La protection des données d’une entreprise face aux violations de données et aux cyberattaques s’avère toujours plus complexe. Elle implique souvent une multitude de systèmes, d’outils et de personnes pour en assurer l’efficacité. Malgré tout, même avec la meilleure volonté du monde, la sécurité de l’information (SI) peut être compromise lorsque le système dans son ensemble ne fait pas l’objet d’une gouvernance efficace permettant d’avoir une bonne visibilité sur ce qui fonctionne et ce qui ne fonctionne pas, et de déterminer comment inscrire au cœur des stratégies et des structures organisationnelles tout ce qu’il implique. La norme convenue à l’échelon international pour la gouvernance de la SI vient tout juste d’être mise à jour.
ISO/IEC 27014, Sécurité de l’information, cybersécurité et protection de la vie privée – Gouvernance de la sécurité de l’information, définit des lignes directrices relatives aux concepts, aux objectifs et aux processus de la gouvernance de la sécurité de l’information, qui aident les organismes dans l’évaluation, la gestion, le suivi et la communication des processus liés aux systèmes de management de la sécurité de l’information (SMSI) fondés sur ISO/IEC 27001.
Cette nouvelle édition d’ISO/IEC 27014 est un complément clé d’ISO/IEC 27001. Elle est en effet fondamentale pour les activités de gouvernance de la sécurité de l’information qui s’inscrivent dans le cadre d’un SMSI et de la gouvernance organisationnelle dans son ensemble
explique Edward Humphreys, Animateur du groupe de travail mixte ISO/IEC chargé de l’élaboration de cette norme [1].
La norme vient d’être révisée pour en améliorer la structure, apporter des clarifications et intégrer des informations additionnelles. Alignée sur ISO/IEC 27001, Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Exigences, elle reste pertinente dans le cadre plus large des exigences d’un organisme en matière de gouvernance.
ISO/IEC 27014 sera complétée par d’autres normes pour la sécurité de l’information et la cybersécurité, actuellement élaborées par le même comité d’experts :
- ISO/IEC 27002, Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour le management de la sécurité de l’information
- ISO/IEC TS 27110, Sécurité de l’information, cybersécurité et protection de la vie privée – Lignes directrices relatives à l’élaboration d’un cadre en matière de cybersécurité
- ISO/IEC TS 27100, Information technology – Cybersecurity – Overview and concepts (titre indisponible en français)
- ISO/IEC 27005, Technologies de l’information – Techniques de sécurité – Gestion des risques liés à la sécurité de l’information
Ces normes sont, ou seront, disponibles auprès du membre de l’ISO dans votre pays ou sur l’ISO Store.
- ISO/IEC 27014 et toutes les normes mentionnées dans cet article sont le fruit des travaux menés conjointement par l’ISO et la Commission électrotechnique internationale (IEC) au sein du comité technique mixte ISO/IEC JTC 1, Technologies de l’information, sous-comité SC 27, Sécurité de l’information, cybersécurité et protection de la vie privée, dont le secrétariat est assuré par le DIN, membre de l’ISO pour l’Allemagne.