technologies de l'information — techniques de sécurité
TRANSCRIPT
Technologies de linformation mdash Techniques de seacutecuriteacute mdash Systegravemes de management de la seacutecuriteacute de linformation mdash Vue densemble et vocabulaireInformation technology mdash Security techniques mdash Information security management systems mdash Overview and vocabulary
Redline versioncompare la Cinquiegraveme eacutedition
agrave la Quatriegraveme eacutedition
NORME INTERNATIONALE
ISOIEC27000
Numeacutero de reacutefeacuterenceISOIEC 27000redline2018(F)
copy ISOIEC 2018
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
IMPORTANT mdash PLEASE NOTEThis is a mark-up copy and uses the following colour coding
Text example 1 mdash indicates added text (in green)Text example 2 mdash indicates removed text (in red)
mdashindicatesaddedgraphicfigure mdashindicatesremovedgraphicfigure
1x mdashHeadingnumberscontaingmodificationsarehighlighted in yellow in the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes between this edition of the standard and its previous edition It doesnrsquot capture all single changessuchaspunctuationbuthighlightsthemodificationsprovidingcustomerswiththe most valuable information Therefore it is important to note that this Redline version is nottheofficialISOstandardandthattheusersmustconsultwiththecleanversionofthestandardwhichistheofficialstandardforimplementationpurposes
ii copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
DOCUMENT PROTEacuteGEacute PAR COPYRIGHT
copy ISOIEC 2018Tous droits reacuteserveacutes Sauf prescription diffeacuterente ou neacutecessiteacute dans le contexte de sa mise en oeuvre aucune partie de cette publication ne peut ecirctre reproduite ni utiliseacutee sous quelque forme que ce soit et par aucun proceacutedeacute eacutelectronique ou meacutecanique y compris la photocopie ou la diffusion sur lrsquointernet ou sur un intranet sans autorisation eacutecrite preacutealable Une autorisation peut ecirctre demandeacutee agrave lrsquoISO agrave lrsquoadresse ci-apregraves ou au comiteacute membre de lrsquoISO dans le pays du demandeur
ISOcopyrightofficeCase postale 401 bull Ch de Blandonnet 8CH-1214 Vernier GenevaTeacutel +41 22 749 01 11Fax +41 22 749 09 47E-mail copyrightisoorgWeb wwwisoorg
Publieacute en Suisse
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Avant-propos vIntroduction vi
02 La famille de normes du SMSI vi02 Objet du preacutesent document vii03 Objet de la preacutesente Norme internationale vii
1 Domaine drsquoapplication 12 Reacutefeacuterences normatives 1
2 3 Termes et deacutefinitions definitions 13 4 Systegravemes de management de la seacutecuriteacute de linformation 14
31 41 Geacuteneacuteraliteacutes 1432 42 Quest-ce quun SMSI 15
321 421 Vue densemble et principes 15322 422 Linformation 16323 423 Seacutecuriteacute de linformation 16324 424 Management 16325 425 Systegraveme de management 16
33 43 Approche processus 1734 44 Raisons expliquant pourquoi un SMSI est important 1735 45 Eacutetablissement surveillance maintenance et ameacutelioration dun SMSI 18
351 451 Vue densemble 18352 452Identifierlesexigenceslieacuteesagravelaseacutecuriteacutedelinformation 18353 453 Appreacutecier les risques lieacutes agrave la seacutecuriteacute de linformation 19354 454 Traiter les risques lieacutes agrave la seacutecuriteacute de linformation 19355 455 Seacutelectionner et mettre en œuvre les mesures de seacutecuriteacute 20356 456SurveillermettreagravejouretameacuteliorerlefficaciteacuteduSMSI 21357 457 Ameacutelioration continue 21
36 46 Facteurs critiques de succegraves du SMSI 2137 47 Avantages de la famille de normes du SMSI 22
4 5 La famille de normes du SMSI 2241 51 Information Informations geacuteneacuterales 2242 52 Normes Norme donnant une vue densemble et deacutecrivant la terminologie ISO
IEC 27000 (le preacutesent document) 24421 ISOIEC 27000 (la preacutesente Norme internationale) 24
43 53 Normesspeacutecifiantdesexigences 24431 531 ISOIEC 27001 ISOIEC27001 24432 532 ISOIEC 27006 ISOIEC27006 25533 ISOIEC 27009 25
44 54 Normes deacutecrivant des lignes directrices geacuteneacuterales 25441 541 ISOIEC 27002 ISOIEC27002 25442 542 ISOIEC 27003 ISOIEC27003 26443 543 ISOIEC 27004 ISOIEC27004 26444 544 ISOIEC 27005 ISOIEC27005 26445 545 ISOIEC 27007 ISOIEC27007 26446 546 ISOIECTR 27008 ISOIECTR27008 27447 547 ISOIEC 27013 ISOIEC27013 27448 548 ISOIEC 27014 ISOIEC27014 27449 549 ISOIECTR 27016 ISOIECTR27016 285410 ISOIEC 27021 28
45 55 Normes deacutecrivant des lignes directrices propres agrave un secteur 28451 551 ISOIEC 27010 ISOIEC27010 28452 552 ISOIEC 27011 ISOIEC27011 29453 ISOIECTR 27015 29454 553 ISOIEC 27017 ISOIEC27017 29
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes iii
Sommaire Page
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
455 554 ISOIEC 27018 ISOIEC27018 30456 555 ISOIECTR 27019 ISOIEC27019 30457 556 ISO 27799 ISO27799 31
Annexe A (informative) Formes verbales utiliseacutees pour exprimer des dispositions 32Annexe B (informative) Termes et proprieacuteteacute des termes 33Bibliographie 39
iv copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Avant-propos
LISO (Organisation internationale de normalisation) et lIEC (Commission eacutelectrotechnique internationale) forment le systegraveme speacutecialiseacute de la normalisation mondiale Les organismes nationauxest une feacutedeacuteration mondiale dorganismes nationaux de normalisation (comiteacutes membres de lISO ou de lIEC participent agrave leacutelaboration de Normes internationales par lintermeacutediaire de comiteacutes techniques creacuteeacutes par lorganisme concerneacute pour traiter de domaines particuliers agrave une activiteacute technique Les)LeacutelaborationdesNormes internationalesestengeacuteneacuteralconfieacuteeaux comiteacutes techniques de lISO et de lIEC collaborent dans des domaines drsquointeacuterecirct commun Dautres organismes internationaux gouvernementaux et non gouvernementaux Chaque comiteacute membre inteacuteresseacute par une eacutetude a le droit de faire partie du comiteacute technique creacuteeacute agrave cet effet Les organisations internationales gouvernementales et non gouvernementales en liaison avec lISO et lIEC participent eacutegalement aux travaux Dans le domaine des technologies de linformation lISO et lIEC ont creacuteeacute un comiteacute technique mixte lISOIEC JTC 1LISO collabore eacutetroitement avec la Commission eacutelectrotechnique internationale (IEC) en ce qui concerne la normalisation eacutelectrotechnique
Les proceacutedures utiliseacutees pour eacutelaborer le preacutesent document et celles destineacutees agrave sa mise agrave jour sont deacutecrites dans les Directives ISOIEC Partie 1 Il convient en particulier de prendre note des diffeacuterents critegraveres dapprobation requis pour les diffeacuterents types de documentdocuments ISO Le preacutesent document a eacuteteacute reacutedigeacute conformeacutement aux regravegles de reacutedaction donneacutees dans les Directives ISOIEC Partie 2 (voir http www iso org directiveswww iso org directives)
Lrsquoattention est appeleacuteeLattention est attireacutee sur le fait que certains des eacuteleacutements du preacutesent document peuvent faire lrsquoobjetlobjet de droits de proprieacuteteacute intellectuelle ou de droits analogues LrsquoISOLISO nesauraitecirctre tenuepourresponsabledenepasavoir identifieacutede telsdroitsdeproprieacuteteacuteetavertide leur existence Les deacutetails concernant les reacutefeacuterences aux droits de proprieacuteteacute intellectuelle ou autres droits analogues identifieacutes lors de lrsquoeacutelaborationleacutelaboration du document sont indiqueacutes dans lrsquoIntroductionlIntroduction etou dans la liste des deacuteclarations de brevets reccedilues par lrsquoISOlISO (voir www iso org brevetswww iso org brevets)
Les appellations commerciales eacuteventuellement mentionneacutees dans le preacutesent document sont donneacutees pour information par souci de commoditeacute agrave lintentionlrsquointention des utilisateurs et ne sauraient constituer un engagement
Pour une explication de la nature volontaire des normes la signification des termes et expressionsspeacutecifiquesdelISOlieacutesagraveleacutevaluationdelaconformiteacuteoupourtouteinformationausujetdeladheacutesionde lISO aux principes de lOMClrsquoOrganisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC) voir le lien suivant Avant-propos mdash Informations suppleacutementaireswww iso org avant -propos
Le comiteacute chargeacute de leacutelaboration du preacutesent document est lISOpreacutesent document a eacuteteacute eacutelaboreacute par le comiteacute technique ISOIEC JTC 1 Technologies de linformation sous-comiteacute SC 27 Techniques de seacutecuriteacute des technologies de linformation
Cette quatriegravemecinquiegraveme eacutedition annule et remplace la troisiegravemequatriegraveme eacutedition (ISOIEC 2700020142016) qui a fait lobjet dune reacutevision techniqueLesprincipalesmodificationsparrapport agrave leacutedition preacuteceacutedente sont les suivantes
mdash modificationdutextedelIntroduction
mdash suppressiondecertainstermesetdeacutefinitions
mdash alignement de lArticle 3parrapportagravelastructure-cadrepourMSS
mdash mise agrave jour de lArticle 5pourrefleacuteterlesmodificationsdanslesnormesconcerneacutees
mdash suppression des Annexes A et B
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes v
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Introduction
01 Vue densemble
Les Normes internationales relatives aux systegravemes de management fournissent un modegravele en matiegravere deacutetablissement et dexploitation dun systegraveme de management Ce modegravele comprend les caracteacuteristiques que les experts dans le domaine saccordent agrave reconnaicirctre comme refleacutetant leacutetat de lart au niveauinternational Le sous-comiteacute ISOIEC JTC 1SC 27 beacuteneacuteficie de lexpeacuterience dun comiteacute dexpertsqui se consacre agrave leacutelaboration des Normes internationales sur les systegravemes de management pour la seacutecuriteacute de linformation connues eacutegalement comme famille de normes du Systegraveme de Management de la Seacutecuriteacute de lInformation (SMSI)
Gracircce agrave lutilisation de la famille de normes du SMSI les organismes peuvent eacutelaborer et mettre en œuvre un cadre de reacutefeacuterence pour geacuterer la seacutecuriteacute de leurs actifs informationnels y compris les informations financiegravereslaproprieacuteteacuteintellectuellelesinformationssurlesemployeacutesoulesinformationsquileursontconfieacuteespardesclientsoudestiersIlspeuventeacutegalementutilisercesnormespoursepreacutepareragraveune eacutevaluation indeacutependante de leur SMSI en matiegravere de protection de linformation
02 La famille de normes du SMSI
La famille de normes du SMSI (voir Article 4) a pour objet drsquoaider les organismes de tous types et de toutes tailles agrave deacuteployer et agrave exploiter un SMSI Elle se compose des Normes internationales suivantes (indiqueacutees ci-dessous par ordre numeacuterique) regroupeacutees sous le titre geacuteneacuteral Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute
mdash ISOIEC 27000 Systegravemes de management de la seacutecuriteacute de lrsquoinformation mdash Vue drsquoensemble et vocabulaire
mdash ISOIEC 27001 Systegravemes de management de la seacutecuriteacute de lrsquoinformation mdash Exigences
mdash ISOIEC 27002 Code de bonnes pratiques pour le management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27003 Lignes directrices pour la mise en œuvre du systegraveme de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27004 Management de la seacutecuriteacute de lrsquoinformation mdash Mesurage
mdash ISOIEC 27005 Gestion des risques lieacutes agrave la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27006 Exigences pour les organismes proceacutedant agrave lrsquoaudit et agrave la certification des systegravemes de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27007 Lignes directrices pour lrsquoaudit des systegravemes de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIECTR 27008 Lignes directrices pour les auditeurs des controcircles de seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27009 Application de lrsquoISOIEC 27001 agrave un secteur speacutecifique mdash Exigences
mdash ISOIEC 27010 Gestion de la seacutecuriteacute de lrsquoinformation des communications intersectorielles et interorganisationnelles
mdash ISOIEC 27011 Lignes directrices du management de la seacutecuriteacute de lrsquoinformation pour les organismes de teacuteleacutecommunications sur la base de lrsquoISOIEC 27002
mdash ISOIEC 27013 Guide sur la mise en œuvre inteacutegreacutee de lrsquoISOIEC 27001 et ISOIEC 20000-1
mdash ISOIEC 27014 Gouvernance de la seacutecuriteacute de lrsquoinformation
mdash ISOIECTR 27015 Lignes directrices pour le management de la seacutecuriteacute de lrsquoinformation pour les services financiers
mdash ISOIECTR 27016 Management de la seacutecuriteacute de lrsquoinformation mdash Eacuteconomie organisationnelle
vi copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash ISOIEC 27017 Code de bonnes pratiques pour les controcircles de seacutecuriteacute de lrsquoinformation fondeacutes sur lrsquoISOIEC 27002 pour les services du nuage
mdash ISOIEC 27018 Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans lrsquoinformatique en nuage public agissant comme processeur de PII
mdash ISOIEC 27019 Lignes directrices de management de la seacutecuriteacute de lrsquoinformation fondeacutees sur lrsquoISOIEC 27002 pour les systegravemes de controcircle des processus speacutecifiques agrave lrsquoindustrie de lrsquoeacutenergie
NOTE Le titre geacuteneacuteral laquo Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute raquo indique que ces Normes internationales ont eacuteteacute eacutelaboreacutees par le comiteacute technique mixte ISOIEC JTC 1 Technologies de lrsquoinformation sous-comiteacute SC 27 Techniques de seacutecuriteacute des technologies de lrsquoinformation
Les Normes internationales qui font eacutegalement partie de la famille de normes du SMSI mais qui ne sont pas regroupeacutees sous le mecircme titre geacuteneacuteral sont les suivantes
mdash ISO 27799 Informatique de santeacute mdash Management de la seacutecuriteacute de lrsquoinformation relative agrave la santeacute en utilisant lrsquoISOIEC 27002
02 Objet du preacutesent document
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des recommandations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de leacutevaluation de la conformiteacute dun SMSI
03 Objet de la preacutesente Norme internationale
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationetdeacutefinitlestermesquisrsquoyrapportent
NOTE LrsquoAnnexe A fournit des eacuteclaircissements sur la faccedilon dont les formes verbales sont utiliseacutees pour exprimer des exigences etou des preacuteconisations dans la famille de normes du SMSI
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des preacuteconisations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de lrsquoeacutevaluation de la conformiteacute drsquoun SMSI
LestermesetlesdeacutefinitionsfournisdanslapreacutesenteNormeinternationale
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
03 Contenu du preacutesent document
copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes vii
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Dans le preacutesent document les formes verbales suivantes sont utiliseacutees
mdash laquodoitraquoindiqueuneexigence
mdash laquoilconvientraquoindiqueunerecommandation
mdash laquopeutraquo indique une autorisation (laquomayraquo en anglais)
mdash ou une possibiliteacute ou une capaciteacute (laquocanraquo en anglais)
Les informations sous forme de laquoNOTEraquo sont fournies pour clarifier lrsquoexigence associeacutee ou enfaciliter la compreacutehension Les laquoNotes agrave lrsquoarticleraquo employeacutees agrave lrsquoArticle 3 fournissent des informations suppleacutementaires qui viennent compleacuteter les donneacutees terminologiques et peuvent contenir des dispositions concernant lrsquousage drsquoun terme
viii copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
Technologies de linformation mdash Techniques de seacutecuriteacute mdash Systegravemes de management de la seacutecuriteacute de linformation mdash Vue densemble et vocabulaire
1 Domaine drsquoapplication
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationainsiquedestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSILa preacutesente Norme internationale est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Le preacutesent document offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute de lrsquoinformation(SMSI)Ilcomprendeacutegalementlestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormes du SMSI Le preacutesent document est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Lestermesetlesdeacutefinitionsfournisdanslepreacutesentdocument
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
2 Reacutefeacuterences normatives
Le preacutesent document ne contient aucune reacutefeacuterence normative
2 3 Termes et deacutefinitions definitions
Pour les besoins du preacutesent document les termes et deacutefinitions suivants sappliquentLrsquoISO et lrsquoIEC tiennent agrave jour des bases de donneacutees terminologiques destineacutees agrave ecirctre utiliseacutees en normalisation consultables aux adresses suivantes
mdash ISO Online browsing platform disponible agrave lrsquoadresse https www iso org obp
mdash IEC Electropedia disponible agrave lrsquoadresse http www electropedia org
21 31controcircle daccegravesmoyens mis en œuvre pour assurer que laccegraves aux actifs est autoriseacute et limiteacute selon les exigences (263 356) propres agrave la seacutecuriteacute et agrave lactiviteacute meacutetier
22modegravele analytiquealgorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires (210) etou mesures deacuteriveacutees (222) avec les critegraveres de deacutecision associeacutes (221)
23 32attaquetentativededeacutetruirederendrepublicdemodifierdinvaliderdevoleroudutilisersansautorisationun actif ou de faire un usage non autoriseacute de celui-ci
NORME INTERNATIONALE ISOIEC 27000redline2018(F)
copy ISO 2018 ndash Tous droits reacuteserveacutes 1
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
24attributproprieacuteteacute ou caracteacuteristique dun objet (255) qui peut ecirctre distingueacute quantitativement ou qualitativement par des moyens humains ou automatiques
[SOURCE ISOIEC15939200722modifieacuteemdashLetermelaquoentiteacuteraquoaeacuteteacuteremplaceacuteparlaquoobjetraquodansladeacutefinition]
25 33auditprocessus (261)processus meacutethodique indeacutependant et documenteacute (354) permettant dobtenir des preuves daudit et de les eacutevaluer de maniegravere objective pour deacuteterminer dans quelle mesure les critegraveres daudit sont satisfaits
Note 1 agrave larticle Un audit peut ecirctre interne (audit de premiegravere partie) externe (audit de seconde ou de tierce partie) ou combineacute (associant deux disciplines ou plus)
Note 2 agrave larticle Un audit interne est reacutealiseacute par lrsquoorganisme lui-mecircme ou par une partie externe pour le compte de celui-ci
Note3agravelarticleLestermeslaquopreuvesdauditraquoetlaquocritegraveresdauditraquosontdeacutefinisdanslISO19011
26 34champ de lauditeacutetendue et limites dun audit (25 33)
[SOURCEISO190112011314modifieacuteemdashSuppressiondelanote1agravelarticle]
27 35authentificationmeacutethode permettant de garantir quune caracteacuteristique revendiqueacutee pour une entiteacute est correcte
28 36authenticiteacuteproprieacuteteacute selon laquelle une entiteacute est ce quelle revendique ecirctre
29 37disponibiliteacuteproprieacuteteacute decirctre accessible et utilisable agrave la demande par une entiteacute autoriseacutee
210 38mesure eacuteleacutementairemesure (247 342)deacutefinieenfonctiondunattribut (24)attributetdelameacutethodedemesuragespeacutecifieacuteepourlequantifier
[SOURCE ISOIEC15939200723modifieacuteemdashSuppressiondelanote2agravelarticle]
Note 1 agrave larticle Une mesure eacuteleacutementaire est fonctionnellement indeacutependante des autres mesures (247)mesures
[SOURCE ISOIECIEEE15939201733modifieacuteemdashSuppressiondelanote2agravelarticle]
211 39compeacutetencecapaciteacute agrave appliquer des connaissances et des aptitudes pour obtenir les reacutesultats escompteacutes
212 310confidentialiteacuteproprieacuteteacute selon laquelle linformation nest pas diffuseacutee ni divulgueacutee agrave des personnes des entiteacutes ou des processus (261 354) non autoriseacutes
2 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
213 311conformiteacutesatisfaction dune exigence (263 356)
Note 1 agrave larticle Le terme anglais laquo conformance raquo est un synonyme mais il est deacuteconseilleacute
214 312conseacutequenceeffet dun eacuteveacutenement (225 321) affectant les objectifs (256 349)
[SOURCE Guide ISO 7320093613modifieacute]
Note 1 agrave larticle Un eacuteveacutenement (225)eacuteveacutenement peut entraicircner engendrer une seacuterie de conseacutequences
Note 2 agrave larticle Une conseacutequence peut ecirctre certaine ou incertaine Dans dans le contexte de la seacutecuriteacute de linformation (233)seacutecuriteacute de linformation elle est geacuteneacuteralement neacutegative
Note 3 agrave larticle Les conseacutequences peuvent ecirctre exprimeacutees de faccedilon qualitative ou quantitative
Note 4 agrave larticle Des conseacutequences initiales peuvent deacuteclencher des reacuteactions en chaicircne
[SOURCE Guide ISO 7320093613modifieacutemdashModificationdelaNote2agravelarticleapregraveslaquoetraquo]
215 313ameacutelioration continueactiviteacute reacuteguliegravere destineacutee agrave ameacuteliorer les performances (259 352)
216 314mesure de seacutecuriteacutemesurequimodifieunrisque (268 361)
[SOURCE Guide ISO 7320093811]
Note 1 agrave larticle Les mesures de seacutecuriteacute comprennent tous les processus (261 354) politiques (260 353) dispositifspratiquesouautresactionsquimodifientunrisque (268 361)
Note 2 agrave larticle Les Il est possible que les mesures de seacutecuriteacute ne peuvent puissent pas toujours aboutir agrave la modificationvoulueousupposeacutee
[SOURCE Guide ISO 7320093811mdashModificationdelaNote2agravelarticle]
217 315objectif drsquoune dune mesure de seacutecuriteacutedeacuteclaration deacutecrivant ce qui est attendu de la mise en œuvre des mesures de seacutecuriteacute (216 314)
218 316correctionaction visant agrave eacuteliminer une non-conformiteacute (253 347) deacutetecteacutee
219 317action correctiveaction visant agrave eacuteliminer la cause dune non-conformiteacute (253 347) et agrave empecirccher quelle ne se reacutepegravete
220donneacuteesensemble des valeurs attribueacutees aux mesures eacuteleacutementaires (210) mesures deacuteriveacutees (222) etou aux indicateurs (230)
