Term and Term ownership .............................................................................................................................26

Bibliography .............................................................................................................................................................................................................................30

ISO (the International Organization for Standardization) and IEC (the International Electrotechnical

Commission) form the specialized system for worldwide standardization. National bodies that are

members of ISO or IEC participate in the development of International Standards through technical

committees established by the respective organization to deal with particular fields of technical

activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international

organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the

work. In the field of information technology, ISO and IEC have established a joint technical committee,

International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.

The main task of the joint technical committee is to prepare International Standards. Draft International

Standards adopted by the joint technical committee are circulated to national bodies for voting.

Publication as an International Standard requires approval by at least 75 % of the national bodies

Attention is drawn to the possibility that some of the elements of this document may be the subject of

patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.

ISO/IEC 27000 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,

This third edition cancels and replaces the second edition (ISO/IEC 27000:2012), which has been

International Standards for management systems provide a model to follow in setting up and operating

a management system. This model incorporates the features on which experts in the field have reached a

consensus as being the international state of the art. ISO/IEC JTC 1/SC 27 maintains an expert committee

dedicated to the development of international management systems standards for information security,

otherwise known as the Information Security Management System (ISMS) family of standards.

Through the use of the ISMS family of standards, organizations can develop and implement a framework

for managing the security of their information assets including financial information, intellectual

property, and employee details, or information entrusted to them by customers or third parties. These

standards can also be used to prepare for an independent assessment of their ISMS applied to the

The ISMS family of standards (see Clause 4) is intended to assist organizations of all types and sizes to

implement and operate an ISMS and consists of the following International Standards, under the general

title Information technology — Security techniques (given below in numerical order):

— ISO/IEC 27000, Information security management systems — Overview and vocabulary

— ISO/IEC 27006, Requirements for bodies providing audit and certification of information security

— ISO/IEC 27010, Information security management for inter-sector and inter-organizational

— ISO/IEC 27011, Information security management guidelines for telecommunications organizations

— ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

— ISO/IEC TR 27015, Information security management guidelines for financial services

NOTE The general title “Information technology — Security techniques” indicates that these standards were

prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security

International Standards not under the same general title that are also part of the ISMS family of standards

— ISO 27799:2008, Health informatics — Information security management in health using ISO/IEC 27002

This International Standard provides an overview of information security management systems, and

NOTE Annex A provides clarification on how verbal forms are used to express requirements and/or guidance

b) provide direct support, detailed guidance and/or interpretation for the overall process to establish,

— do not cover all terms and definitions applied within the ISMS family of standards; and

This International Standard provides the overview of information security management systems, and

terms and definitions commonly used in the ISMS family of standards. This International Standard is

applicable to all types and sizes of organization (e.g. commercial enterprises, government agencies, not-

means to ensure that access to assets is authorized and restricted based on business and security

algorithm or calculation combining one or more base measures (2.10) and/or derived measures (2.22)

attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use

property or characteristic of an object (2.55) that can be distinguished quantitatively or qualitatively

[SOURCE: ISO/IEC 15939:2007, modified – “entity” has been replaced by “object” in the definition.]

systematic, independent and documented process (2.61) for obtaining audit evidence and evaluating it

Note 1 to entry: An audit can be an internal audit (first party) or an external audit (second party or third party),

measure (2.47) defined in terms of an attribute (2.4) and the method for quantifying it

property that information is not made available or disclosed to unauthorized individuals, entities, or

Note 2 to entry: A consequence can be certain or uncertain and in the context of information security is usually

Note 1 to entry: Controls include any process, policy, device, practice, or other actions which modify risk.

Note 2 to entry: Controls may not always exert the intended or assumed modifying effect.

statement describing what is to be achieved as a result of implementing controls (2.16)

action to eliminate the cause of a nonconformity (2.53) and to prevent recurrence

collection of values assigned to base measures (2.10), derived measures (2.22) and/or indicators (2.30)

Note 1 to entry: This definition applies only within the context of ISO/IEC 27004:2009.

thresholds, targets, or patterns used to determine the need for action or further investigation, or to

measure (2.47) that is defined as a function of two or more values of base measures (2.10)

information required to be controlled and maintained by an organization (2.57) and the medium on

Note 1 to entry: Documented information can be in any format and media and from any source.

Note 1 to entry: An event can be one or more occurrences, and can have several causes.

