<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="en">
	<id>https://www.fonction-publique.com/index.php?action=history&amp;feed=atom&amp;title=ISO%2FIEC_27001</id>
	<title>ISO/IEC 27001 - Revision history</title>
	<link rel="self" type="application/atom+xml" href="https://www.fonction-publique.com/index.php?action=history&amp;feed=atom&amp;title=ISO%2FIEC_27001"/>
	<link rel="alternate" type="text/html" href="https://www.fonction-publique.com/index.php?title=ISO/IEC_27001&amp;action=history"/>
	<updated>2026-07-05T20:08:52Z</updated>
	<subtitle>Revision history for this page on the wiki</subtitle>
	<generator>MediaWiki 1.44.0</generator>
	<entry>
		<id>https://www.fonction-publique.com/index.php?title=ISO/IEC_27001&amp;diff=1019&amp;oldid=prev</id>
		<title>Cehlc: resumé</title>
		<link rel="alternate" type="text/html" href="https://www.fonction-publique.com/index.php?title=ISO/IEC_27001&amp;diff=1019&amp;oldid=prev"/>
		<updated>2025-09-01T07:38:12Z</updated>

		<summary type="html">&lt;p&gt;resumé&lt;/p&gt;
&lt;p&gt;&lt;b&gt;New page&lt;/b&gt;&lt;/p&gt;&lt;div&gt;= ISO/IEC 27001 =&lt;br /&gt;
&lt;br /&gt;
&amp;#039;&amp;#039;&amp;#039;ISO/IEC 27001&amp;#039;&amp;#039;&amp;#039; est une norme internationale publiée conjointement par l’[[Organisation internationale de normalisation|ISO]] (International Organization for Standardization) et la [[Commission électrotechnique internationale|IEC]] (International Electrotechnical Commission). Elle fait partie de la série de normes [[ISO/IEC 27000|ISO/IEC 27000]] consacrées à la gestion de la sécurité de l&amp;#039;information. Cette norme fournit les exigences pour la mise en place, le maintien et l&amp;#039;amélioration continue d’un [[Système de management de la sécurité de l&amp;#039;information|SMSI]] (Système de management de la sécurité de l&amp;#039;information), et s’applique à tous types d’organisations, publiques ou privées, de toutes tailles et de tous secteurs.&lt;br /&gt;
&lt;br /&gt;
== Historique et évolution ==&lt;br /&gt;
&lt;br /&gt;
La première version d’ISO/IEC 27001 a été publiée en [[2005]], succédant à la norme [[BS 7799-2]] de la [[British Standards Institution|BSI]]. Elle a fait l’objet de révisions notables en [[2013]] (version la plus largement utilisée dans le monde) et en [[2022]], pour s’adapter à l’évolution des risques et des défis liés à la sécurité de l’information, notamment face à la [[cybersécurité]] et à la [[transformation numérique|numérisation]] accrue des administrations et des services publics.&lt;br /&gt;
&lt;br /&gt;
== Objectifs de la norme ==&lt;br /&gt;
&lt;br /&gt;
Les objectifs principaux d’ISO/IEC 27001 sont :&lt;br /&gt;
* Protéger la [[confidentialité]], l’[[intégrité]] et la [[disponibilité]] de l’information.&lt;br /&gt;
* Identifier, évaluer et traiter les [[risques liés à la sécurité de l&amp;#039;information|risques liés à la sécurité]].&lt;br /&gt;
* Démontrer la conformité aux lois, règlements et attentes des parties prenantes.&lt;br /&gt;
* Améliorer continuellement les processus de [[gestion de la sécurité de l&amp;#039;information|gestion de la sécurité]].&lt;br /&gt;
&lt;br /&gt;
== Structure et principes du SMSI ==&lt;br /&gt;
&lt;br /&gt;
La norme repose sur le principe d’&amp;#039;&amp;#039;amélioration continue&amp;#039;&amp;#039;, selon le modèle [[PDCA|(Plan-Do-Check-Act)]]. Elle est structurée autour de plusieurs clauses majeures :&lt;br /&gt;