[SOURCE ISOIEC15939200724modifieacuteemdashAjoutdelanote1agravelarticle]
Note1agravelarticleCettedeacutefinitionsappliqueuniquementdanslecontextedelISOIEC 27004
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 3
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
221critegraveres de deacutecisionseuils cibles ou modegraveles utiliseacutes pour deacuteterminer la neacutecessiteacute dune action ou dun compleacutement denquecircteoupourdeacutecrireleniveaudeconfiancedansunreacutesultatdonneacute
[SOURCE ISOIEC15939200727]
222 318mesure deacuteriveacuteemesure (247 342)deacutefinieenfonctiondaumoinsdeuxmesures eacuteleacutementaires (210 38)
[SOURCE ISOIECIEEE 159392007 28 2017 38modifieacuteemdashSuppressiondelanote1agravelarticle]
223 319informations documenteacuteesinformations devant ecirctre controcircleacutees et mises agrave jour par un organisme (257 350) et le support sur lequel elles sont stockeacutees
Note 1 agrave larticle Les informations documenteacutees peuvent ecirctre dans nimporte quel format sur nimporte quel support et provenir de nimporte quelle source
Note 2 agrave larticle Les informations documenteacutees peuvent se rapporter
mdash au systegraveme de management (246341) et aux processus (261)processus associeacutes (354)
mdash aux informations creacuteeacutees pour permettre agrave lorganisme (257350)defonctionner(documentation)
mdash aux preuves des reacutesultats obtenus (enregistrements)
224 320efficaciteacuteniveaudereacutealisationdesactiviteacutesplanifieacuteesetdobtentiondesreacutesultatsescompteacutes
225 321eacuteveacutenementoccurrence ou changement dun ensemble particulier de circonstances
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
Note 1 agrave larticle Un eacuteveacutenement peut ecirctre unique ou se reproduire Il peut avoir plusieurs causes
Note 2 agrave larticle Un eacuteveacutenement peut consister en quelque chose qui ne se produit pas
Note3agravelarticleUneacuteveacutenementpeutparfoisecirctrequalifieacutelaquodincidentraquooulaquodaccidentraquo
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
226management exeacutecutifpersonne ou groupe de personnes ayant reccedilu des instances dirigeantes (229) la responsabiliteacute de la miseenœuvredesstrateacutegiesetpolitiquesafindatteindrelesobjectifsdelorganisme (257)
Note 1 agrave larticle Le management exeacutecutif est parfois appeleacute la direction (284) Il peut comprendre les preacutesidents directeurs geacuteneacuteraux les directeurs financiers les directeurs des systegravemes dinformation et autres fonctionssimilaires
227 322contexte externeenvironnement externe dans lequel lorganisme cherche agrave atteindre ses objectifs (256 349)
Note 1 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
4 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
IMPORTANT mdash PLEASE NOTEThis is a mark-up copy and uses the following colour coding
Text example 1 mdash indicates added text (in green)Text example 2 mdash indicates removed text (in red)
mdashindicatesaddedgraphicfigure mdashindicatesremovedgraphicfigure
1x mdashHeadingnumberscontaingmodificationsarehighlighted in yellow in the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes between this edition of the standard and its previous edition It doesnrsquot capture all single changessuchaspunctuationbuthighlightsthemodificationsprovidingcustomerswiththe most valuable information Therefore it is important to note that this Redline version is nottheofficialISOstandardandthattheusersmustconsultwiththecleanversionofthestandardwhichistheofficialstandardforimplementationpurposes
ii copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
DOCUMENT PROTEacuteGEacute PAR COPYRIGHT
copy ISOIEC 2018Tous droits reacuteserveacutes Sauf prescription diffeacuterente ou neacutecessiteacute dans le contexte de sa mise en oeuvre aucune partie de cette publication ne peut ecirctre reproduite ni utiliseacutee sous quelque forme que ce soit et par aucun proceacutedeacute eacutelectronique ou meacutecanique y compris la photocopie ou la diffusion sur lrsquointernet ou sur un intranet sans autorisation eacutecrite preacutealable Une autorisation peut ecirctre demandeacutee agrave lrsquoISO agrave lrsquoadresse ci-apregraves ou au comiteacute membre de lrsquoISO dans le pays du demandeur
ISOcopyrightofficeCase postale 401 bull Ch de Blandonnet 8CH-1214 Vernier GenevaTeacutel +41 22 749 01 11Fax +41 22 749 09 47E-mail copyrightisoorgWeb wwwisoorg
Publieacute en Suisse
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Avant-propos vIntroduction vi
02 La famille de normes du SMSI vi02 Objet du preacutesent document vii03 Objet de la preacutesente Norme internationale vii
1 Domaine drsquoapplication 12 Reacutefeacuterences normatives 1
2 3 Termes et deacutefinitions definitions 13 4 Systegravemes de management de la seacutecuriteacute de linformation 14
31 41 Geacuteneacuteraliteacutes 1432 42 Quest-ce quun SMSI 15
321 421 Vue densemble et principes 15322 422 Linformation 16323 423 Seacutecuriteacute de linformation 16324 424 Management 16325 425 Systegraveme de management 16
33 43 Approche processus 1734 44 Raisons expliquant pourquoi un SMSI est important 1735 45 Eacutetablissement surveillance maintenance et ameacutelioration dun SMSI 18
351 451 Vue densemble 18352 452Identifierlesexigenceslieacuteesagravelaseacutecuriteacutedelinformation 18353 453 Appreacutecier les risques lieacutes agrave la seacutecuriteacute de linformation 19354 454 Traiter les risques lieacutes agrave la seacutecuriteacute de linformation 19355 455 Seacutelectionner et mettre en œuvre les mesures de seacutecuriteacute 20356 456SurveillermettreagravejouretameacuteliorerlefficaciteacuteduSMSI 21357 457 Ameacutelioration continue 21
36 46 Facteurs critiques de succegraves du SMSI 2137 47 Avantages de la famille de normes du SMSI 22
4 5 La famille de normes du SMSI 2241 51 Information Informations geacuteneacuterales 2242 52 Normes Norme donnant une vue densemble et deacutecrivant la terminologie ISO
IEC 27000 (le preacutesent document) 24421 ISOIEC 27000 (la preacutesente Norme internationale) 24
43 53 Normesspeacutecifiantdesexigences 24431 531 ISOIEC 27001 ISOIEC27001 24432 532 ISOIEC 27006 ISOIEC27006 25533 ISOIEC 27009 25
44 54 Normes deacutecrivant des lignes directrices geacuteneacuterales 25441 541 ISOIEC 27002 ISOIEC27002 25442 542 ISOIEC 27003 ISOIEC27003 26443 543 ISOIEC 27004 ISOIEC27004 26444 544 ISOIEC 27005 ISOIEC27005 26445 545 ISOIEC 27007 ISOIEC27007 26446 546 ISOIECTR 27008 ISOIECTR27008 27447 547 ISOIEC 27013 ISOIEC27013 27448 548 ISOIEC 27014 ISOIEC27014 27449 549 ISOIECTR 27016 ISOIECTR27016 285410 ISOIEC 27021 28
45 55 Normes deacutecrivant des lignes directrices propres agrave un secteur 28451 551 ISOIEC 27010 ISOIEC27010 28452 552 ISOIEC 27011 ISOIEC27011 29453 ISOIECTR 27015 29454 553 ISOIEC 27017 ISOIEC27017 29
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes iii
Sommaire Page
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
455 554 ISOIEC 27018 ISOIEC27018 30456 555 ISOIECTR 27019 ISOIEC27019 30457 556 ISO 27799 ISO27799 31
Annexe A (informative) Formes verbales utiliseacutees pour exprimer des dispositions 32Annexe B (informative) Termes et proprieacuteteacute des termes 33Bibliographie 39
iv copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Avant-propos
LISO (Organisation internationale de normalisation) et lIEC (Commission eacutelectrotechnique internationale) forment le systegraveme speacutecialiseacute de la normalisation mondiale Les organismes nationauxest une feacutedeacuteration mondiale dorganismes nationaux de normalisation (comiteacutes membres de lISO ou de lIEC participent agrave leacutelaboration de Normes internationales par lintermeacutediaire de comiteacutes techniques creacuteeacutes par lorganisme concerneacute pour traiter de domaines particuliers agrave une activiteacute technique Les)LeacutelaborationdesNormes internationalesestengeacuteneacuteralconfieacuteeaux comiteacutes techniques de lISO et de lIEC collaborent dans des domaines drsquointeacuterecirct commun Dautres organismes internationaux gouvernementaux et non gouvernementaux Chaque comiteacute membre inteacuteresseacute par une eacutetude a le droit de faire partie du comiteacute technique creacuteeacute agrave cet effet Les organisations internationales gouvernementales et non gouvernementales en liaison avec lISO et lIEC participent eacutegalement aux travaux Dans le domaine des technologies de linformation lISO et lIEC ont creacuteeacute un comiteacute technique mixte lISOIEC JTC 1LISO collabore eacutetroitement avec la Commission eacutelectrotechnique internationale (IEC) en ce qui concerne la normalisation eacutelectrotechnique
Les proceacutedures utiliseacutees pour eacutelaborer le preacutesent document et celles destineacutees agrave sa mise agrave jour sont deacutecrites dans les Directives ISOIEC Partie 1 Il convient en particulier de prendre note des diffeacuterents critegraveres dapprobation requis pour les diffeacuterents types de documentdocuments ISO Le preacutesent document a eacuteteacute reacutedigeacute conformeacutement aux regravegles de reacutedaction donneacutees dans les Directives ISOIEC Partie 2 (voir http www iso org directiveswww iso org directives)
Lrsquoattention est appeleacuteeLattention est attireacutee sur le fait que certains des eacuteleacutements du preacutesent document peuvent faire lrsquoobjetlobjet de droits de proprieacuteteacute intellectuelle ou de droits analogues LrsquoISOLISO nesauraitecirctre tenuepourresponsabledenepasavoir identifieacutede telsdroitsdeproprieacuteteacuteetavertide leur existence Les deacutetails concernant les reacutefeacuterences aux droits de proprieacuteteacute intellectuelle ou autres droits analogues identifieacutes lors de lrsquoeacutelaborationleacutelaboration du document sont indiqueacutes dans lrsquoIntroductionlIntroduction etou dans la liste des deacuteclarations de brevets reccedilues par lrsquoISOlISO (voir www iso org brevetswww iso org brevets)
Les appellations commerciales eacuteventuellement mentionneacutees dans le preacutesent document sont donneacutees pour information par souci de commoditeacute agrave lintentionlrsquointention des utilisateurs et ne sauraient constituer un engagement
Pour une explication de la nature volontaire des normes la signification des termes et expressionsspeacutecifiquesdelISOlieacutesagraveleacutevaluationdelaconformiteacuteoupourtouteinformationausujetdeladheacutesionde lISO aux principes de lOMClrsquoOrganisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC) voir le lien suivant Avant-propos mdash Informations suppleacutementaireswww iso org avant -propos
Le comiteacute chargeacute de leacutelaboration du preacutesent document est lISOpreacutesent document a eacuteteacute eacutelaboreacute par le comiteacute technique ISOIEC JTC 1 Technologies de linformation sous-comiteacute SC 27 Techniques de seacutecuriteacute des technologies de linformation
Cette quatriegravemecinquiegraveme eacutedition annule et remplace la troisiegravemequatriegraveme eacutedition (ISOIEC 2700020142016) qui a fait lobjet dune reacutevision techniqueLesprincipalesmodificationsparrapport agrave leacutedition preacuteceacutedente sont les suivantes
mdash modificationdutextedelIntroduction
mdash suppressiondecertainstermesetdeacutefinitions
mdash alignement de lArticle 3parrapportagravelastructure-cadrepourMSS
mdash mise agrave jour de lArticle 5pourrefleacuteterlesmodificationsdanslesnormesconcerneacutees
mdash suppression des Annexes A et B
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes v
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Introduction
01 Vue densemble
Les Normes internationales relatives aux systegravemes de management fournissent un modegravele en matiegravere deacutetablissement et dexploitation dun systegraveme de management Ce modegravele comprend les caracteacuteristiques que les experts dans le domaine saccordent agrave reconnaicirctre comme refleacutetant leacutetat de lart au niveauinternational Le sous-comiteacute ISOIEC JTC 1SC 27 beacuteneacuteficie de lexpeacuterience dun comiteacute dexpertsqui se consacre agrave leacutelaboration des Normes internationales sur les systegravemes de management pour la seacutecuriteacute de linformation connues eacutegalement comme famille de normes du Systegraveme de Management de la Seacutecuriteacute de lInformation (SMSI)
Gracircce agrave lutilisation de la famille de normes du SMSI les organismes peuvent eacutelaborer et mettre en œuvre un cadre de reacutefeacuterence pour geacuterer la seacutecuriteacute de leurs actifs informationnels y compris les informations financiegravereslaproprieacuteteacuteintellectuellelesinformationssurlesemployeacutesoulesinformationsquileursontconfieacuteespardesclientsoudestiersIlspeuventeacutegalementutilisercesnormespoursepreacutepareragraveune eacutevaluation indeacutependante de leur SMSI en matiegravere de protection de linformation
02 La famille de normes du SMSI
La famille de normes du SMSI (voir Article 4) a pour objet drsquoaider les organismes de tous types et de toutes tailles agrave deacuteployer et agrave exploiter un SMSI Elle se compose des Normes internationales suivantes (indiqueacutees ci-dessous par ordre numeacuterique) regroupeacutees sous le titre geacuteneacuteral Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute
mdash ISOIEC 27000 Systegravemes de management de la seacutecuriteacute de lrsquoinformation mdash Vue drsquoensemble et vocabulaire
mdash ISOIEC 27001 Systegravemes de management de la seacutecuriteacute de lrsquoinformation mdash Exigences
mdash ISOIEC 27002 Code de bonnes pratiques pour le management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27003 Lignes directrices pour la mise en œuvre du systegraveme de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27004 Management de la seacutecuriteacute de lrsquoinformation mdash Mesurage
mdash ISOIEC 27005 Gestion des risques lieacutes agrave la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27006 Exigences pour les organismes proceacutedant agrave lrsquoaudit et agrave la certification des systegravemes de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27007 Lignes directrices pour lrsquoaudit des systegravemes de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIECTR 27008 Lignes directrices pour les auditeurs des controcircles de seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27009 Application de lrsquoISOIEC 27001 agrave un secteur speacutecifique mdash Exigences
mdash ISOIEC 27010 Gestion de la seacutecuriteacute de lrsquoinformation des communications intersectorielles et interorganisationnelles
mdash ISOIEC 27011 Lignes directrices du management de la seacutecuriteacute de lrsquoinformation pour les organismes de teacuteleacutecommunications sur la base de lrsquoISOIEC 27002
mdash ISOIEC 27013 Guide sur la mise en œuvre inteacutegreacutee de lrsquoISOIEC 27001 et ISOIEC 20000-1
mdash ISOIEC 27014 Gouvernance de la seacutecuriteacute de lrsquoinformation
mdash ISOIECTR 27015 Lignes directrices pour le management de la seacutecuriteacute de lrsquoinformation pour les services financiers
mdash ISOIECTR 27016 Management de la seacutecuriteacute de lrsquoinformation mdash Eacuteconomie organisationnelle
vi copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash ISOIEC 27017 Code de bonnes pratiques pour les controcircles de seacutecuriteacute de lrsquoinformation fondeacutes sur lrsquoISOIEC 27002 pour les services du nuage
mdash ISOIEC 27018 Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans lrsquoinformatique en nuage public agissant comme processeur de PII
mdash ISOIEC 27019 Lignes directrices de management de la seacutecuriteacute de lrsquoinformation fondeacutees sur lrsquoISOIEC 27002 pour les systegravemes de controcircle des processus speacutecifiques agrave lrsquoindustrie de lrsquoeacutenergie
NOTE Le titre geacuteneacuteral laquo Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute raquo indique que ces Normes internationales ont eacuteteacute eacutelaboreacutees par le comiteacute technique mixte ISOIEC JTC 1 Technologies de lrsquoinformation sous-comiteacute SC 27 Techniques de seacutecuriteacute des technologies de lrsquoinformation
Les Normes internationales qui font eacutegalement partie de la famille de normes du SMSI mais qui ne sont pas regroupeacutees sous le mecircme titre geacuteneacuteral sont les suivantes
mdash ISO 27799 Informatique de santeacute mdash Management de la seacutecuriteacute de lrsquoinformation relative agrave la santeacute en utilisant lrsquoISOIEC 27002
02 Objet du preacutesent document
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des recommandations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de leacutevaluation de la conformiteacute dun SMSI
03 Objet de la preacutesente Norme internationale
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationetdeacutefinitlestermesquisrsquoyrapportent
NOTE LrsquoAnnexe A fournit des eacuteclaircissements sur la faccedilon dont les formes verbales sont utiliseacutees pour exprimer des exigences etou des preacuteconisations dans la famille de normes du SMSI
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des preacuteconisations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de lrsquoeacutevaluation de la conformiteacute drsquoun SMSI
LestermesetlesdeacutefinitionsfournisdanslapreacutesenteNormeinternationale
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
03 Contenu du preacutesent document
copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes vii
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Dans le preacutesent document les formes verbales suivantes sont utiliseacutees
mdash laquodoitraquoindiqueuneexigence
mdash laquoilconvientraquoindiqueunerecommandation
mdash laquopeutraquo indique une autorisation (laquomayraquo en anglais)
mdash ou une possibiliteacute ou une capaciteacute (laquocanraquo en anglais)
Les informations sous forme de laquoNOTEraquo sont fournies pour clarifier lrsquoexigence associeacutee ou enfaciliter la compreacutehension Les laquoNotes agrave lrsquoarticleraquo employeacutees agrave lrsquoArticle 3 fournissent des informations suppleacutementaires qui viennent compleacuteter les donneacutees terminologiques et peuvent contenir des dispositions concernant lrsquousage drsquoun terme
viii copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
Technologies de linformation mdash Techniques de seacutecuriteacute mdash Systegravemes de management de la seacutecuriteacute de linformation mdash Vue densemble et vocabulaire
1 Domaine drsquoapplication
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationainsiquedestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSILa preacutesente Norme internationale est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Le preacutesent document offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute de lrsquoinformation(SMSI)Ilcomprendeacutegalementlestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormes du SMSI Le preacutesent document est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Lestermesetlesdeacutefinitionsfournisdanslepreacutesentdocument
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
2 Reacutefeacuterences normatives
Le preacutesent document ne contient aucune reacutefeacuterence normative
2 3 Termes et deacutefinitions definitions
Pour les besoins du preacutesent document les termes et deacutefinitions suivants sappliquentLrsquoISO et lrsquoIEC tiennent agrave jour des bases de donneacutees terminologiques destineacutees agrave ecirctre utiliseacutees en normalisation consultables aux adresses suivantes
mdash ISO Online browsing platform disponible agrave lrsquoadresse https www iso org obp
mdash IEC Electropedia disponible agrave lrsquoadresse http www electropedia org
21 31controcircle daccegravesmoyens mis en œuvre pour assurer que laccegraves aux actifs est autoriseacute et limiteacute selon les exigences (263 356) propres agrave la seacutecuriteacute et agrave lactiviteacute meacutetier
22modegravele analytiquealgorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires (210) etou mesures deacuteriveacutees (222) avec les critegraveres de deacutecision associeacutes (221)
23 32attaquetentativededeacutetruirederendrepublicdemodifierdinvaliderdevoleroudutilisersansautorisationun actif ou de faire un usage non autoriseacute de celui-ci
NORME INTERNATIONALE ISOIEC 27000redline2018(F)
copy ISO 2018 ndash Tous droits reacuteserveacutes 1
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
24attributproprieacuteteacute ou caracteacuteristique dun objet (255) qui peut ecirctre distingueacute quantitativement ou qualitativement par des moyens humains ou automatiques
[SOURCE ISOIEC15939200722modifieacuteemdashLetermelaquoentiteacuteraquoaeacuteteacuteremplaceacuteparlaquoobjetraquodansladeacutefinition]
25 33auditprocessus (261)processus meacutethodique indeacutependant et documenteacute (354) permettant dobtenir des preuves daudit et de les eacutevaluer de maniegravere objective pour deacuteterminer dans quelle mesure les critegraveres daudit sont satisfaits
Note 1 agrave larticle Un audit peut ecirctre interne (audit de premiegravere partie) externe (audit de seconde ou de tierce partie) ou combineacute (associant deux disciplines ou plus)
Note 2 agrave larticle Un audit interne est reacutealiseacute par lrsquoorganisme lui-mecircme ou par une partie externe pour le compte de celui-ci
Note3agravelarticleLestermeslaquopreuvesdauditraquoetlaquocritegraveresdauditraquosontdeacutefinisdanslISO19011
26 34champ de lauditeacutetendue et limites dun audit (25 33)
[SOURCEISO190112011314modifieacuteemdashSuppressiondelanote1agravelarticle]
27 35authentificationmeacutethode permettant de garantir quune caracteacuteristique revendiqueacutee pour une entiteacute est correcte
28 36authenticiteacuteproprieacuteteacute selon laquelle une entiteacute est ce quelle revendique ecirctre
29 37disponibiliteacuteproprieacuteteacute decirctre accessible et utilisable agrave la demande par une entiteacute autoriseacutee
210 38mesure eacuteleacutementairemesure (247 342)deacutefinieenfonctiondunattribut (24)attributetdelameacutethodedemesuragespeacutecifieacuteepourlequantifier
[SOURCE ISOIEC15939200723modifieacuteemdashSuppressiondelanote2agravelarticle]
Note 1 agrave larticle Une mesure eacuteleacutementaire est fonctionnellement indeacutependante des autres mesures (247)mesures
[SOURCE ISOIECIEEE15939201733modifieacuteemdashSuppressiondelanote2agravelarticle]
211 39compeacutetencecapaciteacute agrave appliquer des connaissances et des aptitudes pour obtenir les reacutesultats escompteacutes
212 310confidentialiteacuteproprieacuteteacute selon laquelle linformation nest pas diffuseacutee ni divulgueacutee agrave des personnes des entiteacutes ou des processus (261 354) non autoriseacutes
2 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
213 311conformiteacutesatisfaction dune exigence (263 356)
