Actuellement à son dernier stade de développement, la révision de la norme ISO/IEC 27001:2005, Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information -- Exigences devrait paraître en octobre prochain selon Edward Humphreys, animateur du groupe de travail en charge de cette mise à jour au sein du comité technique de normalisation ISO/IEC JTC 1/SC 27, Techniques de sécurité des technologies de l'information.
La nouvelle version de la norme ISO/IEC 27001, qui se veut plus souple et plus simple pour la mise en place d’un système de management de la sécurité de l’information, doit permettre une meilleure gestion des risques. De nouveaux objectifs et de nouvelles mesures de sécurité ont par exemple été ajoutés dans l’Annexe A, afin de prendre en compte les risques actuels liés à l’usage des outils informatiques (usurpation d’identité, risques liés aux dispositifs mobiles, etc.).
D’autre part, à son stade actuel (FDIS : Final Draft International Standard), la révision de la norme ISO/IEC 27001 présente une nouvelle structure basée sur un ensemble de recommandations qui doivent permettre un alignement des normes de système de management, notamment grâce à l’uniformisation de la terminologie et des exigences. Cela offrira la possibilité aux organisations de rationaliser l’intégration simultanée de plusieurs systèmes de management.
Future structure de la norme ISO/IEC 27001:
Concernant les organisations certifiées ISO/IEC 27001:2005, elles devront mettre à jour leur système de management de la sécurité de l’information pour se conformer aux exigences de la nouvelle version. La période de transition pour la mise en conformité devrait vraisemblablement s’étendre sur deux ans à compter de la date de publication de la nouvelle édition.
Pour rappel, les normes publiées par le sous-comité technique de normalisation ISO/IEC JTC 1/SC 27 peuvent être achetées via l’e-Shop de l’ILNAS (catalogue en ligne des normes). De plus, il est aussi possible de consulter ces normes gratuitement dans les locaux de l’ILNAS en contactant au préalable l’Organisme Luxembourgeois de Normalisation par courriel à normalisation@ilnas.etat.lu.