&lt;br /&gt;
* Contexte de l&amp;#039;organisation&lt;br /&gt;
* Leadership&lt;br /&gt;
* Planification&lt;br /&gt;
* Support&lt;br /&gt;
* Fonctionnement&lt;br /&gt;
* Évaluation des performances&lt;br /&gt;
* Amélioration&lt;br /&gt;
&lt;br /&gt;
La norme impose la réalisation d’une [[appréciation des risques]] et l’adoption de [[mesures de sécurité]] adaptées, stipulées dans l’[[Annexe A]] (ensemble de 93 contrôles dans la version 2022).&lt;br /&gt;
&lt;br /&gt;
=== Table de correspondance des clauses principales (version 2022) ===&lt;br /&gt;
&lt;br /&gt;
{| class=&amp;quot;wikitable&amp;quot;&lt;br /&gt;
! Clause !! Intitulé !! Description&lt;br /&gt;
|-&lt;br /&gt;
| 4 || Contexte de l’organisation || Compréhension de l’organisation et de ses enjeux&lt;br /&gt;
|-&lt;br /&gt;
| 5 || Leadership || Engagement de la direction et responsabilités&lt;br /&gt;
|-&lt;br /&gt;
| 6 || Planification || Identification et gestion des risques et opportunités&lt;br /&gt;
|-&lt;br /&gt;
| 7 || Support || Ressources, formation et documentation&lt;br /&gt;
|-&lt;br /&gt;
| 8 || Fonctionnement || Mise en œuvre et fonctionnement du SMSI&lt;br /&gt;
|-&lt;br /&gt;
| 9 || Évaluation des performances || Surveillance, mesure, analyse et évaluation&lt;br /&gt;
|-&lt;br /&gt;
| 10 || Amélioration || Actions correctives et amélioration continue&lt;br /&gt;
|}&lt;br /&gt;
&lt;br /&gt;
== Annexe A et catalogue de mesures ==&lt;br /&gt;
&lt;br /&gt;
L’Annexe A de la norme propose un ensemble de mesures de sécurité appelées &amp;#039;&amp;#039;contrôles&amp;#039;&amp;#039;, structurées autour de plusieurs domaines, notamment :&lt;br /&gt;
* Politique(s) de sécurité de l’information&lt;br /&gt;
* Organisation de la sécurité de l’information&lt;br /&gt;
* Sécurité des ressources humaines&lt;br /&gt;
* Gestion des actifs&lt;br /&gt;
* Contrôle d&amp;#039;accès&lt;br /&gt;
* Cryptographie&lt;br /&gt;
* Sécurité physique et environnementale&lt;br /&gt;
* Sécurité des opérations&lt;br /&gt;
* Sécurité des communications&lt;br /&gt;
* Acquisition, développement et maintenance des systèmes&lt;br /&gt;
* Gestion des incidents de sécurité de l’information&lt;br /&gt;
* Aspects liés à la continuité d’activité&lt;br /&gt;
* Conformité&lt;br /&gt;
&lt;br /&gt;
== Processus de certification ==&lt;br /&gt;
&lt;br /&gt;
Des organismes accrédités tels que l’[[Association française de normalisation|AFNOR Certification]], [[Bureau Veritas]], [[Société Générale de Surveillance|SGS]], ou encore [[Lloyd&amp;#039;s Register]], réalisent des audits externes menant à la délivrance d’un certificat ISO/IEC 27001. La certification est généralement valable trois ans, avec des audits de [[surveillance]] annuels. L’obtention de la certification représente un gage de confiance vis-à-vis des [[parties prenantes]], tout en facilitant la mise en conformité ou l’accès à des marchés réglementés, notamment pour les organismes du secteur public.&lt;br /&gt;
&lt;br /&gt;
=== Principales étapes de la certification ===&lt;br /&gt;
# Diagnostic initial et engagement de la direction&lt;br /&gt;
# Définition de la politique de sécurité&lt;br /&gt;
# Appréciation des risques et sélection des contrôles&lt;br /&gt;
# Mise en œuvre du SMSI&lt;br /&gt;
# Audit interne et revue de direction&lt;br /&gt;
# Audit de certification par un organisme externe&lt;br /&gt;
&lt;br /&gt;