Note 3 to entry: An event can sometimes be referred to as an “incident” or “accident”.

person or group of people who have delegated responsibility from the governing body (2.29) for

implementation of strategies and policies to accomplish the purpose of the organization (2.57)

Note 1 to entry: Executive management is sometimes called top management and can include Chief Executive

Officers, Chief Financial Officers, Chief Information Officers, and similar roles

— the cultural, social, political, legal, regulatory, financial, technological, economic, natural and competitive

— key drivers and trends having impact on the objectives (2.56) of the organization (2.57); and

— relationships with, and perceptions and values of, external stakeholders (2.82).

system by which an organization’s (2.57) information security activities are directed and controlled

person or group of people who are accountable for the performance (2.59) and conformance of the

Note 1 to entry: Governing body can in some jurisdictions be a board of directors.

measure (2.47) that provides an estimate or evaluation of specified attributes (2.4) derived from an

any information processing system, service or infrastructure, or the physical location housing it

preservation of confidentiality (2.12), integrity (2.40) and availability (2.9) of information

Note 1 to entry: In addition, other properties, such as authenticity (2.8), accountability, non-repudiation (2.54),

processes (2.61) and procedures for ensuring continued information security (2.33) operations

identified occurrence of a system, service or network state indicating a possible breach of information

security policy or failure of controls, or a previously unknown situation that may be security relevant

single or a series of unwanted or unexpected information security events (2.35) that have a significant

probability of compromising business operations and threatening information security (2.33)

processes (2.61) for detecting, reporting, assessing, responding to, dealing with, and learning from

applications, services, information technology assets, or other information handling components

person or organization (2.57) that can affect, be affected by, or perceive themselves to be affected by a

— the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes,

— information systems, information flows and decision-making processes (both formal and informal);

magnitude of a risk (2.68) expressed in terms of the combination of consequences (2.14) and their

[SOURCE: ISO Guide 73:2009, modified — “or combination of risks,” has been deleted.]

set of interrelated or interacting elements of an organization (2.57) to establish policies (2.60) and

Note 1 to entry: A management system can address a single discipline or several disciplines.

Note 2 to entry: The system elements include the organization’s structure, roles and responsibilities, planning,

Note 3 to entry: The scope of a management system may include the whole of the organization, specific and

identified functions of the organization, specific and identified sections of the organization, or one or more

Note 1 to entry: The term “measures” is used to refer collectively to base measures, derived measures, and

Note 1 to entry: In the context of information security (2.33) the process of determining a value requires

information about the effectiveness (2.24) of an information security management system (2.46) and its associated

controls (2.16) using a measurement method (2.50), a measurement function (2.49), an analytical model (2.2), and

logical sequence of operations, described generically, used in quantifying an attribute (2.4) with respect

Note 1 to entry: The type of measurement method depends on the nature of the operations used to quantify an

one or more indicators (2.30) and their associated interpretations that address an information need

Note 1 to entry: To determine the status there may be a need to check, supervise or critically observe.

ability to prove the occurrence of a claimed event or action and its originating entities

Note 2 to entry: Objectives can relate to different disciplines (such as financial, health and safety, and environmental

goals) and can apply at different levels (such as strategic, organization-wide, project, product and process (2.61).

Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an operational

criterion, as an information security objective or by the use of other words with similar meaning (e.g. aim, goal,

Note 4 to entry: In the context of information security management systems, information security objectives are

set by the organization, consistent with the information security policy, to achieve specific results.

person or group of people that has its own functions with responsibilities, authorities and relationships

Note 1 to entry: The concept of organization includes but is not limited to sole-trader, company, corporation, firm,

enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated

make an arrangement where an external organization (2.57) performs part of an organization’s function

Note 1 to entry: An external organization is outside the scope of the management system (2.46), although the

Note 1 to entry: Performance can relate either to quantitative or qualitative findings.

Note 2 to entry: Performance can relate to the management of activities, processes (2.61), products (including

intentions and direction of an organization (2.57) as formally expressed by its top management (2.84)

set of interrelated or interacting activities which transforms inputs into outputs

Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization and interested

Note 2 to entry: A specified requirement is one that is stated, for example in documented information.

activity undertaken to determine the suitability, adequacy and effectiveness (2.24) of the subject matter

Note 1 to entry: An effect is a deviation from the expected — positive or negative.

Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or

Note 3 to entry: Risk is often characterized by reference to potential events (2.25) and consequences (2.14), or a

Note 4 to entry: Risk is often expressed in terms of a combination of the consequences (2.14) of an event (including

Note 5 to entry: In the context of information security management systems, information security risks can be

Note 6 to entry: Information security risk is associated with the potential that threats (2.83) will exploit

vulnerabilities (2.89) of an information asset or group of information assets and thereby cause harm to an

Note 1 to entry: Risk acceptance can occur without risk treatment (2.79) or during the process of risk treatment.

