ISO/IEC 27001

ISO/IEC 27001 est la norme internationale de référence pour les systèmes de management de la sécurité de l'information (SMSI / ISMS). Publiée par l'ISO et l'IEC, elle a été révisée en 2022 (Annexe A restructurée en 4 thèmes : organisationnel, personnes, physique, technologique). Elle définit les exigences pour établir, mettre en œuvre, maintenir et améliorer un SMSI dans n'importe quelle organisation.

La structure suit la HLS (High Level Structure) commune aux normes ISO management : contexte (clause 4), leadership (5), planification (6), support (7), réalisation (8), évaluation (9), amélioration (10). L'Annexe A liste 93 contrôles (versus 114 en 2013) que l'organisation peut sélectionner via une déclaration d'applicabilité (SoA).

La certification est délivrée après audit par un organisme accrédité (Bureau Veritas, AFNOR, BSI, etc.) sur 3 ans, avec audits de surveillance annuels. ISO 27001 s'intègre naturellement avec ISO 27017 (cloud), ISO 27018 (PII cloud), ISO 27701 (privacy), ISO 22301 (continuité), et la nouvelle ISO 42001 (management de l'IA). Les certifications professionnelles associées : Lead Implementer, Lead Auditor (PECB, BSI).