Différence entre ISO 27001 et ISO 27002

ISO 27001 vs ISO 27002

L'ISO 27000 étant une série de normes initiées par l'ISO pour assurer la sûreté et la sécurité au sein des organisations du monde entier, il est intéressant de connaître la différence entre ISO 27001 et ISO 27002, deux des normes de la série ISO 27000. Ces normes ont été mises en place pour le bénéfice des organisations et également pour offrir un service de qualité aux clients. Cet article analyse les différences entre les normes ISO 27001 et ISO 27002.

Qu'est-ce que la norme ISO 27001?

La norme ISO 27001 vise à assurer la sécurité de l'information et la protection des données dans les organisations du monde entier. Cette norme est si importante pour les organisations professionnelles dans la protection de leurs clients et des informations confidentielles de l'organisation contre les menaces. La mise en œuvre du système de gestion de la sécurité de l'information assurerait la qualité, la sécurité, le service et la fiabilité des produits de l'organisation, qui peuvent être sauvegardés à son plus haut niveau.

L'objectif principal de la norme est de fournir des exigences pour l'établissement, la mise en œuvre, le maintien et l'amélioration continue d'un système de gestion de la sécurité de l'information. Dans la plupart des entreprises, les décisions d'adopter ces types de normes sont prises par la direction. De plus, l'obligation d'avoir ce type de système de sécurité de l'information pour l'organisation est due à divers facteurs tels que les buts et objectifs de l'organisation, les exigences de sécurité, la taille et la structure de l'organisation, etc.

Qu'est-ce que l'ISO 27002?

La norme ISO 27002 a initialement été créée en tant que norme ISO 17799, basée sur le code de pratique pour la sécurité de l'information.

La norme a été établie sur la base de diverses lignes directrices et principes pour initier, mettre en œuvre, améliorer et maintenir la gestion de la sécurité de l'information au sein d'une organisation. Les contrôles réels dans la norme répondent à des exigences spécifiques à travers une évaluation formelle des risques.La norme comprend des directives spécifiques pour l'évolution des normes de sécurité organisationnelles et des pratiques efficaces de gestion de la sécurité qui seraient utiles pour renforcer la confiance dans les activités interorganisations.

La version actuelle de la norme a été publiée en 2013 sous la référence ISO 27002: 2013 avec 114 contrôles. Le facteur le plus important à noter est que, au fil des ans, un certain nombre de versions spécifiques de l'industrie de l'ISO 27002 ont été développées ou sont en cours de développement dans les domaines de la santé, de la fabrication, etc.

Quelle est la différence entre ISO 27001 & ISO 27002?

• La norme ISO 27001 exprime les exigences relatives à la gestion de la sécurité de l'information dans les organisations et la norme ISO 27002 fournit un soutien et des conseils aux responsables de l'initiation, de la mise en œuvre ou de la maintenance des systèmes de gestion de la sécurité de l'information.

• ISO 27001 est une norme d'audit basée sur des exigences vérifiables, tandis que l'ISO 27002 est un guide de mise en œuvre basé sur les meilleures pratiques recommandées.

• L'ISO 27001 inclut une liste des contrôles de gestion pour les organisations tandis que la norme ISO 27002 contient une liste des contrôles opérationnels pour les organisations.

• La norme ISO 27001 peut être utilisée pour vérifier et certifier le système de gestion de la sécurité de l'information de l'organisation, et la norme ISO 27002 peut être utilisée pour évaluer l'exhaustivité du programme de sécurité de l'information d'une organisation.

Attribution de l'image: "CIAJMK1209" par John M. Kennedy T. (CC BY-SA 3. 0)