Note 2 to entry: Accepted risks are subject to monitoring (2.52) and review (2.65).

process to comprehend the nature of risk (2.68) and to determine the level of risk (2.44)

Note 1 to entry: Risk analysis provides the basis for risk evaluation (2.74) and decisions about risk treatment

overall process (2.61) of risk identification (2.75), risk analysis (2.70) and risk evaluation (2.74)

continual and iterative processes that an organization conducts to provide, share or obtain information,

and to engage in dialogue with stakeholders (2.82) regarding the management of risk (2.68)

Note 1 to entry: The information can relate to the existence, nature, form, likelihood, significance, evaluation,

Note 2 to entry: Consultation is a two-way process of informed communication between an organization and its

stakeholders on an issue prior to making a decision or determining a direction on that issue. Consultation is:

NORME ISO/CEI
INTERNATIONALE 27000
Troisième édition
2014-01-15
Technologies de l’information —
Techniques de sécurité — Systèmes
de management de la sécurité de
l’information — Vue d’ensemble et
vocabulaire
Information technology — Security techniques — Information
security management systems — Overview and vocabulary
Numéro de référence
ISO/CEI 27000:2014(F)
ISO/CEI 2014
---------------------- Page: 1 ----------------------
ISO/CEI 27000:2014(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2014

Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée

sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur

l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à

Avant-propos ..............................................................................................................................................................................................................................iv

0 Introduction ...............................................................................................................................................................................................................v

1 Domaine d’application ................................................................................................................................................................................... 1

2 Termes et définitions ....................................................................................................................................................................................... 1

3 Systèmes de management de la sécurité de l’information ....................................................................................13

3.1 Introduction ...........................................................................................................................................................................................13

3.2 Qu’est-ce qu’un SMSI ?...................................................................................................................................................................13

3.3 Approche processus ........................................................................................................................................................................15

3.4 Raisons pour lesquelles un SMSI est important ......................................................................................................15

3.5 Établissement, surveillance, mise à jour et amélioration d’un SMSI .....................................................16

3.6 Facteurs critiques de succès du SMSI ...............................................................................................................................19

3.7 Avantages de la famille de normes du SMSI................................................................................................................20

4 La famille de normes du SMSI ..............................................................................................................................................................20

4.1 Informations générales .................................................................................................................................................................20

4.2 Normes décrivant une vue d’ensemble et une terminologie .......................................................................21

4.3 Normes spécifiant des exigences .........................................................................................................................................22

4.4 Normes décrivant des lignes directrices générales ..............................................................................................22

4.5 Normes décrivant des lignes directrices propres à un secteur ..................................................................25

Annexe A (informative) Formes verbales pour exprimer des dispositions ..............................................................27

Annexe B (informative) Termes et propriété des termes ............................................................................................................28

Bibliographie ...........................................................................................................................................................................................................................32

L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique

internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux

membres de l’ISO ou de l’IEC participent à l’élaboration de Normes internationales par l’intermédiaire de

comités techniques créés par l’organisme concerné pour traiter de domaines particuliers à une activité

technique de leur compétence. Les comités techniques de l’ISO et de l’IEC collaborent dans des domaines

d’intérêt commun. D’autres organismes internationaux, gouvernementaux et non gouvernementaux,

en liaison avec l’ISO et l’IEC participent également aux travaux. Dans le domaine des technologies de

l’information, l’ISO et l’IEC ont créé un comité technique mixte: l’ISO/IEC JTC 1.

Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/IEC,

La tâche principale du comité technique mixte est d’élaborer des Normes internationales. Les projets de

Normes internationales adoptés par le comité technique mixte sont soumis aux organismes nationaux

pour vote. Leur publication en tant que Normes internationales requiert l’approbation d’au moins 75 %

L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet

de droits de propriété intellectuelle ou de droits analogues. L’ISO et l’IEC ne sauraient être tenues pour

responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence.

L’ISO/IEC 27000 a été élaborée par le comité technique mixte ISO/IEC JTC 1, Technologies de l’information,

Cette troisième édition annule et remplace la deuxième édition (ISO/IEC 27000:2012), qui a fait l’objet

Les Normes internationales relatives aux systèmes de management fournissent un modèle en matière

d’établissement et d’exploitation d’un système de management. Ce modèle comprend les caractéristiques

que les experts dans le domaine s’accordent à reconnaître comme reflétant l’état de l’art au niveau

international. Le sous-comité ISO/IEC JTC 1/SC 27 bénéficie de l’expérience d’un comité d’experts qui se

consacre à l’élaboration des Normes internationales sur les systèmes de management pour la sécurité de

l’information, connues également comme famille de normes du Système de Management de la Sécurité

Grâce à l’utilisation de la famille de normes du SMSI, les organismes peuvent élaborer et mettre en œuvre

un cadre de référence pour gérer la sécurité de leurs actifs informationnels, y compris les informations

financières, la propriété intellectuelle, les informations sur les employés, ou les informations qui leur

sont confiées par des clients ou des tiers. Elles peuvent également utiliser ces normes pour se préparer

à une évaluation indépendante de leurs SMSI en matière de protection de l’information.