Note 1 agrave larticle Le terme anglais laquo conformance raquo est un synonyme mais il est deacuteconseilleacute
214 312conseacutequenceeffet dun eacuteveacutenement (225 321) affectant les objectifs (256 349)
[SOURCE Guide ISO 7320093613modifieacute]
Note 1 agrave larticle Un eacuteveacutenement (225)eacuteveacutenement peut entraicircner engendrer une seacuterie de conseacutequences
Note 2 agrave larticle Une conseacutequence peut ecirctre certaine ou incertaine Dans dans le contexte de la seacutecuriteacute de linformation (233)seacutecuriteacute de linformation elle est geacuteneacuteralement neacutegative
Note 3 agrave larticle Les conseacutequences peuvent ecirctre exprimeacutees de faccedilon qualitative ou quantitative
Note 4 agrave larticle Des conseacutequences initiales peuvent deacuteclencher des reacuteactions en chaicircne
[SOURCE Guide ISO 7320093613modifieacutemdashModificationdelaNote2agravelarticleapregraveslaquoetraquo]
215 313ameacutelioration continueactiviteacute reacuteguliegravere destineacutee agrave ameacuteliorer les performances (259 352)
216 314mesure de seacutecuriteacutemesurequimodifieunrisque (268 361)
[SOURCE Guide ISO 7320093811]
Note 1 agrave larticle Les mesures de seacutecuriteacute comprennent tous les processus (261 354) politiques (260 353) dispositifspratiquesouautresactionsquimodifientunrisque (268 361)
Note 2 agrave larticle Les Il est possible que les mesures de seacutecuriteacute ne peuvent puissent pas toujours aboutir agrave la modificationvoulueousupposeacutee
[SOURCE Guide ISO 7320093811mdashModificationdelaNote2agravelarticle]
217 315objectif drsquoune dune mesure de seacutecuriteacutedeacuteclaration deacutecrivant ce qui est attendu de la mise en œuvre des mesures de seacutecuriteacute (216 314)
218 316correctionaction visant agrave eacuteliminer une non-conformiteacute (253 347) deacutetecteacutee
219 317action correctiveaction visant agrave eacuteliminer la cause dune non-conformiteacute (253 347) et agrave empecirccher quelle ne se reacutepegravete
220donneacuteesensemble des valeurs attribueacutees aux mesures eacuteleacutementaires (210) mesures deacuteriveacutees (222) etou aux indicateurs (230)
[SOURCE ISOIEC15939200724modifieacuteemdashAjoutdelanote1agravelarticle]
Note1agravelarticleCettedeacutefinitionsappliqueuniquementdanslecontextedelISOIEC 27004
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 3
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
221critegraveres de deacutecisionseuils cibles ou modegraveles utiliseacutes pour deacuteterminer la neacutecessiteacute dune action ou dun compleacutement denquecircteoupourdeacutecrireleniveaudeconfiancedansunreacutesultatdonneacute
[SOURCE ISOIEC15939200727]
222 318mesure deacuteriveacuteemesure (247 342)deacutefinieenfonctiondaumoinsdeuxmesures eacuteleacutementaires (210 38)
[SOURCE ISOIECIEEE 159392007 28 2017 38modifieacuteemdashSuppressiondelanote1agravelarticle]
223 319informations documenteacuteesinformations devant ecirctre controcircleacutees et mises agrave jour par un organisme (257 350) et le support sur lequel elles sont stockeacutees
Note 1 agrave larticle Les informations documenteacutees peuvent ecirctre dans nimporte quel format sur nimporte quel support et provenir de nimporte quelle source
Note 2 agrave larticle Les informations documenteacutees peuvent se rapporter
mdash au systegraveme de management (246341) et aux processus (261)processus associeacutes (354)
mdash aux informations creacuteeacutees pour permettre agrave lorganisme (257350)defonctionner(documentation)
mdash aux preuves des reacutesultats obtenus (enregistrements)
224 320efficaciteacuteniveaudereacutealisationdesactiviteacutesplanifieacuteesetdobtentiondesreacutesultatsescompteacutes
225 321eacuteveacutenementoccurrence ou changement dun ensemble particulier de circonstances
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
Note 1 agrave larticle Un eacuteveacutenement peut ecirctre unique ou se reproduire Il peut avoir plusieurs causes
Note 2 agrave larticle Un eacuteveacutenement peut consister en quelque chose qui ne se produit pas
Note3agravelarticleUneacuteveacutenementpeutparfoisecirctrequalifieacutelaquodincidentraquooulaquodaccidentraquo
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
226management exeacutecutifpersonne ou groupe de personnes ayant reccedilu des instances dirigeantes (229) la responsabiliteacute de la miseenœuvredesstrateacutegiesetpolitiquesafindatteindrelesobjectifsdelorganisme (257)
Note 1 agrave larticle Le management exeacutecutif est parfois appeleacute la direction (284) Il peut comprendre les preacutesidents directeurs geacuteneacuteraux les directeurs financiers les directeurs des systegravemes dinformation et autres fonctionssimilaires
227 322contexte externeenvironnement externe dans lequel lorganisme cherche agrave atteindre ses objectifs (256 349)
Note 1 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
4 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Avant-propos vIntroduction vi
02 La famille de normes du SMSI vi02 Objet du preacutesent document vii03 Objet de la preacutesente Norme internationale vii
1 Domaine drsquoapplication 12 Reacutefeacuterences normatives 1
2 3 Termes et deacutefinitions definitions 13 4 Systegravemes de management de la seacutecuriteacute de linformation 14
31 41 Geacuteneacuteraliteacutes 1432 42 Quest-ce quun SMSI 15
321 421 Vue densemble et principes 15322 422 Linformation 16323 423 Seacutecuriteacute de linformation 16324 424 Management 16325 425 Systegraveme de management 16
33 43 Approche processus 1734 44 Raisons expliquant pourquoi un SMSI est important 1735 45 Eacutetablissement surveillance maintenance et ameacutelioration dun SMSI 18
351 451 Vue densemble 18352 452Identifierlesexigenceslieacuteesagravelaseacutecuriteacutedelinformation 18353 453 Appreacutecier les risques lieacutes agrave la seacutecuriteacute de linformation 19354 454 Traiter les risques lieacutes agrave la seacutecuriteacute de linformation 19355 455 Seacutelectionner et mettre en œuvre les mesures de seacutecuriteacute 20356 456SurveillermettreagravejouretameacuteliorerlefficaciteacuteduSMSI 21357 457 Ameacutelioration continue 21
36 46 Facteurs critiques de succegraves du SMSI 2137 47 Avantages de la famille de normes du SMSI 22
4 5 La famille de normes du SMSI 2241 51 Information Informations geacuteneacuterales 2242 52 Normes Norme donnant une vue densemble et deacutecrivant la terminologie ISO
IEC 27000 (le preacutesent document) 24421 ISOIEC 27000 (la preacutesente Norme internationale) 24
43 53 Normesspeacutecifiantdesexigences 24431 531 ISOIEC 27001 ISOIEC27001 24432 532 ISOIEC 27006 ISOIEC27006 25533 ISOIEC 27009 25
44 54 Normes deacutecrivant des lignes directrices geacuteneacuterales 25441 541 ISOIEC 27002 ISOIEC27002 25442 542 ISOIEC 27003 ISOIEC27003 26443 543 ISOIEC 27004 ISOIEC27004 26444 544 ISOIEC 27005 ISOIEC27005 26445 545 ISOIEC 27007 ISOIEC27007 26446 546 ISOIECTR 27008 ISOIECTR27008 27447 547 ISOIEC 27013 ISOIEC27013 27448 548 ISOIEC 27014 ISOIEC27014 27449 549 ISOIECTR 27016 ISOIECTR27016 285410 ISOIEC 27021 28
45 55 Normes deacutecrivant des lignes directrices propres agrave un secteur 28451 551 ISOIEC 27010 ISOIEC27010 28452 552 ISOIEC 27011 ISOIEC27011 29453 ISOIECTR 27015 29454 553 ISOIEC 27017 ISOIEC27017 29
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes iii
Sommaire Page
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
455 554 ISOIEC 27018 ISOIEC27018 30456 555 ISOIECTR 27019 ISOIEC27019 30457 556 ISO 27799 ISO27799 31
Annexe A (informative) Formes verbales utiliseacutees pour exprimer des dispositions 32Annexe B (informative) Termes et proprieacuteteacute des termes 33Bibliographie 39
iv copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Avant-propos
LISO (Organisation internationale de normalisation) et lIEC (Commission eacutelectrotechnique internationale) forment le systegraveme speacutecialiseacute de la normalisation mondiale Les organismes nationauxest une feacutedeacuteration mondiale dorganismes nationaux de normalisation (comiteacutes membres de lISO ou de lIEC participent agrave leacutelaboration de Normes internationales par lintermeacutediaire de comiteacutes techniques creacuteeacutes par lorganisme concerneacute pour traiter de domaines particuliers agrave une activiteacute technique Les)LeacutelaborationdesNormes internationalesestengeacuteneacuteralconfieacuteeaux comiteacutes techniques de lISO et de lIEC collaborent dans des domaines drsquointeacuterecirct commun Dautres organismes internationaux gouvernementaux et non gouvernementaux Chaque comiteacute membre inteacuteresseacute par une eacutetude a le droit de faire partie du comiteacute technique creacuteeacute agrave cet effet Les organisations internationales gouvernementales et non gouvernementales en liaison avec lISO et lIEC participent eacutegalement aux travaux Dans le domaine des technologies de linformation lISO et lIEC ont creacuteeacute un comiteacute technique mixte lISOIEC JTC 1LISO collabore eacutetroitement avec la Commission eacutelectrotechnique internationale (IEC) en ce qui concerne la normalisation eacutelectrotechnique
Les proceacutedures utiliseacutees pour eacutelaborer le preacutesent document et celles destineacutees agrave sa mise agrave jour sont deacutecrites dans les Directives ISOIEC Partie 1 Il convient en particulier de prendre note des diffeacuterents critegraveres dapprobation requis pour les diffeacuterents types de documentdocuments ISO Le preacutesent document a eacuteteacute reacutedigeacute conformeacutement aux regravegles de reacutedaction donneacutees dans les Directives ISOIEC Partie 2 (voir http www iso org directiveswww iso org directives)
Lrsquoattention est appeleacuteeLattention est attireacutee sur le fait que certains des eacuteleacutements du preacutesent document peuvent faire lrsquoobjetlobjet de droits de proprieacuteteacute intellectuelle ou de droits analogues LrsquoISOLISO nesauraitecirctre tenuepourresponsabledenepasavoir identifieacutede telsdroitsdeproprieacuteteacuteetavertide leur existence Les deacutetails concernant les reacutefeacuterences aux droits de proprieacuteteacute intellectuelle ou autres droits analogues identifieacutes lors de lrsquoeacutelaborationleacutelaboration du document sont indiqueacutes dans lrsquoIntroductionlIntroduction etou dans la liste des deacuteclarations de brevets reccedilues par lrsquoISOlISO (voir www iso org brevetswww iso org brevets)
Les appellations commerciales eacuteventuellement mentionneacutees dans le preacutesent document sont donneacutees pour information par souci de commoditeacute agrave lintentionlrsquointention des utilisateurs et ne sauraient constituer un engagement
Pour une explication de la nature volontaire des normes la signification des termes et expressionsspeacutecifiquesdelISOlieacutesagraveleacutevaluationdelaconformiteacuteoupourtouteinformationausujetdeladheacutesionde lISO aux principes de lOMClrsquoOrganisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC) voir le lien suivant Avant-propos mdash Informations suppleacutementaireswww iso org avant -propos
Le comiteacute chargeacute de leacutelaboration du preacutesent document est lISOpreacutesent document a eacuteteacute eacutelaboreacute par le comiteacute technique ISOIEC JTC 1 Technologies de linformation sous-comiteacute SC 27 Techniques de seacutecuriteacute des technologies de linformation
Cette quatriegravemecinquiegraveme eacutedition annule et remplace la troisiegravemequatriegraveme eacutedition (ISOIEC 2700020142016) qui a fait lobjet dune reacutevision techniqueLesprincipalesmodificationsparrapport agrave leacutedition preacuteceacutedente sont les suivantes
mdash modificationdutextedelIntroduction
mdash suppressiondecertainstermesetdeacutefinitions
mdash alignement de lArticle 3parrapportagravelastructure-cadrepourMSS
mdash mise agrave jour de lArticle 5pourrefleacuteterlesmodificationsdanslesnormesconcerneacutees
mdash suppression des Annexes A et B
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes v
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Introduction
01 Vue densemble
Les Normes internationales relatives aux systegravemes de management fournissent un modegravele en matiegravere deacutetablissement et dexploitation dun systegraveme de management Ce modegravele comprend les caracteacuteristiques que les experts dans le domaine saccordent agrave reconnaicirctre comme refleacutetant leacutetat de lart au niveauinternational Le sous-comiteacute ISOIEC JTC 1SC 27 beacuteneacuteficie de lexpeacuterience dun comiteacute dexpertsqui se consacre agrave leacutelaboration des Normes internationales sur les systegravemes de management pour la seacutecuriteacute de linformation connues eacutegalement comme famille de normes du Systegraveme de Management de la Seacutecuriteacute de lInformation (SMSI)
Gracircce agrave lutilisation de la famille de normes du SMSI les organismes peuvent eacutelaborer et mettre en œuvre un cadre de reacutefeacuterence pour geacuterer la seacutecuriteacute de leurs actifs informationnels y compris les informations financiegravereslaproprieacuteteacuteintellectuellelesinformationssurlesemployeacutesoulesinformationsquileursontconfieacuteespardesclientsoudestiersIlspeuventeacutegalementutilisercesnormespoursepreacutepareragraveune eacutevaluation indeacutependante de leur SMSI en matiegravere de protection de linformation
02 La famille de normes du SMSI
La famille de normes du SMSI (voir Article 4) a pour objet drsquoaider les organismes de tous types et de toutes tailles agrave deacuteployer et agrave exploiter un SMSI Elle se compose des Normes internationales suivantes (indiqueacutees ci-dessous par ordre numeacuterique) regroupeacutees sous le titre geacuteneacuteral Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute
mdash ISOIEC 27000 Systegravemes de management de la seacutecuriteacute de lrsquoinformation mdash Vue drsquoensemble et vocabulaire
mdash ISOIEC 27001 Systegravemes de management de la seacutecuriteacute de lrsquoinformation mdash Exigences
mdash ISOIEC 27002 Code de bonnes pratiques pour le management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27003 Lignes directrices pour la mise en œuvre du systegraveme de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27004 Management de la seacutecuriteacute de lrsquoinformation mdash Mesurage
mdash ISOIEC 27005 Gestion des risques lieacutes agrave la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27006 Exigences pour les organismes proceacutedant agrave lrsquoaudit et agrave la certification des systegravemes de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27007 Lignes directrices pour lrsquoaudit des systegravemes de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIECTR 27008 Lignes directrices pour les auditeurs des controcircles de seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27009 Application de lrsquoISOIEC 27001 agrave un secteur speacutecifique mdash Exigences
mdash ISOIEC 27010 Gestion de la seacutecuriteacute de lrsquoinformation des communications intersectorielles et interorganisationnelles
mdash ISOIEC 27011 Lignes directrices du management de la seacutecuriteacute de lrsquoinformation pour les organismes de teacuteleacutecommunications sur la base de lrsquoISOIEC 27002
mdash ISOIEC 27013 Guide sur la mise en œuvre inteacutegreacutee de lrsquoISOIEC 27001 et ISOIEC 20000-1
mdash ISOIEC 27014 Gouvernance de la seacutecuriteacute de lrsquoinformation
mdash ISOIECTR 27015 Lignes directrices pour le management de la seacutecuriteacute de lrsquoinformation pour les services financiers
mdash ISOIECTR 27016 Management de la seacutecuriteacute de lrsquoinformation mdash Eacuteconomie organisationnelle
vi copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash ISOIEC 27017 Code de bonnes pratiques pour les controcircles de seacutecuriteacute de lrsquoinformation fondeacutes sur lrsquoISOIEC 27002 pour les services du nuage
mdash ISOIEC 27018 Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans lrsquoinformatique en nuage public agissant comme processeur de PII
mdash ISOIEC 27019 Lignes directrices de management de la seacutecuriteacute de lrsquoinformation fondeacutees sur lrsquoISOIEC 27002 pour les systegravemes de controcircle des processus speacutecifiques agrave lrsquoindustrie de lrsquoeacutenergie
NOTE Le titre geacuteneacuteral laquo Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute raquo indique que ces Normes internationales ont eacuteteacute eacutelaboreacutees par le comiteacute technique mixte ISOIEC JTC 1 Technologies de lrsquoinformation sous-comiteacute SC 27 Techniques de seacutecuriteacute des technologies de lrsquoinformation
Les Normes internationales qui font eacutegalement partie de la famille de normes du SMSI mais qui ne sont pas regroupeacutees sous le mecircme titre geacuteneacuteral sont les suivantes
mdash ISO 27799 Informatique de santeacute mdash Management de la seacutecuriteacute de lrsquoinformation relative agrave la santeacute en utilisant lrsquoISOIEC 27002
02 Objet du preacutesent document
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des recommandations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de leacutevaluation de la conformiteacute dun SMSI
03 Objet de la preacutesente Norme internationale
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationetdeacutefinitlestermesquisrsquoyrapportent
NOTE LrsquoAnnexe A fournit des eacuteclaircissements sur la faccedilon dont les formes verbales sont utiliseacutees pour exprimer des exigences etou des preacuteconisations dans la famille de normes du SMSI
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des preacuteconisations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de lrsquoeacutevaluation de la conformiteacute drsquoun SMSI
LestermesetlesdeacutefinitionsfournisdanslapreacutesenteNormeinternationale
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
03 Contenu du preacutesent document
copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes vii
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Dans le preacutesent document les formes verbales suivantes sont utiliseacutees
mdash laquodoitraquoindiqueuneexigence
mdash laquoilconvientraquoindiqueunerecommandation
mdash laquopeutraquo indique une autorisation (laquomayraquo en anglais)
mdash ou une possibiliteacute ou une capaciteacute (laquocanraquo en anglais)
Les informations sous forme de laquoNOTEraquo sont fournies pour clarifier lrsquoexigence associeacutee ou enfaciliter la compreacutehension Les laquoNotes agrave lrsquoarticleraquo employeacutees agrave lrsquoArticle 3 fournissent des informations suppleacutementaires qui viennent compleacuteter les donneacutees terminologiques et peuvent contenir des dispositions concernant lrsquousage drsquoun terme
viii copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
Technologies de linformation mdash Techniques de seacutecuriteacute mdash Systegravemes de management de la seacutecuriteacute de linformation mdash Vue densemble et vocabulaire
1 Domaine drsquoapplication
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationainsiquedestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSILa preacutesente Norme internationale est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Le preacutesent document offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute de lrsquoinformation(SMSI)Ilcomprendeacutegalementlestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormes du SMSI Le preacutesent document est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Lestermesetlesdeacutefinitionsfournisdanslepreacutesentdocument
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
2 Reacutefeacuterences normatives
Le preacutesent document ne contient aucune reacutefeacuterence normative
2 3 Termes et deacutefinitions definitions
Pour les besoins du preacutesent document les termes et deacutefinitions suivants sappliquentLrsquoISO et lrsquoIEC tiennent agrave jour des bases de donneacutees terminologiques destineacutees agrave ecirctre utiliseacutees en normalisation consultables aux adresses suivantes
mdash ISO Online browsing platform disponible agrave lrsquoadresse https www iso org obp
mdash IEC Electropedia disponible agrave lrsquoadresse http www electropedia org
21 31controcircle daccegravesmoyens mis en œuvre pour assurer que laccegraves aux actifs est autoriseacute et limiteacute selon les exigences (263 356) propres agrave la seacutecuriteacute et agrave lactiviteacute meacutetier
22modegravele analytiquealgorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires (210) etou mesures deacuteriveacutees (222) avec les critegraveres de deacutecision associeacutes (221)
23 32attaquetentativededeacutetruirederendrepublicdemodifierdinvaliderdevoleroudutilisersansautorisationun actif ou de faire un usage non autoriseacute de celui-ci
NORME INTERNATIONALE ISOIEC 27000redline2018(F)
copy ISO 2018 ndash Tous droits reacuteserveacutes 1
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
24attributproprieacuteteacute ou caracteacuteristique dun objet (255) qui peut ecirctre distingueacute quantitativement ou qualitativement par des moyens humains ou automatiques
[SOURCE ISOIEC15939200722modifieacuteemdashLetermelaquoentiteacuteraquoaeacuteteacuteremplaceacuteparlaquoobjetraquodansladeacutefinition]
25 33auditprocessus (261)processus meacutethodique indeacutependant et documenteacute (354) permettant dobtenir des preuves daudit et de les eacutevaluer de maniegravere objective pour deacuteterminer dans quelle mesure les critegraveres daudit sont satisfaits
Note 1 agrave larticle Un audit peut ecirctre interne (audit de premiegravere partie) externe (audit de seconde ou de tierce partie) ou combineacute (associant deux disciplines ou plus)
Note 2 agrave larticle Un audit interne est reacutealiseacute par lrsquoorganisme lui-mecircme ou par une partie externe pour le compte de celui-ci
Note3agravelarticleLestermeslaquopreuvesdauditraquoetlaquocritegraveresdauditraquosontdeacutefinisdanslISO19011
26 34champ de lauditeacutetendue et limites dun audit (25 33)
[SOURCEISO190112011314modifieacuteemdashSuppressiondelanote1agravelarticle]
27 35authentificationmeacutethode permettant de garantir quune caracteacuteristique revendiqueacutee pour une entiteacute est correcte
28 36authenticiteacuteproprieacuteteacute selon laquelle une entiteacute est ce quelle revendique ecirctre
29 37disponibiliteacuteproprieacuteteacute decirctre accessible et utilisable agrave la demande par une entiteacute autoriseacutee
210 38mesure eacuteleacutementairemesure (247 342)deacutefinieenfonctiondunattribut (24)attributetdelameacutethodedemesuragespeacutecifieacuteepourlequantifier
[SOURCE ISOIEC15939200723modifieacuteemdashSuppressiondelanote2agravelarticle]
Note 1 agrave larticle Une mesure eacuteleacutementaire est fonctionnellement indeacutependante des autres mesures (247)mesures
[SOURCE ISOIECIEEE15939201733modifieacuteemdashSuppressiondelanote2agravelarticle]
