ISO/CEI 27007

Données clés
Status	Publiée
Version	3 (2020)
Organisation	Organisation internationale de normalisation
Comité	ISO/IEC JTC 1/SC 27
Série	Famille ISO/CEI 27000
Domaine	Management de la sécurité de l'information
Site internet	https://www.iso.org/fr/standard/77802.html

L'ISO/CEI 27007 est une norme internationale concernant la sécurité de l'information. Elle a été publiée conjointement en 2011, puis révisée en 2017 et 2020, par l'organisation internationale de normalisation (ISO) et la Commission Électrotechnique Internationale (CEI). Son titre en français est Sécurité de l'information, cybersécurité et protection des données privées — Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information. Elle fait partie de la série ISO/CEI 27000^[1].

Description

L'objectif principal de l'ISO/CEI 27007 est d'aider les entreprises à conduire des audits efficaces de leur système de management de la sécurité de l'information (SMSI) et s'assurer qu'il est conforme à l'ISO/CEI 27001^[2]. Elle apporte une méthodologie claire pour chaque étape de l'audit : planification, réalisation, rédaction du rapport, etc. La norme fournit pour l’audit des SMSI des recommandations qui viennent compléter celles établies par l'ISO/CEI 19011 pour l'audit des systèmes de management en général.

L'ISO/CEI 27007 se concentre sur les audits internes de SMSI, dits de première partie, et les audits de SMSI réalisés par des organismes auprès de leurs parties prenantes, dits de seconde partie. Cependant elle se veut également utile pour réaliser des audits externes, dits de tierce partie, réalisés à d'autres fins que la certification^[3].

L'ISO/CEI 27007 se veut adaptée pour les organismes de n'importe quelle taille, de tous types et pour des audits et équipes d'auditeurs d'échelles variables^[3].

Périmètre

Le cadre spécifié dans la norme offre une large gamme de critères d'audit qui peuvent être utilisés individuellement ou conjointement pour réaliser des audits ISO 27007 approfondis. Ce périmètre couvert comprend plusieurs notions importantes pour maintenir un haut niveau en termes de sécurité de l'information^[2]:

Exigences de l'ISO/CEI 27001
Lignes directrices et exigences définies par les parties prenantes
Responsabilités réglementaires et légales
Processus et mesures de sécurité du SMSI

Les audits ISO/CEI 27007 ne servent pas seulement à s'assurer qu'un SMSI est conforme à l'ISO/CEI 27001, mais peuvent également être utilisés pour s'assurer qu'un SMSI possède un haut niveau en termes de sécurité de l'information^{^[4]}.

Avantages

Réaliser régulièrement des audits de son SMSI conforme à l'ISO/CEI 27007 permet à une entreprise de bénéficier de nombreux avantages^{^[4]}:

Une meilleure gestion des risques : l'entreprise identifie ses faiblesses et réduit son exposition aux menaces en les corrigeant.

Optimisation des processus de cybersécurité : l'entreprise peut, grâce à ses audits réguliers, optimiser ses processus de cybersécurité et ainsi s'assurer d'être réactive en cas de problème et de maintenir un niveau de sécurité élevé.

Amélioration de la réputation et de la compétitivité : l'entreprise prouve son engagement envers la protection des données et la cybersécurité. Cela peut lui permettre de se démarquer auprès de clients.

Structure

Le document de l'ISO/CEI 27007 contient 4 chapitres principaux^[3]:

Principes de l'audit;
Management d'un programme d'audit;
Réalisation d'un audit;
Compétences et évaluation des auditeurs.

Puis une annexe :

Recommandations pour la pratique d'audit de SMSI.

Références

↑ « ISO/IEC 27007:2020 », sur ISO (consulté le 17 février 2025)
↑ ^{a et b} (en-US) « What is ISO 27007 », sur Scytale (consulté le 19 février 2025)
↑ ^{a b et c} « Parties informatives et sommaire ISO/CEI 27007 »
↑ ^{a et b} Anthony Bouyer, « ISO 27007 : Guide complet pour l'audit de la sécurité de l'information - Norme internationale », sur Make IT Safe, solution d'évaluation et de pilotage de la conformité, 11 octobre 2024 (consulté le 17 février 2025)

Dernière mise à jour du contenu le 15/03/2025.

Droit d'auteur : le texte de l'article est disponible sous la licence CC BY-SA 3.0.
Les détails concernant les licences et crédits des images sont disponibles en cliquant sur l'image.

Le site Wikimonde est un agrégateur d'articles encyclopédiques, il n'est pas à l'origine du contenu des articles, ni des images.

Le contenu de cet article est une copie de l'article d'origine (//fr.wikipedia.org/wiki/ISO%2FCEI_27007) publié sur Wikipédia (wiki collaboratif publié sous licence libre).
Le contenu des articles n'est pas garanti.
Le texte des articles n'est pas modifié par Wikimonde. Des modifications mineures de mise en page et des liens internes (pour faciliter la navigation) peuvent être effectués automatiquement.

Des crédits concernant les images peuvent être ajoutés automatiquement selon les informations fournis par le site d'origine.
Les images sont chargées depuis des sites externes, certaines peuvent ne pas s'afficher.

Auteurs de cet article « ISO/CEI 27007 » :

Azurfrog, Pre7, Nanoyo88, Bibamad, SoftQuiPeut.

[1] « ISO/IEC 27007:2020 », sur ISO (consulté le 17 février 2025)

[:2-2] {a et b} (en-US) « What is ISO 27007 », sur Scytale (consulté le 19 février 2025)

[:1-3] {a b et c} « Parties informatives et sommaire ISO/CEI 27007 »

[:0-4] {a et b} Anthony Bouyer, « ISO 27007 : Guide complet pour l'audit de la sécurité de l'information - Norme internationale », sur Make IT Safe, solution d'évaluation et de pilotage de la conformité, 11 octobre 2024 (consulté le 17 février 2025)

[1]

[2]

[3]

[4]