La famille de normes du SMSI (voir l’Article 4) a pour objet d’aider les organismes de tous types

et de toutes tailles à déployer et à exploiter un SMSI. Elle se compose des Normes internationales

suivantes (indiquées ci-dessous par ordre numérique) regroupées sous le titre général Technologies de

— ISO/IEC 27000, Systèmes de management de la sécurité de l’information — Vue d’ensemble et vocabulaire

— ISO/IEC 27001, Systèmes de management de la sécurité de l’information — Exigences

— ISO/IEC 27002, Code de bonne pratique pour les mesures de sécurité de l’information

— ISO/IEC 27003, Lignes directrices pour la mise en oeuvre du système de management de la sécurité de

— ISO/IEC 27006, Exigences pour les organismes procédant à l’audit et à la certification des systèmes de

— ISO/IEC 27007, Lignes directrices pour l’audit des systèmes de management de la sécurité de l’information

— ISO/IEC/TR 27008, Lignes directrices pour les auditeurs des contrôles de sécurité de l’information

— ISO/IEC 27010, Gestion de la sécurité de l’information des communications intersectorielles et

— ISO/IEC 27011, Lignes directrices du management de la sécurité de l’information pour les organismes

— ISO/IEC 27013, Guide sur la mise en oeuvre intégrée de l’ISO/IEC 27001 et de l’ISO/IEC 20000-1

— ISO/IEC/TR 27015, Lignes directrices pour le management de la sécurité de l’information pour les

— ISO/IEC/TR 27016, Management de la sécurité de l’information — Économie organisationnelle

NOTE Le titre général «Technologies de l’information — Techniques de sécurité» indique que ces normes

ont été élaborées par le comité technique mixte ISO/IEC JTC 1, Technologies de l’information, sous-comité SC 27,

Les Normes internationales qui font également partie de la famille de normes du SMSI, mais qui ne sont

— ISO 27799:2008, Informatique de santé — Gestion de la sécurité de l’information relative à la santé en

La présente Norme internationale offre une vue d’ensemble des systèmes de management de la sécurité

NOTE L’Annexe A fournit des éclaircissements sur la façon dont les formes verbales sont utilisées pour

exprimer des exigences et/ou des préconisations dans la famille de normes du SMSI.

a) définissent les exigences pour un SMSI et pour les organismes certifiant de tels systèmes;

b) apportent un soutien direct, des préconisations détaillées et/ou une interprétation du processus

c) traitent des lignes directrices propres à des secteurs particuliers en matière de SMSI;

— couvrent les termes et les définitions d’usage courant dans la famille de normes du SMSI;

— ne couvrent pas l’ensemble des termes et des définitions utilisés dans la famille de normes du SMSI;

— ne limitent pas la famille de normes du SMSI en définissant de nouveaux termes à utiliser.

La présente Norme internationale offre une vue d’ensemble des systèmes de management de la sécurité

de l’information, et des termes et définitions d’usage courant dans la famille de normes du SMSI. La

présente Norme internationale est applicable à tous les types et à toutes les tailles d’organismes (par

exemple: les entreprises commerciales, les organismes publics, les organismes à but non lucratif).

Pour les besoins du présent document, les termes et définitions suivants s’appliquent.

moyens mis en œuvre pour assurer que l’accès aux actifs est autorisé et limité selon les exigences propres

algorithme ou calcul combinant une ou plusieurs mesures élémentaires (2.10) et/ou mesures dérivées

tentative de détruire, de rendre public, de modifier, d’invalider, de voler ou d’obtenir un accès non

propriété ou caractéristique d’un objet (2.55) qui peut être distingué quantitativement ou qualitativement

[SOURCE: ISO/IEC 15939:2007, modifiée – le terme «entité» a été remplacé par «objet» dans la définition.]

processus méthodique, indépendant et documenté (2.61) permettant d’obtenir des preuves d’audit et de

les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits

Note 1 à l’article: Un audit peut être interne (audit de première partie) ou externe (audit de seconde ou de tierce

partie), et peut également être un audit combiné (combinant deux disciplines ou plus).