211 39compeacutetencecapaciteacute agrave appliquer des connaissances et des aptitudes pour obtenir les reacutesultats escompteacutes
212 310confidentialiteacuteproprieacuteteacute selon laquelle linformation nest pas diffuseacutee ni divulgueacutee agrave des personnes des entiteacutes ou des processus (261 354) non autoriseacutes
2 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
213 311conformiteacutesatisfaction dune exigence (263 356)
Note 1 agrave larticle Le terme anglais laquo conformance raquo est un synonyme mais il est deacuteconseilleacute
214 312conseacutequenceeffet dun eacuteveacutenement (225 321) affectant les objectifs (256 349)
[SOURCE Guide ISO 7320093613modifieacute]
Note 1 agrave larticle Un eacuteveacutenement (225)eacuteveacutenement peut entraicircner engendrer une seacuterie de conseacutequences
Note 2 agrave larticle Une conseacutequence peut ecirctre certaine ou incertaine Dans dans le contexte de la seacutecuriteacute de linformation (233)seacutecuriteacute de linformation elle est geacuteneacuteralement neacutegative
Note 3 agrave larticle Les conseacutequences peuvent ecirctre exprimeacutees de faccedilon qualitative ou quantitative
Note 4 agrave larticle Des conseacutequences initiales peuvent deacuteclencher des reacuteactions en chaicircne
[SOURCE Guide ISO 7320093613modifieacutemdashModificationdelaNote2agravelarticleapregraveslaquoetraquo]
215 313ameacutelioration continueactiviteacute reacuteguliegravere destineacutee agrave ameacuteliorer les performances (259 352)
216 314mesure de seacutecuriteacutemesurequimodifieunrisque (268 361)
[SOURCE Guide ISO 7320093811]
Note 1 agrave larticle Les mesures de seacutecuriteacute comprennent tous les processus (261 354) politiques (260 353) dispositifspratiquesouautresactionsquimodifientunrisque (268 361)
Note 2 agrave larticle Les Il est possible que les mesures de seacutecuriteacute ne peuvent puissent pas toujours aboutir agrave la modificationvoulueousupposeacutee
[SOURCE Guide ISO 7320093811mdashModificationdelaNote2agravelarticle]
217 315objectif drsquoune dune mesure de seacutecuriteacutedeacuteclaration deacutecrivant ce qui est attendu de la mise en œuvre des mesures de seacutecuriteacute (216 314)
218 316correctionaction visant agrave eacuteliminer une non-conformiteacute (253 347) deacutetecteacutee
219 317action correctiveaction visant agrave eacuteliminer la cause dune non-conformiteacute (253 347) et agrave empecirccher quelle ne se reacutepegravete
220donneacuteesensemble des valeurs attribueacutees aux mesures eacuteleacutementaires (210) mesures deacuteriveacutees (222) etou aux indicateurs (230)
[SOURCE ISOIEC15939200724modifieacuteemdashAjoutdelanote1agravelarticle]
Note1agravelarticleCettedeacutefinitionsappliqueuniquementdanslecontextedelISOIEC 27004
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 3
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
221critegraveres de deacutecisionseuils cibles ou modegraveles utiliseacutes pour deacuteterminer la neacutecessiteacute dune action ou dun compleacutement denquecircteoupourdeacutecrireleniveaudeconfiancedansunreacutesultatdonneacute
[SOURCE ISOIEC15939200727]
222 318mesure deacuteriveacuteemesure (247 342)deacutefinieenfonctiondaumoinsdeuxmesures eacuteleacutementaires (210 38)
[SOURCE ISOIECIEEE 159392007 28 2017 38modifieacuteemdashSuppressiondelanote1agravelarticle]
223 319informations documenteacuteesinformations devant ecirctre controcircleacutees et mises agrave jour par un organisme (257 350) et le support sur lequel elles sont stockeacutees
Note 1 agrave larticle Les informations documenteacutees peuvent ecirctre dans nimporte quel format sur nimporte quel support et provenir de nimporte quelle source
Note 2 agrave larticle Les informations documenteacutees peuvent se rapporter
mdash au systegraveme de management (246341) et aux processus (261)processus associeacutes (354)
mdash aux informations creacuteeacutees pour permettre agrave lorganisme (257350)defonctionner(documentation)
mdash aux preuves des reacutesultats obtenus (enregistrements)
224 320efficaciteacuteniveaudereacutealisationdesactiviteacutesplanifieacuteesetdobtentiondesreacutesultatsescompteacutes
225 321eacuteveacutenementoccurrence ou changement dun ensemble particulier de circonstances
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
Note 1 agrave larticle Un eacuteveacutenement peut ecirctre unique ou se reproduire Il peut avoir plusieurs causes
Note 2 agrave larticle Un eacuteveacutenement peut consister en quelque chose qui ne se produit pas
Note3agravelarticleUneacuteveacutenementpeutparfoisecirctrequalifieacutelaquodincidentraquooulaquodaccidentraquo
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
226management exeacutecutifpersonne ou groupe de personnes ayant reccedilu des instances dirigeantes (229) la responsabiliteacute de la miseenœuvredesstrateacutegiesetpolitiquesafindatteindrelesobjectifsdelorganisme (257)
Note 1 agrave larticle Le management exeacutecutif est parfois appeleacute la direction (284) Il peut comprendre les preacutesidents directeurs geacuteneacuteraux les directeurs financiers les directeurs des systegravemes dinformation et autres fonctionssimilaires
227 322contexte externeenvironnement externe dans lequel lorganisme cherche agrave atteindre ses objectifs (256 349)
Note 1 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
4 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
455 554 ISOIEC 27018 ISOIEC27018 30456 555 ISOIECTR 27019 ISOIEC27019 30457 556 ISO 27799 ISO27799 31
Annexe A (informative) Formes verbales utiliseacutees pour exprimer des dispositions 32Annexe B (informative) Termes et proprieacuteteacute des termes 33Bibliographie 39
iv copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Avant-propos
LISO (Organisation internationale de normalisation) et lIEC (Commission eacutelectrotechnique internationale) forment le systegraveme speacutecialiseacute de la normalisation mondiale Les organismes nationauxest une feacutedeacuteration mondiale dorganismes nationaux de normalisation (comiteacutes membres de lISO ou de lIEC participent agrave leacutelaboration de Normes internationales par lintermeacutediaire de comiteacutes techniques creacuteeacutes par lorganisme concerneacute pour traiter de domaines particuliers agrave une activiteacute technique Les)LeacutelaborationdesNormes internationalesestengeacuteneacuteralconfieacuteeaux comiteacutes techniques de lISO et de lIEC collaborent dans des domaines drsquointeacuterecirct commun Dautres organismes internationaux gouvernementaux et non gouvernementaux Chaque comiteacute membre inteacuteresseacute par une eacutetude a le droit de faire partie du comiteacute technique creacuteeacute agrave cet effet Les organisations internationales gouvernementales et non gouvernementales en liaison avec lISO et lIEC participent eacutegalement aux travaux Dans le domaine des technologies de linformation lISO et lIEC ont creacuteeacute un comiteacute technique mixte lISOIEC JTC 1LISO collabore eacutetroitement avec la Commission eacutelectrotechnique internationale (IEC) en ce qui concerne la normalisation eacutelectrotechnique
Les proceacutedures utiliseacutees pour eacutelaborer le preacutesent document et celles destineacutees agrave sa mise agrave jour sont deacutecrites dans les Directives ISOIEC Partie 1 Il convient en particulier de prendre note des diffeacuterents critegraveres dapprobation requis pour les diffeacuterents types de documentdocuments ISO Le preacutesent document a eacuteteacute reacutedigeacute conformeacutement aux regravegles de reacutedaction donneacutees dans les Directives ISOIEC Partie 2 (voir http www iso org directiveswww iso org directives)
Lrsquoattention est appeleacuteeLattention est attireacutee sur le fait que certains des eacuteleacutements du preacutesent document peuvent faire lrsquoobjetlobjet de droits de proprieacuteteacute intellectuelle ou de droits analogues LrsquoISOLISO nesauraitecirctre tenuepourresponsabledenepasavoir identifieacutede telsdroitsdeproprieacuteteacuteetavertide leur existence Les deacutetails concernant les reacutefeacuterences aux droits de proprieacuteteacute intellectuelle ou autres droits analogues identifieacutes lors de lrsquoeacutelaborationleacutelaboration du document sont indiqueacutes dans lrsquoIntroductionlIntroduction etou dans la liste des deacuteclarations de brevets reccedilues par lrsquoISOlISO (voir www iso org brevetswww iso org brevets)
Les appellations commerciales eacuteventuellement mentionneacutees dans le preacutesent document sont donneacutees pour information par souci de commoditeacute agrave lintentionlrsquointention des utilisateurs et ne sauraient constituer un engagement
Pour une explication de la nature volontaire des normes la signification des termes et expressionsspeacutecifiquesdelISOlieacutesagraveleacutevaluationdelaconformiteacuteoupourtouteinformationausujetdeladheacutesionde lISO aux principes de lOMClrsquoOrganisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC) voir le lien suivant Avant-propos mdash Informations suppleacutementaireswww iso org avant -propos
Le comiteacute chargeacute de leacutelaboration du preacutesent document est lISOpreacutesent document a eacuteteacute eacutelaboreacute par le comiteacute technique ISOIEC JTC 1 Technologies de linformation sous-comiteacute SC 27 Techniques de seacutecuriteacute des technologies de linformation
Cette quatriegravemecinquiegraveme eacutedition annule et remplace la troisiegravemequatriegraveme eacutedition (ISOIEC 2700020142016) qui a fait lobjet dune reacutevision techniqueLesprincipalesmodificationsparrapport agrave leacutedition preacuteceacutedente sont les suivantes
mdash modificationdutextedelIntroduction
mdash suppressiondecertainstermesetdeacutefinitions
mdash alignement de lArticle 3parrapportagravelastructure-cadrepourMSS
mdash mise agrave jour de lArticle 5pourrefleacuteterlesmodificationsdanslesnormesconcerneacutees
mdash suppression des Annexes A et B
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes v
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Introduction
01 Vue densemble
Les Normes internationales relatives aux systegravemes de management fournissent un modegravele en matiegravere deacutetablissement et dexploitation dun systegraveme de management Ce modegravele comprend les caracteacuteristiques que les experts dans le domaine saccordent agrave reconnaicirctre comme refleacutetant leacutetat de lart au niveauinternational Le sous-comiteacute ISOIEC JTC 1SC 27 beacuteneacuteficie de lexpeacuterience dun comiteacute dexpertsqui se consacre agrave leacutelaboration des Normes internationales sur les systegravemes de management pour la seacutecuriteacute de linformation connues eacutegalement comme famille de normes du Systegraveme de Management de la Seacutecuriteacute de lInformation (SMSI)
Gracircce agrave lutilisation de la famille de normes du SMSI les organismes peuvent eacutelaborer et mettre en œuvre un cadre de reacutefeacuterence pour geacuterer la seacutecuriteacute de leurs actifs informationnels y compris les informations financiegravereslaproprieacuteteacuteintellectuellelesinformationssurlesemployeacutesoulesinformationsquileursontconfieacuteespardesclientsoudestiersIlspeuventeacutegalementutilisercesnormespoursepreacutepareragraveune eacutevaluation indeacutependante de leur SMSI en matiegravere de protection de linformation
02 La famille de normes du SMSI
La famille de normes du SMSI (voir Article 4) a pour objet drsquoaider les organismes de tous types et de toutes tailles agrave deacuteployer et agrave exploiter un SMSI Elle se compose des Normes internationales suivantes (indiqueacutees ci-dessous par ordre numeacuterique) regroupeacutees sous le titre geacuteneacuteral Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute
mdash ISOIEC 27000 Systegravemes de management de la seacutecuriteacute de lrsquoinformation mdash Vue drsquoensemble et vocabulaire
mdash ISOIEC 27001 Systegravemes de management de la seacutecuriteacute de lrsquoinformation mdash Exigences
mdash ISOIEC 27002 Code de bonnes pratiques pour le management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27003 Lignes directrices pour la mise en œuvre du systegraveme de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27004 Management de la seacutecuriteacute de lrsquoinformation mdash Mesurage
mdash ISOIEC 27005 Gestion des risques lieacutes agrave la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27006 Exigences pour les organismes proceacutedant agrave lrsquoaudit et agrave la certification des systegravemes de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27007 Lignes directrices pour lrsquoaudit des systegravemes de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIECTR 27008 Lignes directrices pour les auditeurs des controcircles de seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27009 Application de lrsquoISOIEC 27001 agrave un secteur speacutecifique mdash Exigences
mdash ISOIEC 27010 Gestion de la seacutecuriteacute de lrsquoinformation des communications intersectorielles et interorganisationnelles
mdash ISOIEC 27011 Lignes directrices du management de la seacutecuriteacute de lrsquoinformation pour les organismes de teacuteleacutecommunications sur la base de lrsquoISOIEC 27002
mdash ISOIEC 27013 Guide sur la mise en œuvre inteacutegreacutee de lrsquoISOIEC 27001 et ISOIEC 20000-1
mdash ISOIEC 27014 Gouvernance de la seacutecuriteacute de lrsquoinformation
mdash ISOIECTR 27015 Lignes directrices pour le management de la seacutecuriteacute de lrsquoinformation pour les services financiers
mdash ISOIECTR 27016 Management de la seacutecuriteacute de lrsquoinformation mdash Eacuteconomie organisationnelle
vi copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash ISOIEC 27017 Code de bonnes pratiques pour les controcircles de seacutecuriteacute de lrsquoinformation fondeacutes sur lrsquoISOIEC 27002 pour les services du nuage
mdash ISOIEC 27018 Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans lrsquoinformatique en nuage public agissant comme processeur de PII
mdash ISOIEC 27019 Lignes directrices de management de la seacutecuriteacute de lrsquoinformation fondeacutees sur lrsquoISOIEC 27002 pour les systegravemes de controcircle des processus speacutecifiques agrave lrsquoindustrie de lrsquoeacutenergie
NOTE Le titre geacuteneacuteral laquo Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute raquo indique que ces Normes internationales ont eacuteteacute eacutelaboreacutees par le comiteacute technique mixte ISOIEC JTC 1 Technologies de lrsquoinformation sous-comiteacute SC 27 Techniques de seacutecuriteacute des technologies de lrsquoinformation
Les Normes internationales qui font eacutegalement partie de la famille de normes du SMSI mais qui ne sont pas regroupeacutees sous le mecircme titre geacuteneacuteral sont les suivantes
mdash ISO 27799 Informatique de santeacute mdash Management de la seacutecuriteacute de lrsquoinformation relative agrave la santeacute en utilisant lrsquoISOIEC 27002
02 Objet du preacutesent document
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des recommandations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de leacutevaluation de la conformiteacute dun SMSI
03 Objet de la preacutesente Norme internationale
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationetdeacutefinitlestermesquisrsquoyrapportent
NOTE LrsquoAnnexe A fournit des eacuteclaircissements sur la faccedilon dont les formes verbales sont utiliseacutees pour exprimer des exigences etou des preacuteconisations dans la famille de normes du SMSI
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des preacuteconisations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de lrsquoeacutevaluation de la conformiteacute drsquoun SMSI
LestermesetlesdeacutefinitionsfournisdanslapreacutesenteNormeinternationale
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
03 Contenu du preacutesent document
copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes vii
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Dans le preacutesent document les formes verbales suivantes sont utiliseacutees
mdash laquodoitraquoindiqueuneexigence
mdash laquoilconvientraquoindiqueunerecommandation
mdash laquopeutraquo indique une autorisation (laquomayraquo en anglais)
mdash ou une possibiliteacute ou une capaciteacute (laquocanraquo en anglais)
Les informations sous forme de laquoNOTEraquo sont fournies pour clarifier lrsquoexigence associeacutee ou enfaciliter la compreacutehension Les laquoNotes agrave lrsquoarticleraquo employeacutees agrave lrsquoArticle 3 fournissent des informations suppleacutementaires qui viennent compleacuteter les donneacutees terminologiques et peuvent contenir des dispositions concernant lrsquousage drsquoun terme
viii copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
Technologies de linformation mdash Techniques de seacutecuriteacute mdash Systegravemes de management de la seacutecuriteacute de linformation mdash Vue densemble et vocabulaire
1 Domaine drsquoapplication
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationainsiquedestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSILa preacutesente Norme internationale est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Le preacutesent document offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute de lrsquoinformation(SMSI)Ilcomprendeacutegalementlestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormes du SMSI Le preacutesent document est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Lestermesetlesdeacutefinitionsfournisdanslepreacutesentdocument
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
2 Reacutefeacuterences normatives
Le preacutesent document ne contient aucune reacutefeacuterence normative
2 3 Termes et deacutefinitions definitions
Pour les besoins du preacutesent document les termes et deacutefinitions suivants sappliquentLrsquoISO et lrsquoIEC tiennent agrave jour des bases de donneacutees terminologiques destineacutees agrave ecirctre utiliseacutees en normalisation consultables aux adresses suivantes
mdash ISO Online browsing platform disponible agrave lrsquoadresse https www iso org obp
mdash IEC Electropedia disponible agrave lrsquoadresse http www electropedia org
21 31controcircle daccegravesmoyens mis en œuvre pour assurer que laccegraves aux actifs est autoriseacute et limiteacute selon les exigences (263 356) propres agrave la seacutecuriteacute et agrave lactiviteacute meacutetier
22modegravele analytiquealgorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires (210) etou mesures deacuteriveacutees (222) avec les critegraveres de deacutecision associeacutes (221)
23 32attaquetentativededeacutetruirederendrepublicdemodifierdinvaliderdevoleroudutilisersansautorisationun actif ou de faire un usage non autoriseacute de celui-ci
NORME INTERNATIONALE ISOIEC 27000redline2018(F)
copy ISO 2018 ndash Tous droits reacuteserveacutes 1
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
24attributproprieacuteteacute ou caracteacuteristique dun objet (255) qui peut ecirctre distingueacute quantitativement ou qualitativement par des moyens humains ou automatiques
[SOURCE ISOIEC15939200722modifieacuteemdashLetermelaquoentiteacuteraquoaeacuteteacuteremplaceacuteparlaquoobjetraquodansladeacutefinition]
25 33auditprocessus (261)processus meacutethodique indeacutependant et documenteacute (354) permettant dobtenir des preuves daudit et de les eacutevaluer de maniegravere objective pour deacuteterminer dans quelle mesure les critegraveres daudit sont satisfaits
Note 1 agrave larticle Un audit peut ecirctre interne (audit de premiegravere partie) externe (audit de seconde ou de tierce partie) ou combineacute (associant deux disciplines ou plus)
Note 2 agrave larticle Un audit interne est reacutealiseacute par lrsquoorganisme lui-mecircme ou par une partie externe pour le compte de celui-ci
Note3agravelarticleLestermeslaquopreuvesdauditraquoetlaquocritegraveresdauditraquosontdeacutefinisdanslISO19011
26 34champ de lauditeacutetendue et limites dun audit (25 33)
[SOURCEISO190112011314modifieacuteemdashSuppressiondelanote1agravelarticle]
27 35authentificationmeacutethode permettant de garantir quune caracteacuteristique revendiqueacutee pour une entiteacute est correcte
28 36authenticiteacuteproprieacuteteacute selon laquelle une entiteacute est ce quelle revendique ecirctre
29 37disponibiliteacuteproprieacuteteacute decirctre accessible et utilisable agrave la demande par une entiteacute autoriseacutee
210 38mesure eacuteleacutementairemesure (247 342)deacutefinieenfonctiondunattribut (24)attributetdelameacutethodedemesuragespeacutecifieacuteepourlequantifier
[SOURCE ISOIEC15939200723modifieacuteemdashSuppressiondelanote2agravelarticle]
Note 1 agrave larticle Une mesure eacuteleacutementaire est fonctionnellement indeacutependante des autres mesures (247)mesures
[SOURCE ISOIECIEEE15939201733modifieacuteemdashSuppressiondelanote2agravelarticle]
211 39compeacutetencecapaciteacute agrave appliquer des connaissances et des aptitudes pour obtenir les reacutesultats escompteacutes
212 310confidentialiteacuteproprieacuteteacute selon laquelle linformation nest pas diffuseacutee ni divulgueacutee agrave des personnes des entiteacutes ou des processus (261 354) non autoriseacutes
2 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
213 311conformiteacutesatisfaction dune exigence (263 356)
Note 1 agrave larticle Le terme anglais laquo conformance raquo est un synonyme mais il est deacuteconseilleacute
214 312conseacutequenceeffet dun eacuteveacutenement (225 321) affectant les objectifs (256 349)
[SOURCE Guide ISO 7320093613modifieacute]
Note 1 agrave larticle Un eacuteveacutenement (225)eacuteveacutenement peut entraicircner engendrer une seacuterie de conseacutequences
Note 2 agrave larticle Une conseacutequence peut ecirctre certaine ou incertaine Dans dans le contexte de la seacutecuriteacute de linformation (233)seacutecuriteacute de linformation elle est geacuteneacuteralement neacutegative
Note 3 agrave larticle Les conseacutequences peuvent ecirctre exprimeacutees de faccedilon qualitative ou quantitative
Note 4 agrave larticle Des conseacutequences initiales peuvent deacuteclencher des reacuteactions en chaicircne
[SOURCE Guide ISO 7320093613modifieacutemdashModificationdelaNote2agravelarticleapregraveslaquoetraquo]
215 313ameacutelioration continueactiviteacute reacuteguliegravere destineacutee agrave ameacuteliorer les performances (259 352)
216 314mesure de seacutecuriteacutemesurequimodifieunrisque (268 361)
[SOURCE Guide ISO 7320093811]
Note 1 agrave larticle Les mesures de seacutecuriteacute comprennent tous les processus (261 354) politiques (260 353) dispositifspratiquesouautresactionsquimodifientunrisque (268 361)
Note 2 agrave larticle Les Il est possible que les mesures de seacutecuriteacute ne peuvent puissent pas toujours aboutir agrave la modificationvoulueousupposeacutee
