Les normes ISO/IEC 27001:2013, Technologies de l'information -- Techniques de sécurité -- Code de bonne pratique pour le management de la sécurité de l'information et 27002:2013, Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information -- Exigences ont été récemment publiées par le comité technique de normalisation ISO/IEC JTC 1/SC 27, Techniques de sécurité des technologies de l'information.
La norme ISO/IEC 27001:2013 décrit les exigences pour la mise en place d’un système de management de la sécurité de l’information. Elle reprend, en annexe A, l’ensemble des mesures de sécurité définies dans la norme ISO/IEC 27002:2013, désormais au nombre de 114 (au lieu de 133 dans la version précédente).
Les principaux changements enregistrés dans la norme ISO/IEC 27001:2013 par rapport à la version précédente qui datait de 2005 sont les suivants :
- La norme ne fait plus explicitement mention de l’approche PDCA ;
- La norme prête une attention plus importante au contexte de l’organisation, notamment concernant les relations avec les parties prenantes ;
- Le rôle et l’engagement de la direction de l’organisation sont clairement mis en avant ;
- La notion de risque est abordée de manière plus générale en raison d’un alignement avec la norme ISO 31000:2009, Management du risque -- Principes et lignes directrices.
Au Luxembourg, le sous-comité technique de normalisation ISO/IEC JTC 1/SC 27 est déjà très actif avec 16 professionnels inscrits au registre national des délégués en normalisation. Tout acteur économique luxembourgeois intéressé par les nombreux développements normatifs liés à la sécurité des technologies de l’information est invité à rejoindre ce sous-comité technique. De manière plus générale, pour impliquer les acteurs nationaux dans les travaux de normalisation du secteur des TIC, une analyse normative a été développée par l’ILNAS. Elle permet de découvrir les intérêts potentiels ainsi que les opportunités pour le marché national à participer à la normalisation dans ce secteur.
Pour rappel, les normes publiées par le sous-comité technique de normalisation ISO/IEC JTC 1/SC 27 peuvent être achetées via l’e-Shop de l’ILNAS (catalogue en ligne des normes). De plus, il est aussi possible de consulter ces normes gratuitement dans les locaux de l’ILNAS en contactant au préalable l’Organisme Luxembourgeois de Normalisation par courriel à normalisation@ilnas.etat.lu.
Enfin, pour toute question relative à ce domaine d'activité : confiance-numerique@ilnas.etat.lu