Le présent document fournit des préconisations concernant les mécanismes visant à garantir que les méthodes et processus utilisés dans l'investigation des incidents de sécurité de l'information sont "en adéquation avec l'application visée". Il englobe les pratiques d'excellence sur la définition des exigences, la description des méthodes et l'attestation que les mises en oeuvre des méthodes satisfont aux exigences. Il prend en compte les modalités d?utilisation des essais menés par le fournisseur et les tierces parties pour contribuer à ce processus de garantie d'adéquation.

Le présent document décrit les principes essentiels de la certification de produits et fournit des lignes directrices permettant de comprendre, développer, exploiter ou maintenir des programmes de certification de produits, de processus et de services.

Le présent document spécifie les exigences relatives à l'établissement, à la mise en oeuvre, à la mise à jour et à l'amélioration continue d'un système de management de la sécurité de l'information dans le contexte d'une organisation. Il comporte également des exigences sur l'appréciation et le traitement des risques de sécurité de l'information, adaptées aux besoins de l'organisation. Les exigences fixées dans le présent document sont génériques et prévues pour s'appliquer à toute organisation, quels que soient son type, sa taille et sa nature. Il n'est pas admis qu'une organisation s'affranchisse de l'une des exigences spécifiées aux Articles 4 à 10 lorsqu'elle revendique la conformité du présent document.

Le présent document spécifie les exigences de sécurité pour un module cryptographique utilisé dans un système de sécurité qui protège les informations sensibles contenues dans les systèmes informatiques et de télécommunications. Il définit quatre niveaux de sécurité pour les modules cryptographiques afin de couvrir un large éventail de sensibilités des données (par exemple: données administratives de faible valeur, virements bancaires de plusieurs millions de dollars, données qui protègent la vie, informations d'identité personnelles et informations sensibles utilisées par le gouvernement) et une variété d'environnements d'application (par exemple: des installations gardées, un bureau, des supports amovibles, et un emplacement totalement non protégé) . Le présent document spécifie quatre niveaux de sécurité pour chacun des 11 domaines d'exigences, chaque niveau de sécurité offrant une augmentation de la sécurité par rapport au niveau précédent.

Le présent document offre une vue d'ensemble des systèmes de management de la sécurité de l'information (SMSI) . Il comprend également les termes et définitions d'usage courant dans la famille de normes du SMSI. Le présent document est applicable à tous les types et à toutes les tailles d'organismes (par exemple : les entreprises commerciales, les organismes publics, les organismes à but non lucratif) . Les termes et les définitions fournis dans le présent document : couvrent les termes et les définitions d'usage courant dans la famille de normes du SMSI ; ne couvrent pas l'ensemble des termes et des définitions utilisés dans la famille de normes du SMSI ; ne limitent pas la famille de normes du SMSI en définissant de nouveaux termes à utiliser.

Le présent document contient des recommandations basées sur la NF EN ISO/IEC 27002, de mai 2017, appliquées aux systèmes de contrôle des processus utilisés par l'industrie des opérateurs de l'énergie pour contrôler et surveiller la production, le transport, le stockage et la distribution de l'électricité, du gaz, du pétrole et de la chaleur, ainsi que pour le contrôle des processus support associés.

Le présent document établit des objectifs de sécurité communément acceptés, des mesures de sécurité et des lignes directrices de mise en oeuvre de mesures destinées à protéger les informations personnelles identifiables (PII) conformément aux principes de protection de la vie privée de l'ISO/IEC 29100 pour l'environnement informatique en nuage public. En particulier, le présent document spécifie des lignes directrices dérivées de la NF EN ISO/IEC 27002, en tenant compte des exigences réglementaires relatives à la protection des PII, qui peuvent être applicables dans le contexte du ou des environnements de risque liés à la sécurité de l'information d'un fournisseur de services en nuage public. Le présent document s'applique aux organismes de tous types et de toutes tailles, y compris les sociétés publiques et privées, les entités gouvernementales et les organismes à but non lucratif, qui offrent des services de traitement de l'information en tant que processeurs de PII via l'informatique en nuage sous contrat auprès d'autres organismes. Les lignes directrices du présent document peuvent également s'appliquer aux organismes agissant en tant que contrôleurs de PII. Cependant, les contrôleurs de PII peuvent être soumis à d'autres lois, réglementations et obligations en matière de protection des PII qui ne s'appliquent pas aux processeurs de PII. Le présent document n'a pas pour objet de couvrir des obligations supplémentaires.

Le présent document donne des lignes directrices en matière de normes organisationnelles relatives à la sécurité de l'information et des bonnes pratiques de management de la sécurité de l'information, incluant la sélection, la mise en oeuvre et la gestion de mesures de sécurité prenant en compte le ou les environnement (s) de risques de sécurité de l'information de l'organisation. Le présent document est élaboré à l'intention des organisations désireuses : de sélectionner les mesures nécessaires dans le cadre du processus de mise en oeuvre d'un système de management de la sécurité de l'information (SMSI) selon l'ISO/IEC 27001 "Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences" ; de mettre en oeuvre des mesures de sécurité de l'information largement reconnues ; d'élaborer leurs propres lignes directrices de management de la sécurité de l'information.

Le présent document définit une architecture de référence pour la protection de la vie privée qui: spécifie les enjeux des systèmes TIC ayant à traiter des DCP ; énumère les éléments nécessaires à la mise en oeuvre de tels systèmes ; et fournit des vues de l'architecture contextualisant ces éléments. Le présent document s'applique aux entités participant à la spécification, à la fourniture, à l'architecture, à la conception, aux essais, à la maintenance, à l'administration et à l'exploitation des systèmes TIC qui traitent des DCP. Il se concentre principalement sur les systèmes TIC conçus pour interagir avec les personnes concernées.