[SOURCE Guide ISO 7320093811mdashModificationdelaNote2agravelarticle]
217 315objectif drsquoune dune mesure de seacutecuriteacutedeacuteclaration deacutecrivant ce qui est attendu de la mise en œuvre des mesures de seacutecuriteacute (216 314)
218 316correctionaction visant agrave eacuteliminer une non-conformiteacute (253 347) deacutetecteacutee
219 317action correctiveaction visant agrave eacuteliminer la cause dune non-conformiteacute (253 347) et agrave empecirccher quelle ne se reacutepegravete
220donneacuteesensemble des valeurs attribueacutees aux mesures eacuteleacutementaires (210) mesures deacuteriveacutees (222) etou aux indicateurs (230)
[SOURCE ISOIEC15939200724modifieacuteemdashAjoutdelanote1agravelarticle]
Note1agravelarticleCettedeacutefinitionsappliqueuniquementdanslecontextedelISOIEC 27004
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 3
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
221critegraveres de deacutecisionseuils cibles ou modegraveles utiliseacutes pour deacuteterminer la neacutecessiteacute dune action ou dun compleacutement denquecircteoupourdeacutecrireleniveaudeconfiancedansunreacutesultatdonneacute
[SOURCE ISOIEC15939200727]
222 318mesure deacuteriveacuteemesure (247 342)deacutefinieenfonctiondaumoinsdeuxmesures eacuteleacutementaires (210 38)
[SOURCE ISOIECIEEE 159392007 28 2017 38modifieacuteemdashSuppressiondelanote1agravelarticle]
223 319informations documenteacuteesinformations devant ecirctre controcircleacutees et mises agrave jour par un organisme (257 350) et le support sur lequel elles sont stockeacutees
Note 1 agrave larticle Les informations documenteacutees peuvent ecirctre dans nimporte quel format sur nimporte quel support et provenir de nimporte quelle source
Note 2 agrave larticle Les informations documenteacutees peuvent se rapporter
mdash au systegraveme de management (246341) et aux processus (261)processus associeacutes (354)
mdash aux informations creacuteeacutees pour permettre agrave lorganisme (257350)defonctionner(documentation)
mdash aux preuves des reacutesultats obtenus (enregistrements)
224 320efficaciteacuteniveaudereacutealisationdesactiviteacutesplanifieacuteesetdobtentiondesreacutesultatsescompteacutes
225 321eacuteveacutenementoccurrence ou changement dun ensemble particulier de circonstances
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
Note 1 agrave larticle Un eacuteveacutenement peut ecirctre unique ou se reproduire Il peut avoir plusieurs causes
Note 2 agrave larticle Un eacuteveacutenement peut consister en quelque chose qui ne se produit pas
Note3agravelarticleUneacuteveacutenementpeutparfoisecirctrequalifieacutelaquodincidentraquooulaquodaccidentraquo
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
226management exeacutecutifpersonne ou groupe de personnes ayant reccedilu des instances dirigeantes (229) la responsabiliteacute de la miseenœuvredesstrateacutegiesetpolitiquesafindatteindrelesobjectifsdelorganisme (257)
Note 1 agrave larticle Le management exeacutecutif est parfois appeleacute la direction (284) Il peut comprendre les preacutesidents directeurs geacuteneacuteraux les directeurs financiers les directeurs des systegravemes dinformation et autres fonctionssimilaires
227 322contexte externeenvironnement externe dans lequel lorganisme cherche agrave atteindre ses objectifs (256 349)
Note 1 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
4 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Avant-propos
LISO (Organisation internationale de normalisation) et lIEC (Commission eacutelectrotechnique internationale) forment le systegraveme speacutecialiseacute de la normalisation mondiale Les organismes nationauxest une feacutedeacuteration mondiale dorganismes nationaux de normalisation (comiteacutes membres de lISO ou de lIEC participent agrave leacutelaboration de Normes internationales par lintermeacutediaire de comiteacutes techniques creacuteeacutes par lorganisme concerneacute pour traiter de domaines particuliers agrave une activiteacute technique Les)LeacutelaborationdesNormes internationalesestengeacuteneacuteralconfieacuteeaux comiteacutes techniques de lISO et de lIEC collaborent dans des domaines drsquointeacuterecirct commun Dautres organismes internationaux gouvernementaux et non gouvernementaux Chaque comiteacute membre inteacuteresseacute par une eacutetude a le droit de faire partie du comiteacute technique creacuteeacute agrave cet effet Les organisations internationales gouvernementales et non gouvernementales en liaison avec lISO et lIEC participent eacutegalement aux travaux Dans le domaine des technologies de linformation lISO et lIEC ont creacuteeacute un comiteacute technique mixte lISOIEC JTC 1LISO collabore eacutetroitement avec la Commission eacutelectrotechnique internationale (IEC) en ce qui concerne la normalisation eacutelectrotechnique
Les proceacutedures utiliseacutees pour eacutelaborer le preacutesent document et celles destineacutees agrave sa mise agrave jour sont deacutecrites dans les Directives ISOIEC Partie 1 Il convient en particulier de prendre note des diffeacuterents critegraveres dapprobation requis pour les diffeacuterents types de documentdocuments ISO Le preacutesent document a eacuteteacute reacutedigeacute conformeacutement aux regravegles de reacutedaction donneacutees dans les Directives ISOIEC Partie 2 (voir http www iso org directiveswww iso org directives)
Lrsquoattention est appeleacuteeLattention est attireacutee sur le fait que certains des eacuteleacutements du preacutesent document peuvent faire lrsquoobjetlobjet de droits de proprieacuteteacute intellectuelle ou de droits analogues LrsquoISOLISO nesauraitecirctre tenuepourresponsabledenepasavoir identifieacutede telsdroitsdeproprieacuteteacuteetavertide leur existence Les deacutetails concernant les reacutefeacuterences aux droits de proprieacuteteacute intellectuelle ou autres droits analogues identifieacutes lors de lrsquoeacutelaborationleacutelaboration du document sont indiqueacutes dans lrsquoIntroductionlIntroduction etou dans la liste des deacuteclarations de brevets reccedilues par lrsquoISOlISO (voir www iso org brevetswww iso org brevets)
Les appellations commerciales eacuteventuellement mentionneacutees dans le preacutesent document sont donneacutees pour information par souci de commoditeacute agrave lintentionlrsquointention des utilisateurs et ne sauraient constituer un engagement
Pour une explication de la nature volontaire des normes la signification des termes et expressionsspeacutecifiquesdelISOlieacutesagraveleacutevaluationdelaconformiteacuteoupourtouteinformationausujetdeladheacutesionde lISO aux principes de lOMClrsquoOrganisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC) voir le lien suivant Avant-propos mdash Informations suppleacutementaireswww iso org avant -propos
Le comiteacute chargeacute de leacutelaboration du preacutesent document est lISOpreacutesent document a eacuteteacute eacutelaboreacute par le comiteacute technique ISOIEC JTC 1 Technologies de linformation sous-comiteacute SC 27 Techniques de seacutecuriteacute des technologies de linformation
Cette quatriegravemecinquiegraveme eacutedition annule et remplace la troisiegravemequatriegraveme eacutedition (ISOIEC 2700020142016) qui a fait lobjet dune reacutevision techniqueLesprincipalesmodificationsparrapport agrave leacutedition preacuteceacutedente sont les suivantes
mdash modificationdutextedelIntroduction
mdash suppressiondecertainstermesetdeacutefinitions
mdash alignement de lArticle 3parrapportagravelastructure-cadrepourMSS
mdash mise agrave jour de lArticle 5pourrefleacuteterlesmodificationsdanslesnormesconcerneacutees
mdash suppression des Annexes A et B
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes v
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Introduction
01 Vue densemble
Les Normes internationales relatives aux systegravemes de management fournissent un modegravele en matiegravere deacutetablissement et dexploitation dun systegraveme de management Ce modegravele comprend les caracteacuteristiques que les experts dans le domaine saccordent agrave reconnaicirctre comme refleacutetant leacutetat de lart au niveauinternational Le sous-comiteacute ISOIEC JTC 1SC 27 beacuteneacuteficie de lexpeacuterience dun comiteacute dexpertsqui se consacre agrave leacutelaboration des Normes internationales sur les systegravemes de management pour la seacutecuriteacute de linformation connues eacutegalement comme famille de normes du Systegraveme de Management de la Seacutecuriteacute de lInformation (SMSI)
Gracircce agrave lutilisation de la famille de normes du SMSI les organismes peuvent eacutelaborer et mettre en œuvre un cadre de reacutefeacuterence pour geacuterer la seacutecuriteacute de leurs actifs informationnels y compris les informations financiegravereslaproprieacuteteacuteintellectuellelesinformationssurlesemployeacutesoulesinformationsquileursontconfieacuteespardesclientsoudestiersIlspeuventeacutegalementutilisercesnormespoursepreacutepareragraveune eacutevaluation indeacutependante de leur SMSI en matiegravere de protection de linformation
02 La famille de normes du SMSI
La famille de normes du SMSI (voir Article 4) a pour objet drsquoaider les organismes de tous types et de toutes tailles agrave deacuteployer et agrave exploiter un SMSI Elle se compose des Normes internationales suivantes (indiqueacutees ci-dessous par ordre numeacuterique) regroupeacutees sous le titre geacuteneacuteral Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute
mdash ISOIEC 27000 Systegravemes de management de la seacutecuriteacute de lrsquoinformation mdash Vue drsquoensemble et vocabulaire
mdash ISOIEC 27001 Systegravemes de management de la seacutecuriteacute de lrsquoinformation mdash Exigences
mdash ISOIEC 27002 Code de bonnes pratiques pour le management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27003 Lignes directrices pour la mise en œuvre du systegraveme de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27004 Management de la seacutecuriteacute de lrsquoinformation mdash Mesurage
mdash ISOIEC 27005 Gestion des risques lieacutes agrave la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27006 Exigences pour les organismes proceacutedant agrave lrsquoaudit et agrave la certification des systegravemes de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27007 Lignes directrices pour lrsquoaudit des systegravemes de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIECTR 27008 Lignes directrices pour les auditeurs des controcircles de seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27009 Application de lrsquoISOIEC 27001 agrave un secteur speacutecifique mdash Exigences
mdash ISOIEC 27010 Gestion de la seacutecuriteacute de lrsquoinformation des communications intersectorielles et interorganisationnelles
mdash ISOIEC 27011 Lignes directrices du management de la seacutecuriteacute de lrsquoinformation pour les organismes de teacuteleacutecommunications sur la base de lrsquoISOIEC 27002
mdash ISOIEC 27013 Guide sur la mise en œuvre inteacutegreacutee de lrsquoISOIEC 27001 et ISOIEC 20000-1
mdash ISOIEC 27014 Gouvernance de la seacutecuriteacute de lrsquoinformation
mdash ISOIECTR 27015 Lignes directrices pour le management de la seacutecuriteacute de lrsquoinformation pour les services financiers
mdash ISOIECTR 27016 Management de la seacutecuriteacute de lrsquoinformation mdash Eacuteconomie organisationnelle
vi copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash ISOIEC 27017 Code de bonnes pratiques pour les controcircles de seacutecuriteacute de lrsquoinformation fondeacutes sur lrsquoISOIEC 27002 pour les services du nuage
mdash ISOIEC 27018 Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans lrsquoinformatique en nuage public agissant comme processeur de PII
mdash ISOIEC 27019 Lignes directrices de management de la seacutecuriteacute de lrsquoinformation fondeacutees sur lrsquoISOIEC 27002 pour les systegravemes de controcircle des processus speacutecifiques agrave lrsquoindustrie de lrsquoeacutenergie
NOTE Le titre geacuteneacuteral laquo Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute raquo indique que ces Normes internationales ont eacuteteacute eacutelaboreacutees par le comiteacute technique mixte ISOIEC JTC 1 Technologies de lrsquoinformation sous-comiteacute SC 27 Techniques de seacutecuriteacute des technologies de lrsquoinformation
Les Normes internationales qui font eacutegalement partie de la famille de normes du SMSI mais qui ne sont pas regroupeacutees sous le mecircme titre geacuteneacuteral sont les suivantes
mdash ISO 27799 Informatique de santeacute mdash Management de la seacutecuriteacute de lrsquoinformation relative agrave la santeacute en utilisant lrsquoISOIEC 27002
02 Objet du preacutesent document
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des recommandations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de leacutevaluation de la conformiteacute dun SMSI
03 Objet de la preacutesente Norme internationale
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationetdeacutefinitlestermesquisrsquoyrapportent
NOTE LrsquoAnnexe A fournit des eacuteclaircissements sur la faccedilon dont les formes verbales sont utiliseacutees pour exprimer des exigences etou des preacuteconisations dans la famille de normes du SMSI
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des preacuteconisations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de lrsquoeacutevaluation de la conformiteacute drsquoun SMSI
LestermesetlesdeacutefinitionsfournisdanslapreacutesenteNormeinternationale
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
03 Contenu du preacutesent document
copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes vii
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Dans le preacutesent document les formes verbales suivantes sont utiliseacutees
mdash laquodoitraquoindiqueuneexigence
mdash laquoilconvientraquoindiqueunerecommandation
mdash laquopeutraquo indique une autorisation (laquomayraquo en anglais)
mdash ou une possibiliteacute ou une capaciteacute (laquocanraquo en anglais)
Les informations sous forme de laquoNOTEraquo sont fournies pour clarifier lrsquoexigence associeacutee ou enfaciliter la compreacutehension Les laquoNotes agrave lrsquoarticleraquo employeacutees agrave lrsquoArticle 3 fournissent des informations suppleacutementaires qui viennent compleacuteter les donneacutees terminologiques et peuvent contenir des dispositions concernant lrsquousage drsquoun terme
viii copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
Technologies de linformation mdash Techniques de seacutecuriteacute mdash Systegravemes de management de la seacutecuriteacute de linformation mdash Vue densemble et vocabulaire
1 Domaine drsquoapplication
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationainsiquedestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSILa preacutesente Norme internationale est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Le preacutesent document offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute de lrsquoinformation(SMSI)Ilcomprendeacutegalementlestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormes du SMSI Le preacutesent document est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Lestermesetlesdeacutefinitionsfournisdanslepreacutesentdocument
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
2 Reacutefeacuterences normatives
Le preacutesent document ne contient aucune reacutefeacuterence normative
2 3 Termes et deacutefinitions definitions
Pour les besoins du preacutesent document les termes et deacutefinitions suivants sappliquentLrsquoISO et lrsquoIEC tiennent agrave jour des bases de donneacutees terminologiques destineacutees agrave ecirctre utiliseacutees en normalisation consultables aux adresses suivantes
mdash ISO Online browsing platform disponible agrave lrsquoadresse https www iso org obp
mdash IEC Electropedia disponible agrave lrsquoadresse http www electropedia org
21 31controcircle daccegravesmoyens mis en œuvre pour assurer que laccegraves aux actifs est autoriseacute et limiteacute selon les exigences (263 356) propres agrave la seacutecuriteacute et agrave lactiviteacute meacutetier
22modegravele analytiquealgorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires (210) etou mesures deacuteriveacutees (222) avec les critegraveres de deacutecision associeacutes (221)
23 32attaquetentativededeacutetruirederendrepublicdemodifierdinvaliderdevoleroudutilisersansautorisationun actif ou de faire un usage non autoriseacute de celui-ci
NORME INTERNATIONALE ISOIEC 27000redline2018(F)
copy ISO 2018 ndash Tous droits reacuteserveacutes 1
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
24attributproprieacuteteacute ou caracteacuteristique dun objet (255) qui peut ecirctre distingueacute quantitativement ou qualitativement par des moyens humains ou automatiques
[SOURCE ISOIEC15939200722modifieacuteemdashLetermelaquoentiteacuteraquoaeacuteteacuteremplaceacuteparlaquoobjetraquodansladeacutefinition]
25 33auditprocessus (261)processus meacutethodique indeacutependant et documenteacute (354) permettant dobtenir des preuves daudit et de les eacutevaluer de maniegravere objective pour deacuteterminer dans quelle mesure les critegraveres daudit sont satisfaits
Note 1 agrave larticle Un audit peut ecirctre interne (audit de premiegravere partie) externe (audit de seconde ou de tierce partie) ou combineacute (associant deux disciplines ou plus)
Note 2 agrave larticle Un audit interne est reacutealiseacute par lrsquoorganisme lui-mecircme ou par une partie externe pour le compte de celui-ci
Note3agravelarticleLestermeslaquopreuvesdauditraquoetlaquocritegraveresdauditraquosontdeacutefinisdanslISO19011
26 34champ de lauditeacutetendue et limites dun audit (25 33)
[SOURCEISO190112011314modifieacuteemdashSuppressiondelanote1agravelarticle]
27 35authentificationmeacutethode permettant de garantir quune caracteacuteristique revendiqueacutee pour une entiteacute est correcte
28 36authenticiteacuteproprieacuteteacute selon laquelle une entiteacute est ce quelle revendique ecirctre
29 37disponibiliteacuteproprieacuteteacute decirctre accessible et utilisable agrave la demande par une entiteacute autoriseacutee
210 38mesure eacuteleacutementairemesure (247 342)deacutefinieenfonctiondunattribut (24)attributetdelameacutethodedemesuragespeacutecifieacuteepourlequantifier
[SOURCE ISOIEC15939200723modifieacuteemdashSuppressiondelanote2agravelarticle]
Note 1 agrave larticle Une mesure eacuteleacutementaire est fonctionnellement indeacutependante des autres mesures (247)mesures
[SOURCE ISOIECIEEE15939201733modifieacuteemdashSuppressiondelanote2agravelarticle]
211 39compeacutetencecapaciteacute agrave appliquer des connaissances et des aptitudes pour obtenir les reacutesultats escompteacutes
212 310confidentialiteacuteproprieacuteteacute selon laquelle linformation nest pas diffuseacutee ni divulgueacutee agrave des personnes des entiteacutes ou des processus (261 354) non autoriseacutes
2 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
213 311conformiteacutesatisfaction dune exigence (263 356)
Note 1 agrave larticle Le terme anglais laquo conformance raquo est un synonyme mais il est deacuteconseilleacute
214 312conseacutequenceeffet dun eacuteveacutenement (225 321) affectant les objectifs (256 349)
[SOURCE Guide ISO 7320093613modifieacute]
Note 1 agrave larticle Un eacuteveacutenement (225)eacuteveacutenement peut entraicircner engendrer une seacuterie de conseacutequences
Note 2 agrave larticle Une conseacutequence peut ecirctre certaine ou incertaine Dans dans le contexte de la seacutecuriteacute de linformation (233)seacutecuriteacute de linformation elle est geacuteneacuteralement neacutegative
Note 3 agrave larticle Les conseacutequences peuvent ecirctre exprimeacutees de faccedilon qualitative ou quantitative
Note 4 agrave larticle Des conseacutequences initiales peuvent deacuteclencher des reacuteactions en chaicircne
[SOURCE Guide ISO 7320093613modifieacutemdashModificationdelaNote2agravelarticleapregraveslaquoetraquo]
215 313ameacutelioration continueactiviteacute reacuteguliegravere destineacutee agrave ameacuteliorer les performances (259 352)
216 314mesure de seacutecuriteacutemesurequimodifieunrisque (268 361)
[SOURCE Guide ISO 7320093811]
Note 1 agrave larticle Les mesures de seacutecuriteacute comprennent tous les processus (261 354) politiques (260 353) dispositifspratiquesouautresactionsquimodifientunrisque (268 361)
Note 2 agrave larticle Les Il est possible que les mesures de seacutecuriteacute ne peuvent puissent pas toujours aboutir agrave la modificationvoulueousupposeacutee
[SOURCE Guide ISO 7320093811mdashModificationdelaNote2agravelarticle]
217 315objectif drsquoune dune mesure de seacutecuriteacutedeacuteclaration deacutecrivant ce qui est attendu de la mise en œuvre des mesures de seacutecuriteacute (216 314)
218 316correctionaction visant agrave eacuteliminer une non-conformiteacute (253 347) deacutetecteacutee
219 317action correctiveaction visant agrave eacuteliminer la cause dune non-conformiteacute (253 347) et agrave empecirccher quelle ne se reacutepegravete
220donneacuteesensemble des valeurs attribueacutees aux mesures eacuteleacutementaires (210) mesures deacuteriveacutees (222) etou aux indicateurs (230)
[SOURCE ISOIEC15939200724modifieacuteemdashAjoutdelanote1agravelarticle]
Note1agravelarticleCettedeacutefinitionsappliqueuniquementdanslecontextedelISOIEC 27004
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 3
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
221critegraveres de deacutecisionseuils cibles ou modegraveles utiliseacutes pour deacuteterminer la neacutecessiteacute dune action ou dun compleacutement denquecircteoupourdeacutecrireleniveaudeconfiancedansunreacutesultatdonneacute
[SOURCE ISOIEC15939200727]
222 318mesure deacuteriveacuteemesure (247 342)deacutefinieenfonctiondaumoinsdeuxmesures eacuteleacutementaires (210 38)
[SOURCE ISOIECIEEE 159392007 28 2017 38modifieacuteemdashSuppressiondelanote1agravelarticle]
223 319informations documenteacuteesinformations devant ecirctre controcircleacutees et mises agrave jour par un organisme (257 350) et le support sur lequel elles sont stockeacutees
Note 1 agrave larticle Les informations documenteacutees peuvent ecirctre dans nimporte quel format sur nimporte quel support et provenir de nimporte quelle source
Note 2 agrave larticle Les informations documenteacutees peuvent se rapporter
mdash au systegraveme de management (246341) et aux processus (261)processus associeacutes (354)
mdash aux informations creacuteeacutees pour permettre agrave lorganisme (257350)defonctionner(documentation)
mdash aux preuves des reacutesultats obtenus (enregistrements)
224 320efficaciteacuteniveaudereacutealisationdesactiviteacutesplanifieacuteesetdobtentiondesreacutesultatsescompteacutes
225 321eacuteveacutenementoccurrence ou changement dun ensemble particulier de circonstances
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