Note 2 à l’article: Les termes «preuves d’audit» et «critères d’audit» sont définis dans l’ISO 19011.

mesure (2.47) définie en fonction d’un attribut (2.4) et de la méthode de mesurage spécifiée pour le

Note 1 à l’article: Une mesure élémentaire est fonctionnellement indépendante des autres mesures.

aptitude à mettre en œuvre des connaissances et savoir-faire en vue d’obtenir des résultats prévus

propriété selon laquelle l’information n’est pas rendue disponible ni divulguée à des personnes, des

Note 1 à l’article: Le terme anglais «conformance» est un synonyme mais a été abandonné.

Note 2 à l’article: Une conséquence peut être certaine ou incertaine; dans le contexte de la sécurité de l’information,

Note 3 à l’article: Les conséquences peuvent être exprimées de façon qualitative ou quantitative.

Note 4 à l’article: Des conséquences initiales peuvent déclencher des réactions en chaîne.

Note 1 à l’article: Les mesures de sécurité comprennent tous les processus, politiques, dispositifs, pratiques ou

Note 2 à l’article: Les mesures de sécurité ne peuvent pas toujours aboutir à la modification voulue ou supposée.

déclaration décrivant ce qui doit être atteint comme résultat de la mise en œuvre des mesures de sécurité

action visant à éliminer la cause d’une non-conformité (2.53) et à empêcher sa répétition

ensemble des valeurs attribuées aux mesures élémentaires (2.10), aux mesures dérivées (2.22) et/ou aux

Note 1 à l’article: Cette définition s’applique uniquement dans le contexte de l’ISO/IEC 27004:2009.

seuils, cibles ou modèles utilisés pour déterminer la nécessité d’une action ou d’un complément d’enquête,

informations devant être contrôlées et mises à jour par un organisme (2.57) et le support sur lequel elles

Note 1 à l’article: Les informations documentées peuvent être dans n’importe quel format, sur n’importe quel

— aux informations créées pour permettre à l’organisme de fonctionner (documentation);

niveau de réalisation des activités planifiées et d’obtention des résultats escomptés

Note 1 à l’article: Un événement peut être unique ou se reproduire et peut avoir plusieurs causes.

Note 2 à l’article: Un événement peut consister en quelque chose qui ne se produit pas.

Note 3 à l’article: Un événement peut parfois être qualifié «d’incident» ou «d’accident».

personne ou groupe de personnes ayant reçu des instances dirigeantes (2.29) la responsabilité de la mise

en œuvre des stratégies et politiques afin de réaliser les objectifs de l’organisme (2.57)

Note 1 à l’article: Le management exécutif est parfois appelé la direction, et peut comprendre les Directeurs, les

Responsables des Finances, les Responsables de l’Information, et autres fonctions similaires

— l’environnement culturel, social, politique, légal, réglementaire, financier, technologique, économique,

— les facteurs et tendances ayant un impact déterminant sur les objectifs (2.56) de l’organisme (2.57);

— les relations avec les parties prenantes (2.82) externes, leurs perceptions et leurs valeurs.

système au moyen duquel un organisme (2.57) oriente et supervise les activités liées à la sécurité de

personne ou groupe de personnes ayant la responsabilité des performances (2.59) et de la conformité de

Note 1 à l’article: Dans certaines juridictions, les instances dirigeantes peuvent être constituées d’un conseil

mesure (2.47) qui fournit une estimation ou une évaluation d’attributs (2.4) spécifiés à partir d’un modèle

tout système, service ou infrastructure de traitement de l’information, ou local les abritant

protection de la confidentialité (2.12), de l’intégrité (2.40) et de la disponibilité (2.9) de l’information

Note 1 à l’article: En outre, d’autres propriétés, telles que l’authenticité (2.8), l’imputabilité, la non-répudiation

processus (2.61) et procédures visant à assurer la continuité des opérations liées à la sécurité de

occurrence identifiée de l’état d’un système, d’un service ou d’un réseau indiquant une faille possible

dans la politique de sécurité de l’information ou un échec des mesures de sécurité, ou encore une

un ou plusieurs événements liés à la sécurité de l’information (2.35) indésirables ou inattendus présentant

une probabilité forte de compromettre les opérations liées à l’activité de l’organisme et de menacer la

processus (2.61) pour détecter, rapporter, apprécier, intervenir, résoudre et tirer les enseignements des

applications, services, actifs informationnels ou autre composante permettant la prise en charge de

personne ou organisme (2.57) susceptible d’affecter, d’être affectée ou de se sentir elle-même affectée

