ISO/IEC 27001:2013
Exigences relatives à la sécurité de l’information
La norme ISO/IEC 27001:2013 est une norme relative à la sécurité de l’information qui spécifie les exigences des systèmes de gestion de la sécurité de l’information (SGSI).
La norme s’intitule ” Technologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information — Exigences” et aide les organisations visant à se conformer à de multiples normes à améliorer leur système informatique.
Les organisations conformes à la norme peuvent être certifiées par un organisme de certification indépendant et accrédité après avoir réussi un audit formel de conformité.
La norme ISO/IEC 27001:2013 comporte dix courtes clauses auxquelles s’ajoute une annexe, qui couvrent :
- Le champ d’application de la norme
- Le processus de référencement d’un document
- La réutilisation des termes et définitions de la norme ISO/IEC 27000
- Le contexte organisationnel et les parties prenantes
- Le leadership en matière de sécurité de l’information
- La planification d’un système de gestion de la sécurité de l’information, d’une évaluation des risques et de leur traitement
- Le soutien d’un système de gestion de la sécurité de l’information
- Le fonctionnement opérationnel d’un système de gestion de la sécurité de l’information
- L’évaluation des performances du système
- La prise de mesures correctives et amélioration du système
Annexe A : Liste des contrôles et de leurs objectifs.