Les normes de sécurité de l'information en amélioration continue.

Les normes de sécurité de l'information en amélioration continue.

Thème: 
Référence
Acteurs: 
Synertal, Exaltex

Ce mois de mai 2020 a été propice aux préparations des évolutions des normes de sécurité de l'information.
L'implication des prestataires engagés beeznet au sein des organes de normalisation et leurs contributions aux enquêtes publiques nous permettent ici de préciser les contours des évolutions de l'ISO 27005 et de l'ISO 27002.

Cycle de vie des normes ISO

Tout d'abord un rappel du cycle de vie d'une norme ISO (International Standard Organisation). Une norme est revue tous les 5 ans. Cette revue aboutit à  reconduire, amender, réviser, supprimer la norme. La création ou révision d'une norme passe par plusieurs stades, les plus significatifs étant :

  • WD - Working draft - version de travail - soumis aux experts des commissions de normalisation des différents pays membres de l'ISO (groupe de travail).
  • CD - Committee draft - projet de norme - soumis également aux experts des commissions de normalisation (groupe de travail).
  • DIS - Draft International Standard - première version aboutie soumise à enquête publique puis aux votes des membres.
  • FDIS - Final Draft International Standard - version "finale" quasi aboutie, soumise au vote des membres après dernières retouches.
  • IS - International Standard - version officielle.

Pour plus de détail, voir le site de l'ISO.

Evolution prévue de ISO 27005

 ISO 27005 traite de "Technologies de l'information — Techniques de sécurité — Gestion des risques liés à la sécurité de l'information". Le projet de norme est au stade CD1. La version actuelle (version 2018) est plus aligné sur les chapitres et la structure du processus de ISO 31000 "Management du risque". Tout en en gardant les principes de ISO 31000 (identification, analyse, évaluation, traitement...), cette évolution  renforce sa spécificité avec une approche menace-vulnérabilité-risque-mesure-lien avec la déclaration d’applicabilité. Quant à la dynamique de pilotage du management de risque (cadre-contexte, surveillance, amélioration…), cette évolution s’appuie maintenant plus sur la dynamique PDCA (Plan-Do-Check-Act) de l'ISO 27001 (chapitre 4, 9, 10…).

Voir le détail sur le site Synertal "Révision de l'ISO 27005 sur la management de risque de sécurité de l'information - tendances et perspectives".
 

Evolution prévue de ISO 27002

ISO 27002 traite de "Technologies de l'information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l'information". Le projet de norme est au stade CD2.

Cette version revoit entièrement la structure de l’ISO 27002. Précédemment structurées en 14 chapitres (5 à 18) et 35 objectifs de sécurité, les 113 mesures de l’ISO 27002 se transforment littéralement. Au delà des  réorganisations, des suppressions et des 13 mesures supplémentaires, c’est aussi leur structuration qui est revue. La tendance est donc à organiser les 95 "nouvelles" mesures en quatre thèmes (organisationnel, humain, physique, technologique) et à leur affecter quatre types d’attribut  (Types de contrôle, Propriétés de sécurité de l'information , Concepts de cybersécurité, Capacités opérationnelles ) pour en faciliter la sélection.

Voir le détail sur le site Synertal "ISO 27002, les mesures et objectifs de sécurité évoluent".