— la gouvernance, la structure organisationnelle, les rôles et les responsabilités;

— les politiques, les objectifs et les stratégies mises en place pour atteindre ces derniers;

— les capacités, en termes de ressources et de connaissances (par exemple: capital, temps, personnel, processus,

— les systèmes d’information, les flux d’information et les processus de prise de décision (à la fois formels et

— les relations avec les parties prenantes internes, ainsi que leurs perceptions et leurs valeurs;

importance d’un risque (2.68) exprimée en termes de combinaison des conséquences (2.14) et de leur

[SOURCE: Guide ISO 73:2009, modifié – l’expression «ou combinaison de risques» a été supprimée.]

ensemble d’éléments corrélés ou interactifs d’un organisme (2.57) visant à établir des politiques (2.60),

Note 1 à l’article: Un système de management peut recouvrir une ou plusieurs disciplines.

Note 2 à l’article: Les éléments du système comprennent la structure de l’organisme, les rôles et responsabilités,

Note 3 à l’article: Le domaine d’un système de management peut comprendre l’organisme dans son ensemble,

certaines de ses fonctions spécifiques et identifiées, certaines de ses sections spécifiques et identifiées, ou une ou

variable à laquelle on attribue une valeur correspondant au résultat du mesurage (2.48)

Note 1 à l’article: Le terme «mesures» est utilisé pour désigner collectivement les mesures élémentaires, les

Note 1 à l’article: Dans le contexte de la sécurité de l’information (2.33), le processus de détermination d’une

valeur nécessite des informations concernant l’efficacité (2.24) d’un système de management (2.46) de la sécurité

de l’information et de ses mesures de sécurité (2.16) associées à l’aide d’une méthode de mesurage (2.50), d’une

fonction de mesurage (2.49), d’un modèle analytique (2.2) et de critères de décision (2.21).

algorithme ou calcul utilisé pour combiner au moins deux mesures élémentaires (2.10)

suite logique d’opérations décrites de manière générique qui permettent de quantifier un attribut (2.4)

Note 1 à l’article: Le type de méthode de mesurage employé dépend de la nature des opérations utilisées pour

un ou plusieurs indicateurs (2.30), et les interprétations associées, répondant à un besoin d’information

Note 1 à l’article: Pour déterminer le statut, il peut s’avérer nécessaire de vérifier, de superviser ou d’observer de

capacité à prouver l’occurrence d’un événement ou d’une action donné(e) et des entités qui en sont à

Note 2 à l’article: Les objectifs peuvent se rapporter à différentes disciplines (par exemple: buts financiers, de

santé et de sécurité, ou environnementaux) et peuvent concerner différents niveaux (par exemple: au niveau

stratégique, à l’échelle de l’organisme, au niveau d’un projet, d’un produit et d’un processus) [2.61]).

Note 3 à l’article: Un objectif peut être exprimé de différentes manières, par exemple comme un résultat recherché,

un but, un critère opérationnel, un objectif de sécurité de l’information, ou en utilisant d’autres mots de sens

Note 4 à l’article: Dans le contexte des systèmes de management de la sécurité de l’information, les objectifs de

sécurité de l’information sont établis par l’organisme, conformément à la politique de sécurité de l’information,

personne ou groupe de personnes qui a ses propres fonctions, avec les responsabilités, les pouvoirs et

Note 1 à l’article: Le concept d’organisme comprend, entre autres, les travailleurs indépendants, compagnies,

sociétés, firmes, entreprises, autorités, partenariats, œuvres de bienfaisance ou institutions, ou toute partie ou

combinaison de ceux-ci, constituée en société de capitaux ou ayant un autre statut, de droit privé ou public.

prendre des dispositions pour qu’un organisme (2.57) externe assure une partie des fonctions ou des

Note 1 à l’article: Un organisme externe se situe hors du champ d’application du système de management (2.46),

Note 1 à l’article: La performance peut se rapporter à des observations quantitatives ou qualitatives.

Note 2 à l’article: La performance peut se rapporter au management des activités, des processus (2.61), des produits

intentions et orientation d’un organisme (2.57) telles que formalisées par sa direction (2.84)

ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de

Note 1 à l’article: «Habituellement implicite» signifie qu’il est d’usage ou de pratique courante pour l’organisme et

les parties intéressées de considérer le besoin ou l’attente en question comme implicite.