Note 1 agrave larticle Un eacuteveacutenement peut ecirctre unique ou se reproduire Il peut avoir plusieurs causes
Note 2 agrave larticle Un eacuteveacutenement peut consister en quelque chose qui ne se produit pas
Note3agravelarticleUneacuteveacutenementpeutparfoisecirctrequalifieacutelaquodincidentraquooulaquodaccidentraquo
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
226management exeacutecutifpersonne ou groupe de personnes ayant reccedilu des instances dirigeantes (229) la responsabiliteacute de la miseenœuvredesstrateacutegiesetpolitiquesafindatteindrelesobjectifsdelorganisme (257)
Note 1 agrave larticle Le management exeacutecutif est parfois appeleacute la direction (284) Il peut comprendre les preacutesidents directeurs geacuteneacuteraux les directeurs financiers les directeurs des systegravemes dinformation et autres fonctionssimilaires
227 322contexte externeenvironnement externe dans lequel lorganisme cherche agrave atteindre ses objectifs (256 349)
Note 1 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
4 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Introduction
01 Vue densemble
Les Normes internationales relatives aux systegravemes de management fournissent un modegravele en matiegravere deacutetablissement et dexploitation dun systegraveme de management Ce modegravele comprend les caracteacuteristiques que les experts dans le domaine saccordent agrave reconnaicirctre comme refleacutetant leacutetat de lart au niveauinternational Le sous-comiteacute ISOIEC JTC 1SC 27 beacuteneacuteficie de lexpeacuterience dun comiteacute dexpertsqui se consacre agrave leacutelaboration des Normes internationales sur les systegravemes de management pour la seacutecuriteacute de linformation connues eacutegalement comme famille de normes du Systegraveme de Management de la Seacutecuriteacute de lInformation (SMSI)
Gracircce agrave lutilisation de la famille de normes du SMSI les organismes peuvent eacutelaborer et mettre en œuvre un cadre de reacutefeacuterence pour geacuterer la seacutecuriteacute de leurs actifs informationnels y compris les informations financiegravereslaproprieacuteteacuteintellectuellelesinformationssurlesemployeacutesoulesinformationsquileursontconfieacuteespardesclientsoudestiersIlspeuventeacutegalementutilisercesnormespoursepreacutepareragraveune eacutevaluation indeacutependante de leur SMSI en matiegravere de protection de linformation
02 La famille de normes du SMSI
La famille de normes du SMSI (voir Article 4) a pour objet drsquoaider les organismes de tous types et de toutes tailles agrave deacuteployer et agrave exploiter un SMSI Elle se compose des Normes internationales suivantes (indiqueacutees ci-dessous par ordre numeacuterique) regroupeacutees sous le titre geacuteneacuteral Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute
mdash ISOIEC 27000 Systegravemes de management de la seacutecuriteacute de lrsquoinformation mdash Vue drsquoensemble et vocabulaire
mdash ISOIEC 27001 Systegravemes de management de la seacutecuriteacute de lrsquoinformation mdash Exigences
mdash ISOIEC 27002 Code de bonnes pratiques pour le management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27003 Lignes directrices pour la mise en œuvre du systegraveme de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27004 Management de la seacutecuriteacute de lrsquoinformation mdash Mesurage
mdash ISOIEC 27005 Gestion des risques lieacutes agrave la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27006 Exigences pour les organismes proceacutedant agrave lrsquoaudit et agrave la certification des systegravemes de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27007 Lignes directrices pour lrsquoaudit des systegravemes de management de la seacutecuriteacute de lrsquoinformation
mdash ISOIECTR 27008 Lignes directrices pour les auditeurs des controcircles de seacutecuriteacute de lrsquoinformation
mdash ISOIEC 27009 Application de lrsquoISOIEC 27001 agrave un secteur speacutecifique mdash Exigences
mdash ISOIEC 27010 Gestion de la seacutecuriteacute de lrsquoinformation des communications intersectorielles et interorganisationnelles
mdash ISOIEC 27011 Lignes directrices du management de la seacutecuriteacute de lrsquoinformation pour les organismes de teacuteleacutecommunications sur la base de lrsquoISOIEC 27002
mdash ISOIEC 27013 Guide sur la mise en œuvre inteacutegreacutee de lrsquoISOIEC 27001 et ISOIEC 20000-1
mdash ISOIEC 27014 Gouvernance de la seacutecuriteacute de lrsquoinformation
mdash ISOIECTR 27015 Lignes directrices pour le management de la seacutecuriteacute de lrsquoinformation pour les services financiers
mdash ISOIECTR 27016 Management de la seacutecuriteacute de lrsquoinformation mdash Eacuteconomie organisationnelle
vi copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash ISOIEC 27017 Code de bonnes pratiques pour les controcircles de seacutecuriteacute de lrsquoinformation fondeacutes sur lrsquoISOIEC 27002 pour les services du nuage
mdash ISOIEC 27018 Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans lrsquoinformatique en nuage public agissant comme processeur de PII
mdash ISOIEC 27019 Lignes directrices de management de la seacutecuriteacute de lrsquoinformation fondeacutees sur lrsquoISOIEC 27002 pour les systegravemes de controcircle des processus speacutecifiques agrave lrsquoindustrie de lrsquoeacutenergie
NOTE Le titre geacuteneacuteral laquo Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute raquo indique que ces Normes internationales ont eacuteteacute eacutelaboreacutees par le comiteacute technique mixte ISOIEC JTC 1 Technologies de lrsquoinformation sous-comiteacute SC 27 Techniques de seacutecuriteacute des technologies de lrsquoinformation
Les Normes internationales qui font eacutegalement partie de la famille de normes du SMSI mais qui ne sont pas regroupeacutees sous le mecircme titre geacuteneacuteral sont les suivantes
mdash ISO 27799 Informatique de santeacute mdash Management de la seacutecuriteacute de lrsquoinformation relative agrave la santeacute en utilisant lrsquoISOIEC 27002
02 Objet du preacutesent document
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des recommandations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de leacutevaluation de la conformiteacute dun SMSI
03 Objet de la preacutesente Norme internationale
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationetdeacutefinitlestermesquisrsquoyrapportent
NOTE LrsquoAnnexe A fournit des eacuteclaircissements sur la faccedilon dont les formes verbales sont utiliseacutees pour exprimer des exigences etou des preacuteconisations dans la famille de normes du SMSI
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des preacuteconisations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de lrsquoeacutevaluation de la conformiteacute drsquoun SMSI
LestermesetlesdeacutefinitionsfournisdanslapreacutesenteNormeinternationale
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
03 Contenu du preacutesent document
copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes vii
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Dans le preacutesent document les formes verbales suivantes sont utiliseacutees
mdash laquodoitraquoindiqueuneexigence
mdash laquoilconvientraquoindiqueunerecommandation
mdash laquopeutraquo indique une autorisation (laquomayraquo en anglais)
mdash ou une possibiliteacute ou une capaciteacute (laquocanraquo en anglais)
Les informations sous forme de laquoNOTEraquo sont fournies pour clarifier lrsquoexigence associeacutee ou enfaciliter la compreacutehension Les laquoNotes agrave lrsquoarticleraquo employeacutees agrave lrsquoArticle 3 fournissent des informations suppleacutementaires qui viennent compleacuteter les donneacutees terminologiques et peuvent contenir des dispositions concernant lrsquousage drsquoun terme
viii copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
Technologies de linformation mdash Techniques de seacutecuriteacute mdash Systegravemes de management de la seacutecuriteacute de linformation mdash Vue densemble et vocabulaire
1 Domaine drsquoapplication
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationainsiquedestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSILa preacutesente Norme internationale est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Le preacutesent document offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute de lrsquoinformation(SMSI)Ilcomprendeacutegalementlestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormes du SMSI Le preacutesent document est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Lestermesetlesdeacutefinitionsfournisdanslepreacutesentdocument
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
2 Reacutefeacuterences normatives
Le preacutesent document ne contient aucune reacutefeacuterence normative
2 3 Termes et deacutefinitions definitions
Pour les besoins du preacutesent document les termes et deacutefinitions suivants sappliquentLrsquoISO et lrsquoIEC tiennent agrave jour des bases de donneacutees terminologiques destineacutees agrave ecirctre utiliseacutees en normalisation consultables aux adresses suivantes
mdash ISO Online browsing platform disponible agrave lrsquoadresse https www iso org obp
mdash IEC Electropedia disponible agrave lrsquoadresse http www electropedia org
21 31controcircle daccegravesmoyens mis en œuvre pour assurer que laccegraves aux actifs est autoriseacute et limiteacute selon les exigences (263 356) propres agrave la seacutecuriteacute et agrave lactiviteacute meacutetier
22modegravele analytiquealgorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires (210) etou mesures deacuteriveacutees (222) avec les critegraveres de deacutecision associeacutes (221)
23 32attaquetentativededeacutetruirederendrepublicdemodifierdinvaliderdevoleroudutilisersansautorisationun actif ou de faire un usage non autoriseacute de celui-ci
NORME INTERNATIONALE ISOIEC 27000redline2018(F)
copy ISO 2018 ndash Tous droits reacuteserveacutes 1
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
24attributproprieacuteteacute ou caracteacuteristique dun objet (255) qui peut ecirctre distingueacute quantitativement ou qualitativement par des moyens humains ou automatiques
[SOURCE ISOIEC15939200722modifieacuteemdashLetermelaquoentiteacuteraquoaeacuteteacuteremplaceacuteparlaquoobjetraquodansladeacutefinition]
25 33auditprocessus (261)processus meacutethodique indeacutependant et documenteacute (354) permettant dobtenir des preuves daudit et de les eacutevaluer de maniegravere objective pour deacuteterminer dans quelle mesure les critegraveres daudit sont satisfaits
Note 1 agrave larticle Un audit peut ecirctre interne (audit de premiegravere partie) externe (audit de seconde ou de tierce partie) ou combineacute (associant deux disciplines ou plus)
Note 2 agrave larticle Un audit interne est reacutealiseacute par lrsquoorganisme lui-mecircme ou par une partie externe pour le compte de celui-ci
Note3agravelarticleLestermeslaquopreuvesdauditraquoetlaquocritegraveresdauditraquosontdeacutefinisdanslISO19011
26 34champ de lauditeacutetendue et limites dun audit (25 33)
[SOURCEISO190112011314modifieacuteemdashSuppressiondelanote1agravelarticle]
27 35authentificationmeacutethode permettant de garantir quune caracteacuteristique revendiqueacutee pour une entiteacute est correcte
28 36authenticiteacuteproprieacuteteacute selon laquelle une entiteacute est ce quelle revendique ecirctre
29 37disponibiliteacuteproprieacuteteacute decirctre accessible et utilisable agrave la demande par une entiteacute autoriseacutee
210 38mesure eacuteleacutementairemesure (247 342)deacutefinieenfonctiondunattribut (24)attributetdelameacutethodedemesuragespeacutecifieacuteepourlequantifier
[SOURCE ISOIEC15939200723modifieacuteemdashSuppressiondelanote2agravelarticle]
Note 1 agrave larticle Une mesure eacuteleacutementaire est fonctionnellement indeacutependante des autres mesures (247)mesures
[SOURCE ISOIECIEEE15939201733modifieacuteemdashSuppressiondelanote2agravelarticle]
211 39compeacutetencecapaciteacute agrave appliquer des connaissances et des aptitudes pour obtenir les reacutesultats escompteacutes
212 310confidentialiteacuteproprieacuteteacute selon laquelle linformation nest pas diffuseacutee ni divulgueacutee agrave des personnes des entiteacutes ou des processus (261 354) non autoriseacutes
2 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
213 311conformiteacutesatisfaction dune exigence (263 356)
Note 1 agrave larticle Le terme anglais laquo conformance raquo est un synonyme mais il est deacuteconseilleacute
214 312conseacutequenceeffet dun eacuteveacutenement (225 321) affectant les objectifs (256 349)
[SOURCE Guide ISO 7320093613modifieacute]
Note 1 agrave larticle Un eacuteveacutenement (225)eacuteveacutenement peut entraicircner engendrer une seacuterie de conseacutequences
Note 2 agrave larticle Une conseacutequence peut ecirctre certaine ou incertaine Dans dans le contexte de la seacutecuriteacute de linformation (233)seacutecuriteacute de linformation elle est geacuteneacuteralement neacutegative
Note 3 agrave larticle Les conseacutequences peuvent ecirctre exprimeacutees de faccedilon qualitative ou quantitative
Note 4 agrave larticle Des conseacutequences initiales peuvent deacuteclencher des reacuteactions en chaicircne
[SOURCE Guide ISO 7320093613modifieacutemdashModificationdelaNote2agravelarticleapregraveslaquoetraquo]
215 313ameacutelioration continueactiviteacute reacuteguliegravere destineacutee agrave ameacuteliorer les performances (259 352)
216 314mesure de seacutecuriteacutemesurequimodifieunrisque (268 361)
[SOURCE Guide ISO 7320093811]
Note 1 agrave larticle Les mesures de seacutecuriteacute comprennent tous les processus (261 354) politiques (260 353) dispositifspratiquesouautresactionsquimodifientunrisque (268 361)
Note 2 agrave larticle Les Il est possible que les mesures de seacutecuriteacute ne peuvent puissent pas toujours aboutir agrave la modificationvoulueousupposeacutee
[SOURCE Guide ISO 7320093811mdashModificationdelaNote2agravelarticle]
217 315objectif drsquoune dune mesure de seacutecuriteacutedeacuteclaration deacutecrivant ce qui est attendu de la mise en œuvre des mesures de seacutecuriteacute (216 314)
218 316correctionaction visant agrave eacuteliminer une non-conformiteacute (253 347) deacutetecteacutee
219 317action correctiveaction visant agrave eacuteliminer la cause dune non-conformiteacute (253 347) et agrave empecirccher quelle ne se reacutepegravete
220donneacuteesensemble des valeurs attribueacutees aux mesures eacuteleacutementaires (210) mesures deacuteriveacutees (222) etou aux indicateurs (230)
[SOURCE ISOIEC15939200724modifieacuteemdashAjoutdelanote1agravelarticle]
Note1agravelarticleCettedeacutefinitionsappliqueuniquementdanslecontextedelISOIEC 27004
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 3
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
221critegraveres de deacutecisionseuils cibles ou modegraveles utiliseacutes pour deacuteterminer la neacutecessiteacute dune action ou dun compleacutement denquecircteoupourdeacutecrireleniveaudeconfiancedansunreacutesultatdonneacute
[SOURCE ISOIEC15939200727]
222 318mesure deacuteriveacuteemesure (247 342)deacutefinieenfonctiondaumoinsdeuxmesures eacuteleacutementaires (210 38)
[SOURCE ISOIECIEEE 159392007 28 2017 38modifieacuteemdashSuppressiondelanote1agravelarticle]
223 319informations documenteacuteesinformations devant ecirctre controcircleacutees et mises agrave jour par un organisme (257 350) et le support sur lequel elles sont stockeacutees
Note 1 agrave larticle Les informations documenteacutees peuvent ecirctre dans nimporte quel format sur nimporte quel support et provenir de nimporte quelle source
Note 2 agrave larticle Les informations documenteacutees peuvent se rapporter
mdash au systegraveme de management (246341) et aux processus (261)processus associeacutes (354)
mdash aux informations creacuteeacutees pour permettre agrave lorganisme (257350)defonctionner(documentation)
mdash aux preuves des reacutesultats obtenus (enregistrements)
224 320efficaciteacuteniveaudereacutealisationdesactiviteacutesplanifieacuteesetdobtentiondesreacutesultatsescompteacutes
225 321eacuteveacutenementoccurrence ou changement dun ensemble particulier de circonstances
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
Note 1 agrave larticle Un eacuteveacutenement peut ecirctre unique ou se reproduire Il peut avoir plusieurs causes
Note 2 agrave larticle Un eacuteveacutenement peut consister en quelque chose qui ne se produit pas
Note3agravelarticleUneacuteveacutenementpeutparfoisecirctrequalifieacutelaquodincidentraquooulaquodaccidentraquo
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
226management exeacutecutifpersonne ou groupe de personnes ayant reccedilu des instances dirigeantes (229) la responsabiliteacute de la miseenœuvredesstrateacutegiesetpolitiquesafindatteindrelesobjectifsdelorganisme (257)
Note 1 agrave larticle Le management exeacutecutif est parfois appeleacute la direction (284) Il peut comprendre les preacutesidents directeurs geacuteneacuteraux les directeurs financiers les directeurs des systegravemes dinformation et autres fonctionssimilaires
227 322contexte externeenvironnement externe dans lequel lorganisme cherche agrave atteindre ses objectifs (256 349)
Note 1 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
4 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash ISOIEC 27017 Code de bonnes pratiques pour les controcircles de seacutecuriteacute de lrsquoinformation fondeacutes sur lrsquoISOIEC 27002 pour les services du nuage
mdash ISOIEC 27018 Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans lrsquoinformatique en nuage public agissant comme processeur de PII
mdash ISOIEC 27019 Lignes directrices de management de la seacutecuriteacute de lrsquoinformation fondeacutees sur lrsquoISOIEC 27002 pour les systegravemes de controcircle des processus speacutecifiques agrave lrsquoindustrie de lrsquoeacutenergie
NOTE Le titre geacuteneacuteral laquo Technologies de lrsquoinformation mdash Techniques de seacutecuriteacute raquo indique que ces Normes internationales ont eacuteteacute eacutelaboreacutees par le comiteacute technique mixte ISOIEC JTC 1 Technologies de lrsquoinformation sous-comiteacute SC 27 Techniques de seacutecuriteacute des technologies de lrsquoinformation
Les Normes internationales qui font eacutegalement partie de la famille de normes du SMSI mais qui ne sont pas regroupeacutees sous le mecircme titre geacuteneacuteral sont les suivantes
mdash ISO 27799 Informatique de santeacute mdash Management de la seacutecuriteacute de lrsquoinformation relative agrave la santeacute en utilisant lrsquoISOIEC 27002
02 Objet du preacutesent document
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des recommandations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de leacutevaluation de la conformiteacute dun SMSI
03 Objet de la preacutesente Norme internationale
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationetdeacutefinitlestermesquisrsquoyrapportent
NOTE LrsquoAnnexe A fournit des eacuteclaircissements sur la faccedilon dont les formes verbales sont utiliseacutees pour exprimer des exigences etou des preacuteconisations dans la famille de normes du SMSI
La famille de normes du SMSI comporte des normes qui
a) deacutefinissentlesexigencesrelativesagraveunSMSIetagraveceuxquicertifientdetelssystegravemes
b) apportent des informations directes des preacuteconisations etou une interpreacutetation deacutetailleacutees concernantleprocessusgeacuteneacuteralvisantagraveeacutetablirmettreenœuvremainteniretameacuteliorerunSMSI
c) preacutesententdeslignesdirectricespropresagravedessecteursparticuliersenmatiegraveredeSMSI
d) traitent de lrsquoeacutevaluation de la conformiteacute drsquoun SMSI
LestermesetlesdeacutefinitionsfournisdanslapreacutesenteNormeinternationale
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
03 Contenu du preacutesent document
copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes vii
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Dans le preacutesent document les formes verbales suivantes sont utiliseacutees
mdash laquodoitraquoindiqueuneexigence
mdash laquoilconvientraquoindiqueunerecommandation
mdash laquopeutraquo indique une autorisation (laquomayraquo en anglais)
mdash ou une possibiliteacute ou une capaciteacute (laquocanraquo en anglais)
Les informations sous forme de laquoNOTEraquo sont fournies pour clarifier lrsquoexigence associeacutee ou enfaciliter la compreacutehension Les laquoNotes agrave lrsquoarticleraquo employeacutees agrave lrsquoArticle 3 fournissent des informations suppleacutementaires qui viennent compleacuteter les donneacutees terminologiques et peuvent contenir des dispositions concernant lrsquousage drsquoun terme
viii copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
Technologies de linformation mdash Techniques de seacutecuriteacute mdash Systegravemes de management de la seacutecuriteacute de linformation mdash Vue densemble et vocabulaire
1 Domaine drsquoapplication
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationainsiquedestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSILa preacutesente Norme internationale est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Le preacutesent document offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute de lrsquoinformation(SMSI)Ilcomprendeacutegalementlestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormes du SMSI Le preacutesent document est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Lestermesetlesdeacutefinitionsfournisdanslepreacutesentdocument
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
2 Reacutefeacuterences normatives
Le preacutesent document ne contient aucune reacutefeacuterence normative
2 3 Termes et deacutefinitions definitions
Pour les besoins du preacutesent document les termes et deacutefinitions suivants sappliquentLrsquoISO et lrsquoIEC tiennent agrave jour des bases de donneacutees terminologiques destineacutees agrave ecirctre utiliseacutees en normalisation consultables aux adresses suivantes
mdash ISO Online browsing platform disponible agrave lrsquoadresse https www iso org obp
mdash IEC Electropedia disponible agrave lrsquoadresse http www electropedia org
21 31controcircle daccegravesmoyens mis en œuvre pour assurer que laccegraves aux actifs est autoriseacute et limiteacute selon les exigences (263 356) propres agrave la seacutecuriteacute et agrave lactiviteacute meacutetier
22modegravele analytiquealgorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires (210) etou mesures deacuteriveacutees (222) avec les critegraveres de deacutecision associeacutes (221)
23 32attaquetentativededeacutetruirederendrepublicdemodifierdinvaliderdevoleroudutilisersansautorisationun actif ou de faire un usage non autoriseacute de celui-ci
NORME INTERNATIONALE ISOIEC 27000redline2018(F)
copy ISO 2018 ndash Tous droits reacuteserveacutes 1
