2. PLAN DE LA PRESENTATION
• Introduction
• Normes ISO de la gamme 2700X
• a. ISO 27001 : Systèmes de gestion de la
sécurité de l'information (SGSI)
• b. ISO 27002 : Code de pratique pour la
sécurité de l'information
• c. ISO 27003 : Lignes directrices pour
l'implémentation d'un SGSI
• d. ISO 27004 : Mesurage de la
performance du SGSI
• e. ISO 27005 : Management des risques
liés à la sécurité de l'information
• f. ISO 27006 : Exigences pour les
organismes de certification
• g. ISO 27007 : Lignes directrices pour
l'audit des SGSI
• h. ISO 27008 : Lignes directrices pour
l'audit des mesures de sécurité
• i. ISO 27009 : Lignes directrices pour la
gestion des scénarios de certification
• j. ISO 27010 : Lignes directrices pour la
• Catégories du CISO MINDMAP 2022-23
correspondant à ces normes
• a. Stratégie et gouvernance de la sécurité
de l'information
• b. Gestion des risques de sécurité de
l'information
• c. Conformité et réglementation
• d. Protection des actifs de l'information
• e. Gestion de la sécurité des opérations
• f. Conformité à la sécurité de l'information
• g. Gestion de la sécurité des tiers
• h. Gestion de la sécurité de l'innovation
• Conclusion
3. INTRODUCTION
• Les normes ISO de la gamme 2700X sont des normes
internationales qui définissent les exigences en matière de
sécurité de l'information. Elles couvrent tous les aspects de la
sécurité de l'information, de la gestion des risques à la gestion
des incidents en passant par la gouvernance de la sécurité de
l'information. Le CISO MINDMAP 2022-23 est un cadre de
référence pour la sécurité de l'information qui identifie les
catégories clés pour les professionnels de la sécurité de
l'information. Dans cette présentation, nous examinerons les
normes ISO de la 2700X et les catégories du CISO MINDMAP
2022-23 correspondant à ces normes.
4. Normes ISO de la gamme 2700X
• La gamme 2700X de normes ISO comprend les normes
suivantes :
• ISO 27001 : Systèmes de gestion de la sécurité de l'information (SGSI)
- Exigences
• ISO 27002 : Code de bonnes pratiques pour la sécurité de l'information
• ISO 27003 : Lignes directrices pour l'implémentation du SGSI
• ISO 27004 : Lignes directrices pour la mesure et le reporting du SGSI
• ISO 27005 : Gestion des risques de sécurité de l'information
• ISO 27006 : Exigences pour les organismes de certification auditeurs
de systèmes de gestion de la sécurité de l'information
• ISO 27007 : Lignes directrices pour l'audit des SGSI
• ISO 27008 : Lignes directrices pour l'audit des contrôles de sécurité de
l'information
5. Normes ISO de la gamme 2700X
a. ISO 27001 : Systèmes de
gestion de la sécurité de
l'information (SGSI)
• La norme ISO 27001 établit les
exigences pour un système de
gestion de la sécurité de
l'information (SGSI) dans une
organisation. La norme couvre la
gestion des risques de sécurité
de l'information, la mise en
œuvre et l'exploitation des
contrôles de sécurité, ainsi que la
surveillance, la revue et
l'amélioration du SGSI. Elle
fournit une approche
systématique pour la gestion de
la sécurité de l'information en
identifiant les exigences de la
b. ISO 27002 : Code de bonnes
pratiques pour la gestion de la
sécurité de l'information
• La norme ISO 27002 fournit des
directives pour l'établissement, la
mise en œuvre, la maintenance
et l'amélioration de la sécurité de
l'information. Elle offre un cadre
de référence pour la gestion de la
sécurité de l'information et couvre
les domaines clés tels que la
gestion des actifs, la sécurité
physique et environnementale, la
sécurité des opérations, la
sécurité des communications, la
gestion des incidents de sécurité,
la gestion des vulnérabilités et la
conformité réglementaire.