Note 2 à l’article: Une exigence spécifiée est une exigence qui est formulée, par exemple, dans des informations

SLOVENSKI STANDARD
oSIST ISO/IEC DIS 27000:2013
01-september-2013

Informacijska tehnologija - Varnostne tehnike - Sistemi upravljanja informacijske

Technologies de l'information -- Techniques de sécurité -- Systèmes de management de

2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION • МЕЖДУНАРОДНАЯ ОРГАНИЗАЦИЯ ПО СТАНДАРТИЗАЦИИ • ORGANISATION INTERNATIONALE DE NORMALISATION

INTERNATIONAL ELECTROTECHNICAL COMMISSION • МЕЖДУНАРОДНАЯ ЭЛЕКТРОТЕХНИЧЕСКАЯ КОММИСИЯ • COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE

Technologies de l'information — Techniques de sécurité — Systèmes de management de la sécurité de

To expedite distribution, this document is circulated as received from the committee

secretariat. ISO Central Secretariat work of editing and text composition will be undertaken at

Pour accélérer la distribution, le présent document est distribué tel qu'il est parvenu du

secrétariat du comité. Le travail de rédaction et de composition de texte sera effectué au

THIS DOCUMENT IS A DRAFT CIRCULATED FOR COMMENT AND APPROVAL. IT IS THEREFORE SUBJECT TO CHANGE AND MAY NOT BE

IN ADDITION TO THEIR EVALUATION AS BEING ACCEPTABLE FOR INDUSTRIAL, TECHNOLOGICAL, COMMERCIAL AND USE

DRAFT INTERNATIONAL STANDARDS MAY ON OCCASION HAVE TO BE CONSIDERED IN THE LIGHT OF THEIR POTENTIAL TO BECOME

RECIPIENTS OF THIS DRAFT ARE INVITED TO SUBMIT, WITH THEIR COMMENTS, NOTIFICATION OF ANY RELEVANT PATENT RIGHTS OF WHICH

All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form or by any

means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior written permission.

Permission can be requested from either ISO at the address below or ISO’s member body in the country of the requester.

Foreword ............................................................................................................................. vi

0 Introduction ............................................................................................................ viii

0.1 Overview ................................................................................................................. viii

0.2 ISMS family of standards ...................................................................................... viii

0.3 Purpose of this International Standard .................................................................. ix

1 Scope ....................................................................................................................... 10

2 Terms and definitions ............................................................................................. 10

3 Information security management systems ......................................................... 24

3.1 Introduction ............................................................................................................. 24

3.2 What is an ISMS? .................................................................................................... 25

3.2.1 Overview and principles ......................................................................................... 25

3.2.2 Information .............................................................................................................. 25

3.2.3 Information security................................................................................................ 26

3.2.4 Management ............................................................................................................ 26

3.2.5 NoteorganizationManagement system.................................................................. 26

3.3 Process approach ................................................................................................... 27

3.4 Why an ISMS is important ...................................................................................... 27

3.5 Establishing, monitoring, maintaining and improving an ISMS ......................... 29

3.5.1 Overview .................................................................................................................. 29

3.5.2 Identifying information security requirements ..................................................... 29

3.5.3 Assessing information security risks ................................................................... 29

3.5.4 Treating information security risks ....................................................................... 30

3.5.5 Selecting and implementing controls ................................................................... 31

3.5.6 Monitor, maintain and improve the effectiveness of the ISMS ........................... 32

3.5.7 Continual improvement .......................................................................................... 32

3.6 ISMS critical success factors ................................................................................. 33

3.7 Benefits of the ISMS family of standards .............................................................. 33

4 ISMS family of standards ....................................................................................... 34

4.1 General information ................................................................................................ 34

4.2 Standards describing an overview and terminology ........................................... 36

4.2.1 ISO/IEC 27000 (this document) .............................................................................. 36

4.3 Standards specifying requirements ...................................................................... 36

4.3.1 ISO/IEC 27001 .......................................................................................................... 36

4.3.2 ISO/IEC 27006 .......................................................................................................... 37

4.4 Standards describing general guidelines ............................................................. 37

4.4.1 ISO/IEC 27002 .......................................................................................................... 37

4.4.2 ISO/IEC 27003 .......................................................................................................... 38

4.4.3 ISO/IEC 27004 .......................................................................................................... 38

4.4.4 ISO/IEC 27005 .......................................................................................................... 38

4.4.5 ISO/IEC 27007 .......................................................................................................... 38

4.4.6 ISO/IEC TR 27008 .................................................................................................... 39

4.4.7 ISO/IEC 27013 .......................................................................................................... 39

4.4.8 ISO/IEC 27014 .......................................................................................................... 39

4.4.9 ISO/IEC TR 27016 .................................................................................................... 40

4.5 Standards describing sector-specific guidelines ................................................ 40

4.5.1 ISO/IEC 27010 .......................................................................................................... 40

