Fiche norme ISO/IEC

ISO/IEC 27001

ISO/IEC 27001:2022

Structurer un systeme de management de la securite de l information (SMSI) aligne au risque et a la strategie.

Démarrer un test cyber

Évaluez votre conformité ISO/IEC 27001 via un parcours guidé.

Explication claire

ISO/IEC 27001 est la norme de reference pour mettre en place, faire vivre et ameliorer un SMSI. Elle impose une logique de pilotage: contexte, leadership, analyse de risque, objectifs, controles, audits internes et amelioration continue.

Pour un auditeur, c est la colonne vertebrale de l evaluation: on verifie la coherence entre risques, decisions de traitement et preuves d execution.

Ce que la norme couvre

Cadre de gouvernance, roles et responsabilites de securite.
Methodologie d appreciation et de traitement des risques.
Statement of Applicability (SoA) et justification des controles retenus.
Mesure de performance, audits internes et revue de direction.

Ce que la norme ne couvre pas seule

Ne detaille pas tous les controles techniques dans le niveau de profondeur de 27002.
Ne couvre pas seule les exigences specifiques cloud (27017) ou fournisseurs (27036).
Ne remplace pas les obligations reglementaires sectorielles (NIS2, DORA, RGPD).

Livrables attendus en audit

Politique SMSI, perimetre et objectifs securite.
Registre des risques, plan de traitement et SoA.
Plan d audit interne et compte rendu de revue de direction.
Plan d amelioration continue avec proprietaires et echeances.

Indicateurs utiles

% de risques critiques avec plan de traitement valide.
% de controles applicables effectivement implementes.
Taux de realisation des audits internes prevus.
Delai moyen de cloture des actions correctives.

Usage dans Varden Auditor

Cadre principal des modules gouvernance, risques et securite technique.
Base de la logique de scoring organisationnel et de priorisation des actions.
Pivot de coherence entre assessments et rapports executifs FIRE.

Normes liees

ISO/IEC 27002 ISO/IEC 27005 ISO/IEC 27701