== Articulation avec la fonction publique ==&lt;br /&gt;
&lt;br /&gt;
Dans le contexte de la [[fonction publique]], l’application de la norme ISO/IEC 27001 favorise :&lt;br /&gt;
* La conformité aux exigences du [[Règlement général sur la protection des données|RGPD]]&lt;br /&gt;
* La sécurisation des systèmes d’information de l’État et des [[collectivités territoriales]]&lt;br /&gt;
* La protection des [[données personnelles]] des citoyens&lt;br /&gt;
* La prévention des incidents de sécurité pesant sur les [[services publics numériques]]&lt;br /&gt;
* Le respect des directives de l’[[Agence nationale de la sécurité des systèmes d&amp;#039;information|ANSSI]]&lt;br /&gt;
&lt;br /&gt;
== Relations avec d’autres normes et cadres ==&lt;br /&gt;
&lt;br /&gt;
La série ISO/IEC 27000 comprend plusieurs normes connexes :&lt;br /&gt;
* [[ISO/IEC 27002]] : code de bonnes pratiques pour la gestion des contrôles de sécurité de l’information (détaillant les contrôles de l’annexe A)&lt;br /&gt;
* [[ISO/IEC 27005]] : lignes directrices pour la gestion des risques liés à la sécurité de l’information&lt;br /&gt;
* [[ISO/IEC 27701]] : extension pour la gestion de la confidentialité (SMSI-P)&lt;br /&gt;
* [[ISO/IEC 27018]] : protection de l&amp;#039;information personnelle dans le cloud&lt;br /&gt;
&lt;br /&gt;
La norme est également complémentaire de cadres tels que :&lt;br /&gt;
* [[Règlement général sur la protection des données|RGPD]]&lt;br /&gt;
* [[Référentiel général de sécurité|RGS]]&lt;br /&gt;
* [[NIST Cybersecurity Framework]]&lt;br /&gt;
&lt;br /&gt;
== Avantages et limites ==&lt;br /&gt;
&lt;br /&gt;
=== Avantages ===&lt;br /&gt;
&lt;br /&gt;
* Renforcement de la confiance des usagers et des partenaires&lt;br /&gt;
* Standardisation des pratiques de sécurité&lt;br /&gt;
* Conformité réglementaire renforcée&lt;br /&gt;
* Réduction des risques de [[cyberattaques]]&lt;br /&gt;
* Gains d’efficience organisationnelle&lt;br /&gt;
&lt;br /&gt;
=== Limites ===&lt;br /&gt;
&lt;br /&gt;
* Nécessité d’un investissement initial en temps et en ressources&lt;br /&gt;
* Complexité de la mise en œuvre dans de grandes structures publiques&lt;br /&gt;
* Maintenance continue et adaptation face à l’évolution des menaces&lt;br /&gt;
&lt;br /&gt;
== Ressources complémentaires ==&lt;br /&gt;
&lt;br /&gt;
* [[Agence nationale de la sécurité des systèmes d&amp;#039;information|ANSSI]] : instance de référence pour la sécurité des systèmes d’information de l’État en France&lt;br /&gt;
* [[Commission nationale de l&amp;#039;informatique et des libertés|CNIL]] : régulateur français de la [[protection des données]]&lt;br /&gt;
* [[Direction interministérielle du numérique|DINUM]] : pilotage de la transformation numérique et de la sécurité de l’État&lt;br /&gt;
&lt;br /&gt;
== Voir aussi ==&lt;br /&gt;
&lt;br /&gt;
* [[Système d&amp;#039;information]]&lt;br /&gt;
* [[Management de la sécurité de l&amp;#039;information]]&lt;br /&gt;
* [[Gouvernance informatique]]&lt;br /&gt;
* [[Cybersécurité]]&lt;br /&gt;
* [[Protection des données]]&lt;br /&gt;
* [[Audit informatique]]&lt;br /&gt;
&lt;br /&gt;
[[Catégorie:]]&lt;/div&gt;</summary>
		<author><name>Cehlc</name></author>
	</entry>
</feed>