ISO/IEC 27009 : Intégrer les besoins spécifiques à un secteur au sein des systèmes de management de la sécurité des informations

La gestion des risques associés à une cyber-attaque est une priorité permanente pour les entreprises de tous les secteurs. En raison de l'augmentation des attaques signalées et de l'ampleur desdites attaques, la protection des informations critiques, notamment celles des clients, est une préoccupation croissante.

Pour contribuer à protéger de manière adéquate les secteurs complexes, notamment ceux de la santé, de la finance et des transports, l'International Organization for Standardization (ISO) a publié l'ISO/IEC 27009, Technologies de l'information – Techniques de sécurité. Application de l'ISO/IEC 27001 à un secteur spécifique – Exigences, qui contient des lignes directrices sur l'inclusion d'exigences et de contrôles spécifiques à un secteur donné en complément de celles fournies par la norme ISO/IEC 27001:2013 sur les Systèmes de Gestion de la Sécurité des Informations (ISMS).

Rob Acker, Directeur Technique de la Sécurité des Informations de LRQA, s'est exprimé sur la publication de la nouvelle norme : « La publication de la norme ISO/IEC 27009 représente une étape importante dans le cadre de l'optimisation et de la rationalisation dans tous les secteurs. Les exigences sont à la fois nombreuses et complexes dans ces différents secteurs. La norme ISO/IEC 27009 permettra de s'assurer qu'elles sont toutes prises en compte, tout en conservant l'excellent niveau de protection fourni par la norme ISO/IEC 27001, afin de préserver la sécurité des entreprises, de leurs ISMS et de leurs clients. »

La norme ISO/IEC 27009 offre un cadre dans lequel les normes ISO/IEC 27001 ou ISO/IEC 27002 peuvent être améliorées ou affinées pour inclure les exigences spécifiques au secteur, ou selon lequel les exigences peuvent être interprétées pour garantir leur application de manière cohérente. Cette approche sera fondée sur les normes propres aux secteurs, technologies ou risques concernés, telles que l'ISO/IEC 27011 (télécommunications), l'ISO/IEC 27017 (informatique en nuage) ou l'ISO/IEC 27032 (Cyber-sécurité), minimisant ainsi le risque de duplication ou de confusion.

Pour les personnes souhaitant continuer à utiliser uniquement la spécification de base ISO/IEC 27002 pour contrôler leur chaîne d'approvisionnement, ce cadre garantit également que l'inclusion de normes applicables à un secteur donné ne réduit pas l'efficacité des exigences de base, l'approche étant conçue pour empêcher la suppression de ces contrôles ou une quelconque réduction de leur validité.

Dans le cadre de la révision de l’ensemble des principales normes ISO, LRQA se trouve en première ligne pour communiquer les changements. Nous proposons une gamme de services d’audit, ainsi que des formations publiques et internes, toutes destinées à contribuer à s’assurer que les organisations du monde entier migrent en douceur vers les nouvelles normes.

Pour plus d'informations sur l'évolution des normes ISO ou sur notre gamme de services de formation et d'audit : contactez-nous, un de nos experts vous répondra.