Conformité ISO 27002 pour PME

Les politiques de sécurité de l’information apportent une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur. Il s’agit de définir les orientations de la direction en matière de sécurité de l’information.

L’organisation de la sécurité de l’information permet d’établir un cadre de gestion pour engager et vérifier la mise en œuvre et le fonctionnement de la sécurité de l’information au sein de l’organisation. Elle permet également d’assurer la sécurité les activités nomades hors du périmètre physique de l’organisation telles le télétravail et l’utilisation d’appareils mobiles.

La sécurité des ressources humaines consiste à s’assurer que les collaborateurs comprennent leurs responsabilités en matière de sécurité de l’information, qu’ils en sont conscients et qu’ils les assument. Les intérêts de l’organisation demeurent protégés dans le cadre du processus de modification, de rupture ou de terme d’un contrat de travail.

La gestion des actifs informationnels est primordiale. L’organisation doit identifier ses actifs et définir les responsabilités afin de s’assurer qu’ils bénéficient d’un niveau de protection adéquat conforme à son importance pour l’activité. La divulgation, la modification, la destruction non autorisée d’information stockée sur tout support doivent être empêchées.

Le contrôle d’accès limite l’accès à l’information et aux moyens de traitement de l’information, maîtrise l’accès utilisateur par le biais d’autorisations et empêche les accès non autorisés aux systèmes, aux applications et aux services d’information. Les utilisateurs sont responsables de la protection de leurs informations d’authentification.

La cryptographie permet de protéger la confidentialité, l’authenticité et/ou l’intégrité de l’information mais il faut obtenir la garantie de son utilisation correcte et efficace.

La sécurité physique et environnementale prévient tout accès physique non autorisé, tout dommage ou intrusion portant sur l’information et les moyens de traitement de l’information de l’organisation. Elle vise à empêcher la perte, l’endommagement, le vol ou la compromission des actifs et l’interruption des activités de l’organisation.

La sécurité de l’exploitation permet de s’assurer que l’information et les moyens de traitement de l’information sont protégés contre les logiciels malveillants. Elle garantit l’intégrité des systèmes en exploitation et empêche toute exploitation des vulnérabilités techniques.

La sécurité des communications protège l’information qui transite via les réseaux et à travers les infrastructures informatiques utilisées pour assurer cette sécurité. Elle maintient la sécurité de l’information circulant à l’intérieur et à l’extérieur de l’organisation.

Exigences de sécurité applicables aux systèmes d’information
Sécurité des processus de développement et d’assistance technique
Données de test

La sécurité liée aux relations avec les fournisseurs vise à garantir la protection des actifs de l’organisation accessibles aux fournisseurs. Elle assure également le maintien du niveau convenu de sécurité de l’information et de prestation de services, conformément aux accords conclus avec les fournisseurs.

La gestion des incidents de sécurité de l’information doit s’appuyer sur une méthode cohérente et efficace, incluant la communication des événements et des failles de sécurité.

La continuité de la sécurité de l’information doit faire partie intégrante des systèmes de gestion de la continuité de l’activité. Elle vise à garantir la disponibilité des moyens informatiques.

La conformité a pour but d’éviter toute violation des exigences et obligations légales, statutaires, réglementaires ou contractuelles relatives à la sécurité de l’information. Elle doit garantir une sécurité mise en œuvre et appliquée conformément aux politiques et procédures organisationnelles.