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
24attributproprieacuteteacute ou caracteacuteristique dun objet (255) qui peut ecirctre distingueacute quantitativement ou qualitativement par des moyens humains ou automatiques
[SOURCE ISOIEC15939200722modifieacuteemdashLetermelaquoentiteacuteraquoaeacuteteacuteremplaceacuteparlaquoobjetraquodansladeacutefinition]
25 33auditprocessus (261)processus meacutethodique indeacutependant et documenteacute (354) permettant dobtenir des preuves daudit et de les eacutevaluer de maniegravere objective pour deacuteterminer dans quelle mesure les critegraveres daudit sont satisfaits
Note 1 agrave larticle Un audit peut ecirctre interne (audit de premiegravere partie) externe (audit de seconde ou de tierce partie) ou combineacute (associant deux disciplines ou plus)
Note 2 agrave larticle Un audit interne est reacutealiseacute par lrsquoorganisme lui-mecircme ou par une partie externe pour le compte de celui-ci
Note3agravelarticleLestermeslaquopreuvesdauditraquoetlaquocritegraveresdauditraquosontdeacutefinisdanslISO19011
26 34champ de lauditeacutetendue et limites dun audit (25 33)
[SOURCEISO190112011314modifieacuteemdashSuppressiondelanote1agravelarticle]
27 35authentificationmeacutethode permettant de garantir quune caracteacuteristique revendiqueacutee pour une entiteacute est correcte
28 36authenticiteacuteproprieacuteteacute selon laquelle une entiteacute est ce quelle revendique ecirctre
29 37disponibiliteacuteproprieacuteteacute decirctre accessible et utilisable agrave la demande par une entiteacute autoriseacutee
210 38mesure eacuteleacutementairemesure (247 342)deacutefinieenfonctiondunattribut (24)attributetdelameacutethodedemesuragespeacutecifieacuteepourlequantifier
[SOURCE ISOIEC15939200723modifieacuteemdashSuppressiondelanote2agravelarticle]
Note 1 agrave larticle Une mesure eacuteleacutementaire est fonctionnellement indeacutependante des autres mesures (247)mesures
[SOURCE ISOIECIEEE15939201733modifieacuteemdashSuppressiondelanote2agravelarticle]
211 39compeacutetencecapaciteacute agrave appliquer des connaissances et des aptitudes pour obtenir les reacutesultats escompteacutes
212 310confidentialiteacuteproprieacuteteacute selon laquelle linformation nest pas diffuseacutee ni divulgueacutee agrave des personnes des entiteacutes ou des processus (261 354) non autoriseacutes
2 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
213 311conformiteacutesatisfaction dune exigence (263 356)
Note 1 agrave larticle Le terme anglais laquo conformance raquo est un synonyme mais il est deacuteconseilleacute
214 312conseacutequenceeffet dun eacuteveacutenement (225 321) affectant les objectifs (256 349)
[SOURCE Guide ISO 7320093613modifieacute]
Note 1 agrave larticle Un eacuteveacutenement (225)eacuteveacutenement peut entraicircner engendrer une seacuterie de conseacutequences
Note 2 agrave larticle Une conseacutequence peut ecirctre certaine ou incertaine Dans dans le contexte de la seacutecuriteacute de linformation (233)seacutecuriteacute de linformation elle est geacuteneacuteralement neacutegative
Note 3 agrave larticle Les conseacutequences peuvent ecirctre exprimeacutees de faccedilon qualitative ou quantitative
Note 4 agrave larticle Des conseacutequences initiales peuvent deacuteclencher des reacuteactions en chaicircne
[SOURCE Guide ISO 7320093613modifieacutemdashModificationdelaNote2agravelarticleapregraveslaquoetraquo]
215 313ameacutelioration continueactiviteacute reacuteguliegravere destineacutee agrave ameacuteliorer les performances (259 352)
216 314mesure de seacutecuriteacutemesurequimodifieunrisque (268 361)
[SOURCE Guide ISO 7320093811]
Note 1 agrave larticle Les mesures de seacutecuriteacute comprennent tous les processus (261 354) politiques (260 353) dispositifspratiquesouautresactionsquimodifientunrisque (268 361)
Note 2 agrave larticle Les Il est possible que les mesures de seacutecuriteacute ne peuvent puissent pas toujours aboutir agrave la modificationvoulueousupposeacutee
[SOURCE Guide ISO 7320093811mdashModificationdelaNote2agravelarticle]
217 315objectif drsquoune dune mesure de seacutecuriteacutedeacuteclaration deacutecrivant ce qui est attendu de la mise en œuvre des mesures de seacutecuriteacute (216 314)
218 316correctionaction visant agrave eacuteliminer une non-conformiteacute (253 347) deacutetecteacutee
219 317action correctiveaction visant agrave eacuteliminer la cause dune non-conformiteacute (253 347) et agrave empecirccher quelle ne se reacutepegravete
220donneacuteesensemble des valeurs attribueacutees aux mesures eacuteleacutementaires (210) mesures deacuteriveacutees (222) etou aux indicateurs (230)
[SOURCE ISOIEC15939200724modifieacuteemdashAjoutdelanote1agravelarticle]
Note1agravelarticleCettedeacutefinitionsappliqueuniquementdanslecontextedelISOIEC 27004
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 3
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
221critegraveres de deacutecisionseuils cibles ou modegraveles utiliseacutes pour deacuteterminer la neacutecessiteacute dune action ou dun compleacutement denquecircteoupourdeacutecrireleniveaudeconfiancedansunreacutesultatdonneacute
[SOURCE ISOIEC15939200727]
222 318mesure deacuteriveacuteemesure (247 342)deacutefinieenfonctiondaumoinsdeuxmesures eacuteleacutementaires (210 38)
[SOURCE ISOIECIEEE 159392007 28 2017 38modifieacuteemdashSuppressiondelanote1agravelarticle]
223 319informations documenteacuteesinformations devant ecirctre controcircleacutees et mises agrave jour par un organisme (257 350) et le support sur lequel elles sont stockeacutees
Note 1 agrave larticle Les informations documenteacutees peuvent ecirctre dans nimporte quel format sur nimporte quel support et provenir de nimporte quelle source
Note 2 agrave larticle Les informations documenteacutees peuvent se rapporter
mdash au systegraveme de management (246341) et aux processus (261)processus associeacutes (354)
mdash aux informations creacuteeacutees pour permettre agrave lorganisme (257350)defonctionner(documentation)
mdash aux preuves des reacutesultats obtenus (enregistrements)
224 320efficaciteacuteniveaudereacutealisationdesactiviteacutesplanifieacuteesetdobtentiondesreacutesultatsescompteacutes
225 321eacuteveacutenementoccurrence ou changement dun ensemble particulier de circonstances
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
Note 1 agrave larticle Un eacuteveacutenement peut ecirctre unique ou se reproduire Il peut avoir plusieurs causes
Note 2 agrave larticle Un eacuteveacutenement peut consister en quelque chose qui ne se produit pas
Note3agravelarticleUneacuteveacutenementpeutparfoisecirctrequalifieacutelaquodincidentraquooulaquodaccidentraquo
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
226management exeacutecutifpersonne ou groupe de personnes ayant reccedilu des instances dirigeantes (229) la responsabiliteacute de la miseenœuvredesstrateacutegiesetpolitiquesafindatteindrelesobjectifsdelorganisme (257)
Note 1 agrave larticle Le management exeacutecutif est parfois appeleacute la direction (284) Il peut comprendre les preacutesidents directeurs geacuteneacuteraux les directeurs financiers les directeurs des systegravemes dinformation et autres fonctionssimilaires
227 322contexte externeenvironnement externe dans lequel lorganisme cherche agrave atteindre ses objectifs (256 349)
Note 1 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
4 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
Dans le preacutesent document les formes verbales suivantes sont utiliseacutees
mdash laquodoitraquoindiqueuneexigence
mdash laquoilconvientraquoindiqueunerecommandation
mdash laquopeutraquo indique une autorisation (laquomayraquo en anglais)
mdash ou une possibiliteacute ou une capaciteacute (laquocanraquo en anglais)
Les informations sous forme de laquoNOTEraquo sont fournies pour clarifier lrsquoexigence associeacutee ou enfaciliter la compreacutehension Les laquoNotes agrave lrsquoarticleraquo employeacutees agrave lrsquoArticle 3 fournissent des informations suppleacutementaires qui viennent compleacuteter les donneacutees terminologiques et peuvent contenir des dispositions concernant lrsquousage drsquoun terme
viii copy ISOIEC ISO pub-date year ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
Technologies de linformation mdash Techniques de seacutecuriteacute mdash Systegravemes de management de la seacutecuriteacute de linformation mdash Vue densemble et vocabulaire
1 Domaine drsquoapplication
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationainsiquedestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSILa preacutesente Norme internationale est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Le preacutesent document offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute de lrsquoinformation(SMSI)Ilcomprendeacutegalementlestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormes du SMSI Le preacutesent document est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Lestermesetlesdeacutefinitionsfournisdanslepreacutesentdocument
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
2 Reacutefeacuterences normatives
Le preacutesent document ne contient aucune reacutefeacuterence normative
2 3 Termes et deacutefinitions definitions
Pour les besoins du preacutesent document les termes et deacutefinitions suivants sappliquentLrsquoISO et lrsquoIEC tiennent agrave jour des bases de donneacutees terminologiques destineacutees agrave ecirctre utiliseacutees en normalisation consultables aux adresses suivantes
mdash ISO Online browsing platform disponible agrave lrsquoadresse https www iso org obp
mdash IEC Electropedia disponible agrave lrsquoadresse http www electropedia org
21 31controcircle daccegravesmoyens mis en œuvre pour assurer que laccegraves aux actifs est autoriseacute et limiteacute selon les exigences (263 356) propres agrave la seacutecuriteacute et agrave lactiviteacute meacutetier
22modegravele analytiquealgorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires (210) etou mesures deacuteriveacutees (222) avec les critegraveres de deacutecision associeacutes (221)
23 32attaquetentativededeacutetruirederendrepublicdemodifierdinvaliderdevoleroudutilisersansautorisationun actif ou de faire un usage non autoriseacute de celui-ci
NORME INTERNATIONALE ISOIEC 27000redline2018(F)
copy ISO 2018 ndash Tous droits reacuteserveacutes 1
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
24attributproprieacuteteacute ou caracteacuteristique dun objet (255) qui peut ecirctre distingueacute quantitativement ou qualitativement par des moyens humains ou automatiques
[SOURCE ISOIEC15939200722modifieacuteemdashLetermelaquoentiteacuteraquoaeacuteteacuteremplaceacuteparlaquoobjetraquodansladeacutefinition]
25 33auditprocessus (261)processus meacutethodique indeacutependant et documenteacute (354) permettant dobtenir des preuves daudit et de les eacutevaluer de maniegravere objective pour deacuteterminer dans quelle mesure les critegraveres daudit sont satisfaits
Note 1 agrave larticle Un audit peut ecirctre interne (audit de premiegravere partie) externe (audit de seconde ou de tierce partie) ou combineacute (associant deux disciplines ou plus)
Note 2 agrave larticle Un audit interne est reacutealiseacute par lrsquoorganisme lui-mecircme ou par une partie externe pour le compte de celui-ci
Note3agravelarticleLestermeslaquopreuvesdauditraquoetlaquocritegraveresdauditraquosontdeacutefinisdanslISO19011
26 34champ de lauditeacutetendue et limites dun audit (25 33)
[SOURCEISO190112011314modifieacuteemdashSuppressiondelanote1agravelarticle]
27 35authentificationmeacutethode permettant de garantir quune caracteacuteristique revendiqueacutee pour une entiteacute est correcte
28 36authenticiteacuteproprieacuteteacute selon laquelle une entiteacute est ce quelle revendique ecirctre
29 37disponibiliteacuteproprieacuteteacute decirctre accessible et utilisable agrave la demande par une entiteacute autoriseacutee
210 38mesure eacuteleacutementairemesure (247 342)deacutefinieenfonctiondunattribut (24)attributetdelameacutethodedemesuragespeacutecifieacuteepourlequantifier
[SOURCE ISOIEC15939200723modifieacuteemdashSuppressiondelanote2agravelarticle]
Note 1 agrave larticle Une mesure eacuteleacutementaire est fonctionnellement indeacutependante des autres mesures (247)mesures
[SOURCE ISOIECIEEE15939201733modifieacuteemdashSuppressiondelanote2agravelarticle]
211 39compeacutetencecapaciteacute agrave appliquer des connaissances et des aptitudes pour obtenir les reacutesultats escompteacutes
212 310confidentialiteacuteproprieacuteteacute selon laquelle linformation nest pas diffuseacutee ni divulgueacutee agrave des personnes des entiteacutes ou des processus (261 354) non autoriseacutes
2 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
213 311conformiteacutesatisfaction dune exigence (263 356)
Note 1 agrave larticle Le terme anglais laquo conformance raquo est un synonyme mais il est deacuteconseilleacute
214 312conseacutequenceeffet dun eacuteveacutenement (225 321) affectant les objectifs (256 349)
[SOURCE Guide ISO 7320093613modifieacute]
Note 1 agrave larticle Un eacuteveacutenement (225)eacuteveacutenement peut entraicircner engendrer une seacuterie de conseacutequences
Note 2 agrave larticle Une conseacutequence peut ecirctre certaine ou incertaine Dans dans le contexte de la seacutecuriteacute de linformation (233)seacutecuriteacute de linformation elle est geacuteneacuteralement neacutegative
Note 3 agrave larticle Les conseacutequences peuvent ecirctre exprimeacutees de faccedilon qualitative ou quantitative
Note 4 agrave larticle Des conseacutequences initiales peuvent deacuteclencher des reacuteactions en chaicircne
[SOURCE Guide ISO 7320093613modifieacutemdashModificationdelaNote2agravelarticleapregraveslaquoetraquo]
215 313ameacutelioration continueactiviteacute reacuteguliegravere destineacutee agrave ameacuteliorer les performances (259 352)
216 314mesure de seacutecuriteacutemesurequimodifieunrisque (268 361)
[SOURCE Guide ISO 7320093811]
Note 1 agrave larticle Les mesures de seacutecuriteacute comprennent tous les processus (261 354) politiques (260 353) dispositifspratiquesouautresactionsquimodifientunrisque (268 361)
Note 2 agrave larticle Les Il est possible que les mesures de seacutecuriteacute ne peuvent puissent pas toujours aboutir agrave la modificationvoulueousupposeacutee
[SOURCE Guide ISO 7320093811mdashModificationdelaNote2agravelarticle]
217 315objectif drsquoune dune mesure de seacutecuriteacutedeacuteclaration deacutecrivant ce qui est attendu de la mise en œuvre des mesures de seacutecuriteacute (216 314)
218 316correctionaction visant agrave eacuteliminer une non-conformiteacute (253 347) deacutetecteacutee
219 317action correctiveaction visant agrave eacuteliminer la cause dune non-conformiteacute (253 347) et agrave empecirccher quelle ne se reacutepegravete
220donneacuteesensemble des valeurs attribueacutees aux mesures eacuteleacutementaires (210) mesures deacuteriveacutees (222) etou aux indicateurs (230)
[SOURCE ISOIEC15939200724modifieacuteemdashAjoutdelanote1agravelarticle]
Note1agravelarticleCettedeacutefinitionsappliqueuniquementdanslecontextedelISOIEC 27004
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 3
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
221critegraveres de deacutecisionseuils cibles ou modegraveles utiliseacutes pour deacuteterminer la neacutecessiteacute dune action ou dun compleacutement denquecircteoupourdeacutecrireleniveaudeconfiancedansunreacutesultatdonneacute
[SOURCE ISOIEC15939200727]
222 318mesure deacuteriveacuteemesure (247 342)deacutefinieenfonctiondaumoinsdeuxmesures eacuteleacutementaires (210 38)
[SOURCE ISOIECIEEE 159392007 28 2017 38modifieacuteemdashSuppressiondelanote1agravelarticle]
223 319informations documenteacuteesinformations devant ecirctre controcircleacutees et mises agrave jour par un organisme (257 350) et le support sur lequel elles sont stockeacutees
Note 1 agrave larticle Les informations documenteacutees peuvent ecirctre dans nimporte quel format sur nimporte quel support et provenir de nimporte quelle source
Note 2 agrave larticle Les informations documenteacutees peuvent se rapporter
mdash au systegraveme de management (246341) et aux processus (261)processus associeacutes (354)
mdash aux informations creacuteeacutees pour permettre agrave lorganisme (257350)defonctionner(documentation)
mdash aux preuves des reacutesultats obtenus (enregistrements)
224 320efficaciteacuteniveaudereacutealisationdesactiviteacutesplanifieacuteesetdobtentiondesreacutesultatsescompteacutes
225 321eacuteveacutenementoccurrence ou changement dun ensemble particulier de circonstances
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
Note 1 agrave larticle Un eacuteveacutenement peut ecirctre unique ou se reproduire Il peut avoir plusieurs causes
Note 2 agrave larticle Un eacuteveacutenement peut consister en quelque chose qui ne se produit pas
Note3agravelarticleUneacuteveacutenementpeutparfoisecirctrequalifieacutelaquodincidentraquooulaquodaccidentraquo
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
226management exeacutecutifpersonne ou groupe de personnes ayant reccedilu des instances dirigeantes (229) la responsabiliteacute de la miseenœuvredesstrateacutegiesetpolitiquesafindatteindrelesobjectifsdelorganisme (257)
Note 1 agrave larticle Le management exeacutecutif est parfois appeleacute la direction (284) Il peut comprendre les preacutesidents directeurs geacuteneacuteraux les directeurs financiers les directeurs des systegravemes dinformation et autres fonctionssimilaires
227 322contexte externeenvironnement externe dans lequel lorganisme cherche agrave atteindre ses objectifs (256 349)
Note 1 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
4 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
Technologies de linformation mdash Techniques de seacutecuriteacute mdash Systegravemes de management de la seacutecuriteacute de linformation mdash Vue densemble et vocabulaire
1 Domaine drsquoapplication
La preacutesente Norme internationale offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute delrsquoinformationainsiquedestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSILa preacutesente Norme internationale est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Le preacutesent document offre une vue drsquoensemble des systegravemes de management de la seacutecuriteacute de lrsquoinformation(SMSI)Ilcomprendeacutegalementlestermesetdeacutefinitionsdrsquousagecourantdanslafamilledenormes du SMSI Le preacutesent document est applicable agrave tous les types et agrave toutes les tailles drsquoorganismes (par exemple les entreprises commerciales les organismes publics les organismes agrave but non lucratif)
Lestermesetlesdeacutefinitionsfournisdanslepreacutesentdocument
mdash couvrentlestermesetlesdeacutefinitionsdrsquousagecourantdanslafamilledenormesduSMSI
mdash necouvrentpaslrsquoensembledestermesetdesdeacutefinitionsutiliseacutesdanslafamilledenormesduSMSI
mdash nelimitentpaslafamilledenormesduSMSIendeacutefinissantdenouveauxtermesagraveutiliser
2 Reacutefeacuterences normatives
Le preacutesent document ne contient aucune reacutefeacuterence normative
2 3 Termes et deacutefinitions definitions
Pour les besoins du preacutesent document les termes et deacutefinitions suivants sappliquentLrsquoISO et lrsquoIEC tiennent agrave jour des bases de donneacutees terminologiques destineacutees agrave ecirctre utiliseacutees en normalisation consultables aux adresses suivantes
mdash ISO Online browsing platform disponible agrave lrsquoadresse https www iso org obp
mdash IEC Electropedia disponible agrave lrsquoadresse http www electropedia org
21 31controcircle daccegravesmoyens mis en œuvre pour assurer que laccegraves aux actifs est autoriseacute et limiteacute selon les exigences (263 356) propres agrave la seacutecuriteacute et agrave lactiviteacute meacutetier
22modegravele analytiquealgorithme ou calcul combinant une ou plusieurs mesures eacuteleacutementaires (210) etou mesures deacuteriveacutees (222) avec les critegraveres de deacutecision associeacutes (221)
23 32attaquetentativededeacutetruirederendrepublicdemodifierdinvaliderdevoleroudutilisersansautorisationun actif ou de faire un usage non autoriseacute de celui-ci
NORME INTERNATIONALE ISOIEC 27000redline2018(F)
copy ISO 2018 ndash Tous droits reacuteserveacutes 1
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
24attributproprieacuteteacute ou caracteacuteristique dun objet (255) qui peut ecirctre distingueacute quantitativement ou qualitativement par des moyens humains ou automatiques
[SOURCE ISOIEC15939200722modifieacuteemdashLetermelaquoentiteacuteraquoaeacuteteacuteremplaceacuteparlaquoobjetraquodansladeacutefinition]
25 33auditprocessus (261)processus meacutethodique indeacutependant et documenteacute (354) permettant dobtenir des preuves daudit et de les eacutevaluer de maniegravere objective pour deacuteterminer dans quelle mesure les critegraveres daudit sont satisfaits
Note 1 agrave larticle Un audit peut ecirctre interne (audit de premiegravere partie) externe (audit de seconde ou de tierce partie) ou combineacute (associant deux disciplines ou plus)
Note 2 agrave larticle Un audit interne est reacutealiseacute par lrsquoorganisme lui-mecircme ou par une partie externe pour le compte de celui-ci
Note3agravelarticleLestermeslaquopreuvesdauditraquoetlaquocritegraveresdauditraquosontdeacutefinisdanslISO19011
26 34champ de lauditeacutetendue et limites dun audit (25 33)
[SOURCEISO190112011314modifieacuteemdashSuppressiondelanote1agravelarticle]
27 35authentificationmeacutethode permettant de garantir quune caracteacuteristique revendiqueacutee pour une entiteacute est correcte
28 36authenticiteacuteproprieacuteteacute selon laquelle une entiteacute est ce quelle revendique ecirctre
29 37disponibiliteacuteproprieacuteteacute decirctre accessible et utilisable agrave la demande par une entiteacute autoriseacutee
210 38mesure eacuteleacutementairemesure (247 342)deacutefinieenfonctiondunattribut (24)attributetdelameacutethodedemesuragespeacutecifieacuteepourlequantifier
[SOURCE ISOIEC15939200723modifieacuteemdashSuppressiondelanote2agravelarticle]
Note 1 agrave larticle Une mesure eacuteleacutementaire est fonctionnellement indeacutependante des autres mesures (247)mesures
[SOURCE ISOIECIEEE15939201733modifieacuteemdashSuppressiondelanote2agravelarticle]
211 39compeacutetencecapaciteacute agrave appliquer des connaissances et des aptitudes pour obtenir les reacutesultats escompteacutes
212 310confidentialiteacuteproprieacuteteacute selon laquelle linformation nest pas diffuseacutee ni divulgueacutee agrave des personnes des entiteacutes ou des processus (261 354) non autoriseacutes
2 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
213 311conformiteacutesatisfaction dune exigence (263 356)
Note 1 agrave larticle Le terme anglais laquo conformance raquo est un synonyme mais il est deacuteconseilleacute
