Lignes directrices ISO/IEC pour renforcer la confiance dans les contrôles de sécurité de l'information
Un rapport technique ISO/CEI (TR) établissant des lignes directrices relatives aux contrôles techniques et à la conformité à l'intention des auditeurs se propose d'améliorer l'efficacité des systèmes de sécurité de l'information au sein des organismes.
ISO/CEI TR 27008:2011, Technologies de l'information – Techniques de sécurité – Lignes directrices pour les auditeurs des contrôles de sécurité de l'information, vise à renforcer la confiance dans les contrôles qui soutiennent les systèmes de management de la sécurité de l'information des organismes. Il propose un processus d'examen applicable à tous les rouages des organismes, notamment les processus opérationnels et l'environnement des systèmes d'information.
Pour Edward Humphreys, responsable du groupe de travail qui a élaboré ce nouveau document, «le contexte commercial des entreprises évolue en permanence – et s'accompagne de menaces pour leur survie. Les organismes doivent donc avoir une longueur d'avance et une excellente parade peut être trouvée en mettant en place un audit des contrôles opérés pour soutenir la sécurité de l'information.
ISO/CEI TR 27008:2011 vient à l'appui d'un audit rigoureux de la sécurité organisationnelle et d'un programme d'examen des contrôles de sécurité de l'information, à même de rassurer les organismes quant à la mise en œuvre et à l'exécution correctes de leurs contrôles et à l'adéquation de leur sécurité de l'information.»
ISO/IEC27008 donne des lignes directrices relatives à l'examen de la mise en œuvre et de l'exécution des contrôles, y compris la vérification de la conformité technique. Ce document est principalement destiné aux auditeurs de la sécurité de l'information qui sont chargés de vérifier la conformité technique des contrôles des organismes par rapport aux exigences d'ISO/IEC27002 et de toutes autres normes de contrôle utilisées par les organismes. ISO/CEI TR 27008 les aidera à :
- Identifier et cerner l'étendue des lacunes et problèmes éventuels des contrôles de sécurité de l'information
- Identifier et cerner les effets négatifs potentiels au niveau organisationnel d'une mauvaise maîtrise des menaces et vulnérabilités grevant la sécurité de l'information
- Identifier les priorités dans la mise en place d'activités de réduction des risques affectant la sécurité de l'information
- Confirmer que les faiblesses ou défaillances déjà décelées ou naissantes ont été correctement traitées
- Appuyer les décisions budgétaires associées au processus d'investissement et les autres décisions de gestion visant à améliorer le management de la sécurité de l'information de l'organisme.
ISO/IEC27008 sera ainsi utile aux organismes de tous types, entreprises privées ou publiques, entités du secteur public, et organismes sans but lucratif. Il s'agit du huitième document de la série ISO/IEC27000 sur les systèmes de management de la sécurité de l'information.
Pour Edward Humphreys, «dans chaque modèle d'entreprise et structure organisationnelle, chaque secteur d'activité et relation commerciale, l'information est une matière première essentielle qui peut être protégée grâce à la série de normes ISO/IEC27000.»
ISO/CEI TR 27008:2011, Technologies de l'information – Techniques de sécurité – Lignes directrices pour les auditeurs des contrôles de sécurité de l'information, coûte 136 francs suisse et est disponible auprès des instituts nationaux membres de l'ISO (voir la liste complète avec les coordonnées) et du Secrétariat central de l'ISO par l’intermédiaire de l'ISO Store ou en contactant le Département Marketing, Communication & Information (voir colonne de droite).
Source : www.iso.org/org/fr