6. Normes ISO de la gamme 2700X
c. ISO 27003 : Lignes directrices
pour l'implémentation d'un SGSI
• La norme ISO 27003 fournit
des lignes directrices pour
l'implémentation d'un SGSI
en utilisant les principes
énoncés dans la norme ISO
27001. Elle fournit des
conseils pour la
planification, la conception,
la mise en œuvre, la
surveillance, la revue,
d. ISO 27004 : Mesure de la
sécurité de l'information
• La norme ISO 27004 fournit
des directives pour la
mesure de la performance
et de l'efficacité d'un SGSI.
Elle fournit des conseils sur
l'établissement d'indicateurs
de performance clés, la
collecte de données,
l'analyse des résultats et la
communication des
7. Normes ISO de la gamme 2700X
e. ISO 27005 : Gestion des
risques de sécurité de
l'information
• La norme ISO 27005 fournit
des lignes directrices pour la
gestion des risques de sécurité
de l'information. Elle offre un
processus systématique pour
la gestion des risques de
sécurité de l'information en
identifiant les actifs de
l'information, les menaces et
les vulnérabilités, évaluant les
risques et mettant en place
des mesures de contrôle pour
f. ISO 27006 : Exigences pour les
organismes de certification
auditeurs de systèmes de
gestion de la sécurité de
l'information
• La norme ISO 27006 établit les
exigences pour les organismes
de certification auditeurs de
systèmes de gestion de la
sécurité de l'information. Elle
fournit des directives pour
l'audit des SGSI en conformité
avec la norme ISO 27001.
8. Normes ISO de la gamme 2700X
g. ISO 27007 : Lignes directrices
pour l'audit des SGSI
• La norme ISO 27007
fournit des lignes
directrices pour l'audit des
SGSI. Elle fournit des
conseils sur la
planification, la conduite,
la communication et le
suivi des audits des SGSI.
h. ISO 27008 : Lignes directrices
pour l'audit des contrôles de
sécurité de l'information
• La norme ISO 27008
fournit des lignes
directrices pour l'audit des
contrôles de sécurité de
l'information. Elle fournit
des conseils sur la
planification, la conduite,
la communication et le
suivi des audits des
contrôles de sécurité de
9. Normes ISO de la gamme 2700X
g. ISO 27007 : Lignes directrices
pour l'audit des SGSI
• La norme ISO 27007
fournit des lignes
directrices pour l'audit des
SGSI. Elle fournit des
conseils sur la
planification, la conduite,
la communication et le
suivi des audits des SGSI.
h. ISO 27008 : Lignes directrices
pour l'audit des contrôles de
sécurité de l'information
• La norme ISO 27008
fournit des lignes
directrices pour l'audit des
contrôles de sécurité de
l'information. Elle fournit
des conseils sur la
planification, la conduite,
la communication et le
suivi des audits des
contrôles de sécurité de
10. Normes ISO de la gamme 2700X
i. ISO 27009 : Lignes directrices
pour la gestion des scénarios de
certification
• La norme ISO 27009 fournit des
lignes directrices pour la gestion
des scénarios de certification de
SGSI conformes à la norme ISO
27001. Elle fournit des lignes
directrices pour la sélection, la
planification et la mise en œuvre
des scénarios de certification.
j. ISO 27010 : Lignes directrices
pour la gestion de la sécurité de
l'information des organisations
interconnectées
• La norme ISO 27010 fournit des
lignes directrices pour la gestion
de la sécurité de l'information en
fournissant un cadre de référence
pour la gestion de la sécurité de
l'information dans les
organisations. Elle fournit des
conseils sur l'élaboration de
politiques et de procédures de
sécurité de l'information, la mise
en place de mesures de sécurité,
la formation et la sensibilisation
du personnel, la gestion des
incidents de sécurité et la gestion
de la conformité réglementaire.
