Pour tout organisme, l’information est l’un de ses actifs les plus précieux et le coût des violations de données peut être particulièrement élevé, à la fois en termes de perte d’activité et de reprise. Les mesures de sécurité en place doivent donc être suffisamment rigoureuses pour protéger cet actif, et régulièrement contrôlées pour tenir compte de l’évolution des risques.
Élaborée par l’ISO et la Commission électrotechnique internationale (IEC), la spécification technique ISO/IEC TS 27008, Technologies de l’information – Techniques de sécurité – Lignes directrices pour les auditeurs des contrôles de sécurité de l’information, fournit des lignes directrices pour évaluer les mesures de sécurité en place afin de s’assurer qu’elles sont appropriées, efficaces, efficientes et adaptées aux objectifs de l’entreprise.
Cette spécification technique (TS) vient d’être mise à jour pour l’aligner aux nouvelles éditions d’autres normes complémentaires sur le management de la sécurité de l’information, à savoir ISO/IEC 27000 (vue d’ensemble et vocabulaire), ISO/IEC 27001 (exigences) et ISO/IEC 27002 (code de bonne pratique pour le management de la sécurité de l’information).
Pour Edward Humphreys, Animateur du groupe de travail qui a élaboré ISO/IEC TS 27008, celle-ci aidera les organismes à évaluer et passer en revue les mesures de sécurité en place gérées par le biais de la mise en œuvre d’ISO/IEC 27001.
« Dans un monde où les cyberattaques sont non seulement plus fréquentes mais aussi toujours plus difficiles à détecter et à prévenir, il est important de régulièrement évaluer et passer en revue les mesures de sécurité en place, et celles-ci doivent faire partie intégrante des processus opérationnels de l’organisme », explique-t-il.
« ISO/IEC TS 27008 peut aider les organismes à s’assurer que les mesures de sécurité en place sont efficaces, adaptées et appropriées pour réduire les risques auxquels ils sont confrontés en matière d’information. »
Les organismes de tous types et de toutes tailles, qu’ils soient du secteur public, du secteur privé ou à but non lucratif, peuvent tirer parti d’ISO/IEC TS 27008, une spécification technique en complément d’ISO/IEC 27001, qui définit les exigences applicables aux systèmes de management de la sécurité de l’information.
ISO/IEC TS 27008 a été élaborée par le comité technique mixte ISO/IEC JTC 1, Technologies de l’information, sous-comité SC 27, Techniques de sécurité des technologies de l’information, dont le secrétariat est assuré par le DIN, membre de l’ISO pour l’Allemagne. Elle est disponible auprès du membre de l’ISO dans votre pays ou sur l’ISO Store.