NF ISO/IEC 27002
Technologies de l'information - Techniques de sécurité - Code de bonne pratique pour la gestion de la sécurité de l'information
L'ISO 27002:2013 donne des lignes directrices en matière de normes organisationnelles relatives à la sécurité de l'information et des bonnes pratiques de management de la sécurité de l'information, incluant la sélection, la mise en ?uvre et la gestion de mesures de sécurité prenant en compte le ou les environnement(s) de risques de sécurité de l'information de l'organisation. L'ISO 27002:2013 est élaborée à l'intention des organisations désireuses de sélectionner les mesures nécessaires dans le cadre du processus de mise en ?uvre d'un système de management de la sécurité de l'information (SMSI) selon l'ISO/CEI 27001; de mettre en ?uvre des mesures de sécurité de l'information largement reconnues; et d'élaborer leurs propres lignes directrices de management de la sécurité de l'information.
L'ISO 27002:2013 donne des lignes directrices en matière de normes organisationnelles relatives à la sécurité de l'information et des bonnes pratiques de management de la sécurité de l'information, incluant la sélection, la mise en ?uvre et la gestion de mesures de sécurité prenant en compte le ou les environnement(s) de risques de sécurité de l'information de l'organisation.
L'ISO 27002:2013 est élaborée à l'intention des organisations désireuses de sélectionner les mesures nécessaires dans le cadre du processus de mise en ?uvre d'un système de management de la sécurité de l'information (SMSI) selon l'ISO/CEI 27001; de mettre en ?uvre des mesures de sécurité de l'information largement reconnues; et d'élaborer leurs propres lignes directrices de management de la sécurité de l'information.
L'ISO 27002:2013 donne des lignes directrices en matière de normes organisationnelles relatives à la sécurité de l'information et des bonnes pratiques de management de la sécurité de l'information, incluant la sélection, la mise en ?uvre et la gestion de mesures de sécurité prenant en compte le ou les environnement(s) de risques de sécurité de l'information de l'organisation. L'ISO 27002:2013 est élaborée à l'intention des organisations désireuses de sélectionner les mesures nécessaires dans le cadre du processus de mise en ?uvre d'un système de management de la sécurité de l'information (SMSI) selon l'ISO/CEI 27001; de mettre en ?uvre des mesures de sécurité de l'information largement reconnues; et d'élaborer leurs propres lignes directrices de management de la sécurité de l'information.
- Avant-proposv
-
0 Introductionvi
-
1 Domaine d'application1
-
2 Références normatives1
-
3 Termes et définitions1
-
4 Structure de la présente norme1
-
4.1 Articles1
-
4.2 Catégories de mesures2
-
5 Politiques de sécurité de l'information2
-
5.1 Orientations de la direction en matière de sécurité de l'information2
-
6 Organisation de la sécurité de l'information4
-
6.1 Organisation interne4
-
6.2 Appareils mobiles et télétravail7
-
7 La sécurité des ressources humaines9
-
7.1 Avant l'embauche9
-
7.2 Pendant la durée du contrat11
-
7.3 Rupture, terme ou modification du contrat de travail14
-
8 Gestion des actifs15
-
8.1 Responsabilités relatives aux actifs15
-
8.2 Classification de l'information16
-
8.3 Manipulation des supports19
-
9 Contrôle d'accès21
-
9.1 Exigences métier en matière de contrôle d'accès21
-
9.2 Gestion de l'accès utilisateur23
-
9.3 Responsabilités des utilisateurs27
-
9.4 Contrôle de l'accès au système et aux applications28
-
10 Cryptographie31
-
10.1 Mesures cryptographiques31
-
11 Sécurité physique et environnementale34
-
11.1 Zones sécurisées34
-
11.2 Matériels37
-
12 Sécurité liée à l'exploitation42
-
12.1 Procédures et responsabilités liées à l'exploitation42
-
12.2 Protection contre les logiciels malveillants46
-
12.3 Sauvegarde47
-
12.4 Journalisation et surveillance48
-
12.5 Maîtrise des logiciels en exploitation50
-
12.6 Gestion des vulnérabilités techniques51
-
12.7 Considérations sur l'audit du système d'information53
-
13 Sécurité des communications54
-
13.1 Management de la sécurité des réseaux54
-
13.2 Transfert de l'information56
-
14 Acquisition, développement et maintenance des systèmes d'information60
-
14.1 Exigences de sécurité applicables aux systèmes d'information60
-
14.2 Sécurité des processus de développement et d'assistance technique63
-
14.3 Données de test68
-
15 Relations avec les fournisseurs69
-
15.1 Sécurité de l'information dans les relations avec les fournisseurs69
-
15.2 Gestion de la prestation du service72
-
16 Gestion des incidents liés à la sécurité de l'information74
-
16.1 Gestion des incidents liés à la sécurité de l'information et améliorations74
-
17 Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité78
-
17.1 Continuité de la sécurité de l'information78
-
17.2 Redondances80
-
18 Conformité81
-
18.1 Conformité aux obligations légales et réglementaires81
-
18.2 Revue de la sécurité de l'information84
- Bibliographie87
Le service Exigences vous aide à repérer rapidement au sein du texte normatif :
- les clauses impératives à satisfaire,
- les clauses non indispensables mais utiles à connaitre, telles que les permissions et les recommandations.
L’identification de ces types de clauses repose sur le document « Directives ISO/IEC, Partie 2 - Principes et règles de structure et de rédaction des documents ISO » ainsi que sur une liste de formes verbales constamment enrichie.
Avec Exigences, accédez rapidement à l’essentiel du texte normatif !

COBAZ est la solution simple et efficace pour répondre aux besoins normatifs liés à votre activité, en France comme à l’étranger.
Disponible sur abonnement, CObaz est LA solution modulaire à composer selon vos besoins d’aujourd’hui et de demain. Découvrez vite CObaz !
Demandez votre démo live gratuite, sans engagement
Je découvre COBAZ