Passer au contenu principal
Par |

Les attaques logicielles, le vol de propriété intellectuelle et le sabotage ne sont que quelques exemples des nombreux risques qui menacent la sécurité des données d’un organisme. Parce que leurs conséquences peuvent être considérables, la plupart des organismes mettent en œuvre des mesures de sécurité pour prévenir ces risques, mais comment peuvent-ils avoir la certitude que ces contrôles suffisent ? Les lignes directrices internationales de référence pour l’évaluation des contrôles de sécurité de l’information viennent tout juste d’être mises à jour pour s’en assurer.

Pour tout organisme, l’information est l’un de ses actifs les plus précieux et le coût des violations de données peut être particulièrement élevé, à la fois en termes de perte d’activité et de reprise. Les mesures de sécurité en place doivent donc être suffisamment rigoureuses pour protéger cet actif, et régulièrement contrôlées pour tenir compte de l’évolution des risques.

Élaborée par l’ISO et la Commission électrotechnique internationale (IEC), la spécification technique ISO/IEC TS 27008, Technologies de l’information – Techniques de sécurité – Lignes directrices pour les auditeurs des contrôles de sécurité de l’information, fournit des lignes directrices pour évaluer les mesures de sécurité en place afin de s’assurer qu’elles sont appropriées, efficaces, efficientes et adaptées aux objectifs de l’entreprise.

Cette spécification technique (TS) vient d’être mise à jour pour l’aligner aux nouvelles éditions d’autres normes complémentaires sur le management de la sécurité de l’information, à savoir ISO/IEC 27000 (vue d’ensemble et vocabulaire), ISO/IEC 27001 (exigences) et ISO/IEC 27002 (code de bonne pratique pour le management de la sécurité de l’information).

Pour Edward Humphreys, Animateur du groupe de travail qui a élaboré ISO/IEC TS 27008, celle-ci aidera les organismes à évaluer et passer en revue les mesures de sécurité en place gérées par le biais de la mise en œuvre d’ISO/IEC 27001.

« Dans un monde où les cyberattaques sont non seulement plus fréquentes mais aussi toujours plus difficiles à détecter et à prévenir, il est important de régulièrement évaluer et passer en revue les mesures de sécurité en place, et celles-ci doivent faire partie intégrante des processus opérationnels de l’organisme », explique-t-il.

« ISO/IEC TS 27008 peut aider les organismes à s’assurer que les mesures de sécurité en place sont efficaces, adaptées et appropriées pour réduire les risques auxquels ils sont confrontés en matière d’information. »

Les organismes de tous types et de toutes tailles, qu’ils soient du secteur public, du secteur privé ou à but non lucratif, peuvent tirer parti d’ISO/IEC TS 27008, une spécification technique en complément d’ISO/IEC 27001, qui définit les exigences applicables aux systèmes de management de la sécurité de l’information.

ISO/IEC TS 27008 a été élaborée par le comité technique mixte ISO/IEC JTC 1, Technologies de l’information, sous-comité SC 27, Techniques de sécurité des technologies de l’information, dont le secrétariat est assuré par le DIN, membre de l’ISO pour l’Allemagne. Elle est disponible auprès du membre de l’ISO dans votre pays ou sur l’ISO Store.

Informations associées

Contact

Clare Naden
Clare Naden

+41 22 749 0474

Normes

ISO/IEC JTC 1/SC 27
Sécurité de l’information, cybersécurité et protection de la vie privée

Default News
Katie Bird
Chef, Communication

+41 22 749 0431

Suivez l'actualité de l'ISO

Inscrivez-vous à notre Newsletter (en anglais) pour suivre nos actualités, points de vue et informations sur nos produits.