4.5.2 ISO/IEC 27011 .......................................................................................................... 41

4.5.3 ISO/IEC TR 27015 .................................................................................................... 41

4.5.4 ISO 27799 ................................................................................................................. 41

Annex A (informative) Verbal forms for the expression of provisions ......................... 42

Annex B (informative) Terms and Terms Ownership ..................................................... 43

B.1 Term ownership ...................................................................................................... 43

B.2 Terms ordered by Standards ................................................................................. 44

1. ISO/IEC 27001 .......................................................................................................... 44

2. ISO/IEC 27002 .......................................................................................................... 44

3. ISO/IEC 27003 .......................................................................................................... 44

4. ISO/IEC 27004 .......................................................................................................... 44

5. ISO/IEC 27005 .......................................................................................................... 45

6. ISO/IEC 27006 .......................................................................................................... 45

7. ISO/IEC 27007 .......................................................................................................... 45

8. ISO/IEC 27008 .......................................................................................................... 45

9. ISO/IEC 27010 .......................................................................................................... 45

10. ISO/IEC 27011 .......................................................................................................... 45

11. ISO/IEC 27014 .......................................................................................................... 46

12. ISO/IEC 27015 .......................................................................................................... 46

13. ISO/IEC 27016 .......................................................................................................... 46

Bibliography ....................................................................................................................... 47

ISO (the International Organization for Standardization) and IEC (the International

Electrotechnical Commission) form the specialized system for worldwide standardization.

International Standards through technical committees established by the respective

organization to deal with particular fields of technical activity. ISO and IEC technical

committees collaborate in fields of mutual interest. Other international organizations,

governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.

In the field of information technology, ISO and IEC have established a joint technical

The main task of the joint technical committee is to prepare International Standards. Draft

International Standards adopted by the joint technical committee are circulated to national

bodies for voting. Publication as an International Standard requires approval by at least

Attention is drawn to the possibility that some of the elements of this document may be the

subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all

ISO/IEC 27000 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information

International Standards for management systems provide a model to follow in setting up

experts in the field have reached a consensus as being the international state of the art.

ISO/IEC JTC 1/SC 27 maintains an expert committee dedicated to the development of

international management systems standards for information security, otherwise known as

Through the use of the ISMS family of standards, organizations can develop and implement

a framework for managing the security of their information assets including financial

information, intellectual property, and employee details, or information entrusted to them by

customers or third parties. These standards can also be used to prepare for an independent

The ISMS family of standards (see Clause 4) is intended to assist organizations of all types

and sizes to implement and operate an ISMS and consists of the following International

Standards, under the general title Information technology — Security techniques (given

 ISO/IEC 27000, Information security management systems — Overview and vocabulary

 ISO/IEC 27006, Requirements for bodies providing audit and certification of information

 ISO/IEC 27010, Information security management guidelines for inter-sector and inter-

 ISO/IEC 27011, Information security management guidelines for telecommunications

 ISO/IEC TR 27015, Information security management guidelines for financial services

Note The general title “Information technology — Security techniques” indicates that these standards were prepared

by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.

International Standards not under the same general title that are also part of the ISMS

This International Standard provides an overview of information security management

Note: Annex A provides clarification on how verbal forms are used to express requirements and/or guidance in the

b) provide direct support, detailed guidance and/or interpretation for the overall process to

 will not cover all terms and definitions applied within the ISMS family of standards; and

Note 1: An audit can be an internal audit (first party) or an external audit (second party or third party),

Note 2: A consequence can be certain or uncertain and in the context of information security is

Note 1: Controls include any process, policy, device,, practice, or other actions which modify risk.

Note 1: Documented information can be in any format and media and from any source.

Note: Executive management is sometimes called top management and can include Chief Executive

Officers, Chief Financial Officers, Chief Information Officers, and similar roles

 the cultural, social, political, legal, regulatory, financial, technological, economic,

natural and competitive environment, whether international, national, regional or

 key drivers and trends having impact on the objectives (2.56) of the organization

 relationships with, and perceptions and values of, external stakeholders (2.82).

Note In addition, other properties, such as authenticity (2.8), accountability, non-repudiation

 the capabilities, understood in terms of resources and knowledge (e.g. capital, time,

Note 1: A management system can address a single discipline or several disciplines.

Note 2: The system elements include the organization’s structure, roles and responsibilities, planning,

Note 3: The scope of a management system may include the whole of the organization, specific and

identified functions of the organization, specific and identified sections of the organization, or one or

Note: The term “measures” is used to refer collectively to base measures, derived measures, and