ISO/CEI 17799
Un article de Wikipédia, l'encyclopédie libre.
ISO/CEI 17799 est une norme internationale concernant la sécurité de l'information, publiée en décembre 2000 par l'ISO dont le titre est Code de pratique pour la gestion de sécurité d'information. La deuxième édition a été publiée en juin 2005.
L'ISO/CEI 17799 est un ensemble de recommandations dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien des système de gestion de la sécurité de l'information. Cette sécurité des systèmes d'information est définie au sein de la norme comme « la préservation de la confidentialité (s'assurer que les informations sont accessibles des seules personnes autorisées), de l'intégrité (conservation de la validité et de l'intégralité des informations et méthodes de traitement), et de la disponibilité (les utilisateurs autorisés doivent avoir accès aux informations à chaque fois que nécessaire) ».
Cette norme n'a pas de force obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées dans ses relations avec un client.
Sommaire |
[modifier] Contenu de la norme
ISO/CEI 17799 est composé de dix sections principales, qui couvrent la gestion de la sécurité aussi bien dans ses aspects techniques que dans ses aspects organisationnels :
- La politique de sécurité.
- L'organisation de la sécurité.
- Classement en contrôle des informations.
- Facteurs humains.
- Sécurité physique.
- Réseaux pannes et exploitation (Gestion des communications et des opérations).
- Contrôles des accès.
- Développement et maintenance d'applications.
- Continuation de l'activité.
- Respect des lois, licences, règlements, etc.
Chaque section spécifie les objectifs à atteindre et énumère un ensemble de contrôles (les « best practices ») permettant d'atteindre ces objectifs. La norme ne détaille pas les contrôles car chaque organisation est censée procéder à une évaluation de ses propres risques afin de déterminer ses besoins avant de choisir les contrôles qui seront appropriés dans chacun des cas possibles.
[modifier] Normes nationales apparentées
L'ISO/CEI 17799 a des équivalents nationaux dans plusieurs pays comme l'Autralie et la Nouvelle Zélande (AS/NZS 4444), la Hollande (SPE 20003), la Suède (SS 627799), le Japon (JIS X 5080) et le Royaume Uni (BS7799:1999 Part 1 - le standard originel d'où est issu mot à mot ISO/CEI 17799:2000). La seconde partie du standard BS7799 (BS7799:2002 Part 2 Information security management systems - Part 2: Specification with guidance for use) liste un ensemble de conditions pour établir, implémenter, maintenir et améliorer un système de gestion de la sécurité de l'information en utilisant les « best practices » définies dans ISO:IEC17799. Il est possible pour une organisation de se faire certifier BS7799-2 (ou équivalent national) par des organismes de certification accrédités par les organisations nationales de normalisation.
[modifier] Références
- ISO/CEI 17799:2000
- BS 7799-2:2002