214 312conseacutequenceeffet dun eacuteveacutenement (225 321) affectant les objectifs (256 349)
[SOURCE Guide ISO 7320093613modifieacute]
Note 1 agrave larticle Un eacuteveacutenement (225)eacuteveacutenement peut entraicircner engendrer une seacuterie de conseacutequences
Note 2 agrave larticle Une conseacutequence peut ecirctre certaine ou incertaine Dans dans le contexte de la seacutecuriteacute de linformation (233)seacutecuriteacute de linformation elle est geacuteneacuteralement neacutegative
Note 3 agrave larticle Les conseacutequences peuvent ecirctre exprimeacutees de faccedilon qualitative ou quantitative
Note 4 agrave larticle Des conseacutequences initiales peuvent deacuteclencher des reacuteactions en chaicircne
[SOURCE Guide ISO 7320093613modifieacutemdashModificationdelaNote2agravelarticleapregraveslaquoetraquo]
215 313ameacutelioration continueactiviteacute reacuteguliegravere destineacutee agrave ameacuteliorer les performances (259 352)
216 314mesure de seacutecuriteacutemesurequimodifieunrisque (268 361)
[SOURCE Guide ISO 7320093811]
Note 1 agrave larticle Les mesures de seacutecuriteacute comprennent tous les processus (261 354) politiques (260 353) dispositifspratiquesouautresactionsquimodifientunrisque (268 361)
Note 2 agrave larticle Les Il est possible que les mesures de seacutecuriteacute ne peuvent puissent pas toujours aboutir agrave la modificationvoulueousupposeacutee
[SOURCE Guide ISO 7320093811mdashModificationdelaNote2agravelarticle]
217 315objectif drsquoune dune mesure de seacutecuriteacutedeacuteclaration deacutecrivant ce qui est attendu de la mise en œuvre des mesures de seacutecuriteacute (216 314)
218 316correctionaction visant agrave eacuteliminer une non-conformiteacute (253 347) deacutetecteacutee
219 317action correctiveaction visant agrave eacuteliminer la cause dune non-conformiteacute (253 347) et agrave empecirccher quelle ne se reacutepegravete
220donneacuteesensemble des valeurs attribueacutees aux mesures eacuteleacutementaires (210) mesures deacuteriveacutees (222) etou aux indicateurs (230)
[SOURCE ISOIEC15939200724modifieacuteemdashAjoutdelanote1agravelarticle]
Note1agravelarticleCettedeacutefinitionsappliqueuniquementdanslecontextedelISOIEC 27004
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 3
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
221critegraveres de deacutecisionseuils cibles ou modegraveles utiliseacutes pour deacuteterminer la neacutecessiteacute dune action ou dun compleacutement denquecircteoupourdeacutecrireleniveaudeconfiancedansunreacutesultatdonneacute
[SOURCE ISOIEC15939200727]
222 318mesure deacuteriveacuteemesure (247 342)deacutefinieenfonctiondaumoinsdeuxmesures eacuteleacutementaires (210 38)
[SOURCE ISOIECIEEE 159392007 28 2017 38modifieacuteemdashSuppressiondelanote1agravelarticle]
223 319informations documenteacuteesinformations devant ecirctre controcircleacutees et mises agrave jour par un organisme (257 350) et le support sur lequel elles sont stockeacutees
Note 1 agrave larticle Les informations documenteacutees peuvent ecirctre dans nimporte quel format sur nimporte quel support et provenir de nimporte quelle source
Note 2 agrave larticle Les informations documenteacutees peuvent se rapporter
mdash au systegraveme de management (246341) et aux processus (261)processus associeacutes (354)
mdash aux informations creacuteeacutees pour permettre agrave lorganisme (257350)defonctionner(documentation)
mdash aux preuves des reacutesultats obtenus (enregistrements)
224 320efficaciteacuteniveaudereacutealisationdesactiviteacutesplanifieacuteesetdobtentiondesreacutesultatsescompteacutes
225 321eacuteveacutenementoccurrence ou changement dun ensemble particulier de circonstances
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
Note 1 agrave larticle Un eacuteveacutenement peut ecirctre unique ou se reproduire Il peut avoir plusieurs causes
Note 2 agrave larticle Un eacuteveacutenement peut consister en quelque chose qui ne se produit pas
Note3agravelarticleUneacuteveacutenementpeutparfoisecirctrequalifieacutelaquodincidentraquooulaquodaccidentraquo
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
226management exeacutecutifpersonne ou groupe de personnes ayant reccedilu des instances dirigeantes (229) la responsabiliteacute de la miseenœuvredesstrateacutegiesetpolitiquesafindatteindrelesobjectifsdelorganisme (257)
Note 1 agrave larticle Le management exeacutecutif est parfois appeleacute la direction (284) Il peut comprendre les preacutesidents directeurs geacuteneacuteraux les directeurs financiers les directeurs des systegravemes dinformation et autres fonctionssimilaires
227 322contexte externeenvironnement externe dans lequel lorganisme cherche agrave atteindre ses objectifs (256 349)
Note 1 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
4 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
24attributproprieacuteteacute ou caracteacuteristique dun objet (255) qui peut ecirctre distingueacute quantitativement ou qualitativement par des moyens humains ou automatiques
[SOURCE ISOIEC15939200722modifieacuteemdashLetermelaquoentiteacuteraquoaeacuteteacuteremplaceacuteparlaquoobjetraquodansladeacutefinition]
25 33auditprocessus (261)processus meacutethodique indeacutependant et documenteacute (354) permettant dobtenir des preuves daudit et de les eacutevaluer de maniegravere objective pour deacuteterminer dans quelle mesure les critegraveres daudit sont satisfaits
Note 1 agrave larticle Un audit peut ecirctre interne (audit de premiegravere partie) externe (audit de seconde ou de tierce partie) ou combineacute (associant deux disciplines ou plus)
Note 2 agrave larticle Un audit interne est reacutealiseacute par lrsquoorganisme lui-mecircme ou par une partie externe pour le compte de celui-ci
Note3agravelarticleLestermeslaquopreuvesdauditraquoetlaquocritegraveresdauditraquosontdeacutefinisdanslISO19011
26 34champ de lauditeacutetendue et limites dun audit (25 33)
[SOURCEISO190112011314modifieacuteemdashSuppressiondelanote1agravelarticle]
27 35authentificationmeacutethode permettant de garantir quune caracteacuteristique revendiqueacutee pour une entiteacute est correcte
28 36authenticiteacuteproprieacuteteacute selon laquelle une entiteacute est ce quelle revendique ecirctre
29 37disponibiliteacuteproprieacuteteacute decirctre accessible et utilisable agrave la demande par une entiteacute autoriseacutee
210 38mesure eacuteleacutementairemesure (247 342)deacutefinieenfonctiondunattribut (24)attributetdelameacutethodedemesuragespeacutecifieacuteepourlequantifier
[SOURCE ISOIEC15939200723modifieacuteemdashSuppressiondelanote2agravelarticle]
Note 1 agrave larticle Une mesure eacuteleacutementaire est fonctionnellement indeacutependante des autres mesures (247)mesures
[SOURCE ISOIECIEEE15939201733modifieacuteemdashSuppressiondelanote2agravelarticle]
211 39compeacutetencecapaciteacute agrave appliquer des connaissances et des aptitudes pour obtenir les reacutesultats escompteacutes
212 310confidentialiteacuteproprieacuteteacute selon laquelle linformation nest pas diffuseacutee ni divulgueacutee agrave des personnes des entiteacutes ou des processus (261 354) non autoriseacutes
2 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
213 311conformiteacutesatisfaction dune exigence (263 356)
Note 1 agrave larticle Le terme anglais laquo conformance raquo est un synonyme mais il est deacuteconseilleacute
214 312conseacutequenceeffet dun eacuteveacutenement (225 321) affectant les objectifs (256 349)
[SOURCE Guide ISO 7320093613modifieacute]
Note 1 agrave larticle Un eacuteveacutenement (225)eacuteveacutenement peut entraicircner engendrer une seacuterie de conseacutequences
Note 2 agrave larticle Une conseacutequence peut ecirctre certaine ou incertaine Dans dans le contexte de la seacutecuriteacute de linformation (233)seacutecuriteacute de linformation elle est geacuteneacuteralement neacutegative
Note 3 agrave larticle Les conseacutequences peuvent ecirctre exprimeacutees de faccedilon qualitative ou quantitative
Note 4 agrave larticle Des conseacutequences initiales peuvent deacuteclencher des reacuteactions en chaicircne
[SOURCE Guide ISO 7320093613modifieacutemdashModificationdelaNote2agravelarticleapregraveslaquoetraquo]
215 313ameacutelioration continueactiviteacute reacuteguliegravere destineacutee agrave ameacuteliorer les performances (259 352)
216 314mesure de seacutecuriteacutemesurequimodifieunrisque (268 361)
[SOURCE Guide ISO 7320093811]
Note 1 agrave larticle Les mesures de seacutecuriteacute comprennent tous les processus (261 354) politiques (260 353) dispositifspratiquesouautresactionsquimodifientunrisque (268 361)
Note 2 agrave larticle Les Il est possible que les mesures de seacutecuriteacute ne peuvent puissent pas toujours aboutir agrave la modificationvoulueousupposeacutee
[SOURCE Guide ISO 7320093811mdashModificationdelaNote2agravelarticle]
217 315objectif drsquoune dune mesure de seacutecuriteacutedeacuteclaration deacutecrivant ce qui est attendu de la mise en œuvre des mesures de seacutecuriteacute (216 314)
218 316correctionaction visant agrave eacuteliminer une non-conformiteacute (253 347) deacutetecteacutee
219 317action correctiveaction visant agrave eacuteliminer la cause dune non-conformiteacute (253 347) et agrave empecirccher quelle ne se reacutepegravete
220donneacuteesensemble des valeurs attribueacutees aux mesures eacuteleacutementaires (210) mesures deacuteriveacutees (222) etou aux indicateurs (230)
[SOURCE ISOIEC15939200724modifieacuteemdashAjoutdelanote1agravelarticle]
Note1agravelarticleCettedeacutefinitionsappliqueuniquementdanslecontextedelISOIEC 27004
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 3
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
221critegraveres de deacutecisionseuils cibles ou modegraveles utiliseacutes pour deacuteterminer la neacutecessiteacute dune action ou dun compleacutement denquecircteoupourdeacutecrireleniveaudeconfiancedansunreacutesultatdonneacute
[SOURCE ISOIEC15939200727]
222 318mesure deacuteriveacuteemesure (247 342)deacutefinieenfonctiondaumoinsdeuxmesures eacuteleacutementaires (210 38)
[SOURCE ISOIECIEEE 159392007 28 2017 38modifieacuteemdashSuppressiondelanote1agravelarticle]
223 319informations documenteacuteesinformations devant ecirctre controcircleacutees et mises agrave jour par un organisme (257 350) et le support sur lequel elles sont stockeacutees
Note 1 agrave larticle Les informations documenteacutees peuvent ecirctre dans nimporte quel format sur nimporte quel support et provenir de nimporte quelle source
Note 2 agrave larticle Les informations documenteacutees peuvent se rapporter
mdash au systegraveme de management (246341) et aux processus (261)processus associeacutes (354)
mdash aux informations creacuteeacutees pour permettre agrave lorganisme (257350)defonctionner(documentation)
mdash aux preuves des reacutesultats obtenus (enregistrements)
224 320efficaciteacuteniveaudereacutealisationdesactiviteacutesplanifieacuteesetdobtentiondesreacutesultatsescompteacutes
225 321eacuteveacutenementoccurrence ou changement dun ensemble particulier de circonstances
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
Note 1 agrave larticle Un eacuteveacutenement peut ecirctre unique ou se reproduire Il peut avoir plusieurs causes
Note 2 agrave larticle Un eacuteveacutenement peut consister en quelque chose qui ne se produit pas
Note3agravelarticleUneacuteveacutenementpeutparfoisecirctrequalifieacutelaquodincidentraquooulaquodaccidentraquo
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
226management exeacutecutifpersonne ou groupe de personnes ayant reccedilu des instances dirigeantes (229) la responsabiliteacute de la miseenœuvredesstrateacutegiesetpolitiquesafindatteindrelesobjectifsdelorganisme (257)
Note 1 agrave larticle Le management exeacutecutif est parfois appeleacute la direction (284) Il peut comprendre les preacutesidents directeurs geacuteneacuteraux les directeurs financiers les directeurs des systegravemes dinformation et autres fonctionssimilaires
227 322contexte externeenvironnement externe dans lequel lorganisme cherche agrave atteindre ses objectifs (256 349)
Note 1 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
4 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
213 311conformiteacutesatisfaction dune exigence (263 356)
Note 1 agrave larticle Le terme anglais laquo conformance raquo est un synonyme mais il est deacuteconseilleacute
214 312conseacutequenceeffet dun eacuteveacutenement (225 321) affectant les objectifs (256 349)
[SOURCE Guide ISO 7320093613modifieacute]
Note 1 agrave larticle Un eacuteveacutenement (225)eacuteveacutenement peut entraicircner engendrer une seacuterie de conseacutequences
Note 2 agrave larticle Une conseacutequence peut ecirctre certaine ou incertaine Dans dans le contexte de la seacutecuriteacute de linformation (233)seacutecuriteacute de linformation elle est geacuteneacuteralement neacutegative
Note 3 agrave larticle Les conseacutequences peuvent ecirctre exprimeacutees de faccedilon qualitative ou quantitative
Note 4 agrave larticle Des conseacutequences initiales peuvent deacuteclencher des reacuteactions en chaicircne
[SOURCE Guide ISO 7320093613modifieacutemdashModificationdelaNote2agravelarticleapregraveslaquoetraquo]
215 313ameacutelioration continueactiviteacute reacuteguliegravere destineacutee agrave ameacuteliorer les performances (259 352)
216 314mesure de seacutecuriteacutemesurequimodifieunrisque (268 361)
[SOURCE Guide ISO 7320093811]
Note 1 agrave larticle Les mesures de seacutecuriteacute comprennent tous les processus (261 354) politiques (260 353) dispositifspratiquesouautresactionsquimodifientunrisque (268 361)
Note 2 agrave larticle Les Il est possible que les mesures de seacutecuriteacute ne peuvent puissent pas toujours aboutir agrave la modificationvoulueousupposeacutee
[SOURCE Guide ISO 7320093811mdashModificationdelaNote2agravelarticle]
217 315objectif drsquoune dune mesure de seacutecuriteacutedeacuteclaration deacutecrivant ce qui est attendu de la mise en œuvre des mesures de seacutecuriteacute (216 314)
218 316correctionaction visant agrave eacuteliminer une non-conformiteacute (253 347) deacutetecteacutee
219 317action correctiveaction visant agrave eacuteliminer la cause dune non-conformiteacute (253 347) et agrave empecirccher quelle ne se reacutepegravete
220donneacuteesensemble des valeurs attribueacutees aux mesures eacuteleacutementaires (210) mesures deacuteriveacutees (222) etou aux indicateurs (230)
[SOURCE ISOIEC15939200724modifieacuteemdashAjoutdelanote1agravelarticle]
Note1agravelarticleCettedeacutefinitionsappliqueuniquementdanslecontextedelISOIEC 27004
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 3
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
221critegraveres de deacutecisionseuils cibles ou modegraveles utiliseacutes pour deacuteterminer la neacutecessiteacute dune action ou dun compleacutement denquecircteoupourdeacutecrireleniveaudeconfiancedansunreacutesultatdonneacute
[SOURCE ISOIEC15939200727]
222 318mesure deacuteriveacuteemesure (247 342)deacutefinieenfonctiondaumoinsdeuxmesures eacuteleacutementaires (210 38)
[SOURCE ISOIECIEEE 159392007 28 2017 38modifieacuteemdashSuppressiondelanote1agravelarticle]
223 319informations documenteacuteesinformations devant ecirctre controcircleacutees et mises agrave jour par un organisme (257 350) et le support sur lequel elles sont stockeacutees
Note 1 agrave larticle Les informations documenteacutees peuvent ecirctre dans nimporte quel format sur nimporte quel support et provenir de nimporte quelle source
Note 2 agrave larticle Les informations documenteacutees peuvent se rapporter
mdash au systegraveme de management (246341) et aux processus (261)processus associeacutes (354)
mdash aux informations creacuteeacutees pour permettre agrave lorganisme (257350)defonctionner(documentation)
mdash aux preuves des reacutesultats obtenus (enregistrements)
224 320efficaciteacuteniveaudereacutealisationdesactiviteacutesplanifieacuteesetdobtentiondesreacutesultatsescompteacutes
225 321eacuteveacutenementoccurrence ou changement dun ensemble particulier de circonstances
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
Note 1 agrave larticle Un eacuteveacutenement peut ecirctre unique ou se reproduire Il peut avoir plusieurs causes
Note 2 agrave larticle Un eacuteveacutenement peut consister en quelque chose qui ne se produit pas
Note3agravelarticleUneacuteveacutenementpeutparfoisecirctrequalifieacutelaquodincidentraquooulaquodaccidentraquo
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
226management exeacutecutifpersonne ou groupe de personnes ayant reccedilu des instances dirigeantes (229) la responsabiliteacute de la miseenœuvredesstrateacutegiesetpolitiquesafindatteindrelesobjectifsdelorganisme (257)
Note 1 agrave larticle Le management exeacutecutif est parfois appeleacute la direction (284) Il peut comprendre les preacutesidents directeurs geacuteneacuteraux les directeurs financiers les directeurs des systegravemes dinformation et autres fonctionssimilaires
227 322contexte externeenvironnement externe dans lequel lorganisme cherche agrave atteindre ses objectifs (256 349)
Note 1 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
4 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
221critegraveres de deacutecisionseuils cibles ou modegraveles utiliseacutes pour deacuteterminer la neacutecessiteacute dune action ou dun compleacutement denquecircteoupourdeacutecrireleniveaudeconfiancedansunreacutesultatdonneacute
[SOURCE ISOIEC15939200727]
222 318mesure deacuteriveacuteemesure (247 342)deacutefinieenfonctiondaumoinsdeuxmesures eacuteleacutementaires (210 38)
[SOURCE ISOIECIEEE 159392007 28 2017 38modifieacuteemdashSuppressiondelanote1agravelarticle]
223 319informations documenteacuteesinformations devant ecirctre controcircleacutees et mises agrave jour par un organisme (257 350) et le support sur lequel elles sont stockeacutees
Note 1 agrave larticle Les informations documenteacutees peuvent ecirctre dans nimporte quel format sur nimporte quel support et provenir de nimporte quelle source
Note 2 agrave larticle Les informations documenteacutees peuvent se rapporter
mdash au systegraveme de management (246341) et aux processus (261)processus associeacutes (354)
mdash aux informations creacuteeacutees pour permettre agrave lorganisme (257350)defonctionner(documentation)
mdash aux preuves des reacutesultats obtenus (enregistrements)
224 320efficaciteacuteniveaudereacutealisationdesactiviteacutesplanifieacuteesetdobtentiondesreacutesultatsescompteacutes
225 321eacuteveacutenementoccurrence ou changement dun ensemble particulier de circonstances
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
Note 1 agrave larticle Un eacuteveacutenement peut ecirctre unique ou se reproduire Il peut avoir plusieurs causes
Note 2 agrave larticle Un eacuteveacutenement peut consister en quelque chose qui ne se produit pas
Note3agravelarticleUneacuteveacutenementpeutparfoisecirctrequalifieacutelaquodincidentraquooulaquodaccidentraquo
[SOURCE Guide ISO 7320093513modifieacutemdashSuppressiondelanote4agravelarticle]
226management exeacutecutifpersonne ou groupe de personnes ayant reccedilu des instances dirigeantes (229) la responsabiliteacute de la miseenœuvredesstrateacutegiesetpolitiquesafindatteindrelesobjectifsdelorganisme (257)
Note 1 agrave larticle Le management exeacutecutif est parfois appeleacute la direction (284) Il peut comprendre les preacutesidents directeurs geacuteneacuteraux les directeurs financiers les directeurs des systegravemes dinformation et autres fonctionssimilaires
227 322contexte externeenvironnement externe dans lequel lorganisme cherche agrave atteindre ses objectifs (256 349)
Note 1 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
4 copy ISOIEC 2018 ndash Tous droits reacuteserveacutes
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8
ISOIEC 27000redline2018(F)
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs de lorganisme (350)
mdash les relations avec les parties prenantes (337) externes les perceptions et valeurs relatives agrave celles-ci
[SOURCEGuideISO7320093311]
Note 2 agrave larticle Le contexte externe peut inclure les aspects suivants
mdash lenvironnement culturel social politique leacutegal reacuteglementaire financier technologique eacuteconomiquenatureletconcurrentielauniveauinternationalnationalreacutegionaloulocal
mdash les facteurs cleacutes et tendances ayant un impact deacuteterminant sur les objectifs (256) de lorganisme (257)
mdash les relations avec les parties prenantes (282) externes les perceptions et valeurs relatives agrave celles-ci
228 323gouvernance de la seacutecuriteacute de linformationsystegraveme par lequel un organisme (257 350) conduit et supervise les activiteacutes lieacutees agrave la seacutecuriteacute de linformation (233 328)
229 324instances dirigeantespersonne ou groupe de personnes ayant la responsabiliteacute des performances (259 352) et de la conformiteacute de lorganisme (257 350)
Note 1 agrave larticle Dans certaines juridictions les instances dirigeantes peuvent ecirctre constitueacutees dun conseil dadministration
230 325indicateurmesure (247 342) qui fournit une estimation ou une eacutevaluationdes attributs (24) speacutecifieacutesagravepartirdun modegravele analytique (22)concernantles besoins dinformation (231)deacutefinis
231 326besoin dinformationinformation neacutecessaire pour geacuterer les objectifs (256 349) les buts les risques et les problegravemes
[SOURCE ISOIECIEEE 159392007 212 2017 312]
232 327moyens de traitement de linformationtout systegraveme service ou infrastructure de traitement de linformation ou le local les abritant
233 328seacutecuriteacute de linformationprotection de la confidentialiteacute (212 310) de linteacutegriteacute (240 336) et de la disponibiliteacute (29 37) de linformation
Note 1 agrave larticle En outre dautres proprieacuteteacutes telles que l authenticiteacute (28 lauthenticiteacute (36) limputabiliteacute la non-reacutepudiation (254 348) et la fiabiliteacute (262 355) peuvent eacutegalement ecirctre concerneacutees
234 329continuiteacute de la seacutecuriteacute de linformationprocessus (261 354) et proceacutedures visant agrave assurer la continuiteacute des opeacuterations lieacutees agrave la seacutecuriteacute de linformation (233 328)
235 330eacuteveacutenement lieacute agrave la seacutecuriteacute de linformationoccurrenceidentifieacuteedeleacutetatdunsystegravemedunserviceoudunreacuteseauindiquantunefaillepossibledans la politique (260 328) de seacutecuriteacute de lseacutecuriteacute de linformation (233 information (353) ou un eacutechec des mesures de seacutecuriteacute (216 314) ou encore une situation inconnue jusqualors et pouvant relever de la seacutecuriteacute
copy ISOIEC 2018 ndash Tous droits reacuteserveacutes 5
iTeh STANDARD PREVIE
W
(stan
dardsit
ehai
)
Full stan
dard
https
stan
dardsit
ehai
catal
ogst
andar
dssist
0c28
c601
-f195
-
40f9-
82b8-5
7a02
8cf88
2dis
o-iec-
2700
0-201
8