11. Catégories du CISO MINDMAP 2022-23
correspondant aux normes ISO 2700X
• Les catégories du CISO MINDMAP 2022-23 sont les suivantes :
• a. Stratégie et gouvernance de la sécurité de l'information
• b. Gestion des risques de sécurité de l'information
• c. Conformité et réglementation
• d. Protection des actifs de l'information
• e. Gestion de la sécurité des opérations
• f. Conformité à la sécurité de l'information
• g. Gestion de la sécurité des tiers
• h. Gestion de la sécurité de l'innovation
12. Catégories du CISO MINDMAP 2022-23
correspondant aux normes ISO 2700X
a. Stratégie et gouvernance
de la sécurité de
l'information
• Cette catégorie du CISO
MINDMAP correspond aux
normes ISO 27001 et ISO
27002. Elle englobe les
activités de gouvernance de
la sécurité de l'information,
y compris l'établissement
de politiques et de
procédures de sécurité, la
gestion des risques de
sécurité, la conformité
réglementaire et la gestion
b. Gestion des risques de
sécurité de l'information
• Cette catégorie du CISO
MINDMAP correspond à la
norme ISO 27003. Elle
englobe les activités
nécessaires pour planifier,
concevoir, mettre en œuvre,
surveiller, revoir, améliorer
et documenter un SGSI.
13. Catégories du CISO MINDMAP 2022-23
correspondant aux normes ISO 2700X
c. Conformité et
réglementation
• Cette catégorie du CISO
MINDMAP correspond à la
norme ISO 27004. Elle
englobe les activités
nécessaires pour mesurer
la performance et l'efficacité
d'un SGSI, y compris
l'établissement d'indicateurs
de performance clés, la
collecte de données,
l'analyse des résultats et la
communication des
d. Protection des
actifs de l'information
• Cette catégorie du CISO
MINDMAP correspond à la
norme ISO 27005. Elle
englobe les activités
nécessaires pour gérer les
risques de sécurité de
l'information en identifiant
les actifs de l'information,
les menaces et les
vulnérabilités, évaluant les
risques et mettant en place
des mesures de contrôle
14. Catégories du CISO MINDMAP 2022-23
correspondant aux normes ISO 2700X
e. Gestion de la
sécurité des
opérations
• Cette catégorie du CISO
MINDMAP correspond
aux normes ISO 27006,
ISO 27007 et ISO 27008.
Elle englobe les activités
nécessaires pour auditer
les SGSI, les contrôles de
sécurité de l'information et
les processus d'audit des
f. Conformité à la
sécurité de
l'information
• Cette catégorie du CISO
MINDMAP correspond à
la norme ISO 27013. Elle
englobe les activités
nécessaires pour assurer
la conformité de la
sécurité de l'information
avec les exigences
légales, réglementaires,
contractuelles ou internes
15. Catégories du CISO MINDMAP 2022-23
correspondant aux normes ISO 2700X
g. Gestion de la
sécurité des tiers
• Cette catégorie du CISO
MINDMAP correspond à la
norme ISO 27036. Elle englobe
les activités nécessaires pour
gérer la sécurité de l'information
dans les relations avec les tiers,
tels que les fournisseurs, les
partenaires commerciaux et les
clients.
• La norme ISO 27036 fournit des
lignes directrices pour
l'évaluation des risques liés aux
tiers, la sélection de tiers fiables
et la mise en place de contrats et
h. Gestion de la
sécurité de
l'innovation
• Cette catégorie du CISO
MINDMAP correspond à la norme
ISO 27034. Elle englobe les
activités nécessaires pour
garantir la sécurité de
l'information dans le cadre de
l'innovation, y compris la sécurité
des applications et des systèmes
de développement.
• La norme ISO 27034 fournit des
lignes directrices pour la gestion
de la sécurité de l'information
dans les processus de
développement et de mise en
16. CONCLUSION
• La mise en place de normes de sécurité de l'information telles
que les normes ISO de la gamme 2700X et l'utilisation de
méthodes de classification telles que le CISO MINDMAP 2022-
23 sont essentielles pour assurer la sécurité et la protection des
informations sensibles dans les organisations. En comprenant
les différentes exigences et catégories, les organisations
peuvent mettre en place des stratégies efficaces pour gérer les
risques de sécurité de l'information et maintenir la continuité
des activités.