ISO 27001 fait partie d’un ensemble de normes publiées par l’Organisation internationale de normalisation (ISO) qui couvre les systèmes de gestion de la sécurité de l’information. L’ensemble de la série 27000 traite de la sécurité de l’information en général, la série 27001 traitant spécifiquement de la gestion et de l’évaluation des risques dans le domaine de la sécurité de l’information. La norme fournit très peu d’informations sur la manière de protéger les informations, mais elle se concentre plutôt sur la configuration, l’exploitation et la révision d’un système de gestion de la sécurité de l’information (ISMS). Il fait la distinction entre différents types d’organisation pour aider à optimiser la sécurité, et il fournit des informations pour aider à organiser une chaîne de commandement pour faire face à la sécurité des informations et aux menaces.
La sécurité de l’information consiste à s’assurer que seules les personnes autorisées ont accès aux données. Cela ne se limite pas aux supports numériques, tels que les bases de données et les tableurs ; les informations et les actifs papier doivent également être conservés en lieu sûr. Alors que l’ISO 27001 offre très peu sur la méthodologie de la sécurité, elle offre beaucoup d’informations sur la façon de mettre en œuvre, d’organiser, de maintenir et d’évaluer les systèmes nécessaires pour assurer la sécurité de ces données.
ISO 27001 explique comment planifier la sécurité en mettant en place un SMSI. Il existe des méthodes et des directives sur la façon de mettre en œuvre, de réviser et de surveiller les systèmes de sécurité. Des objectifs et des audits sont également définis dans cette norme afin qu’une entreprise puisse se tester et s’assurer qu’elle est correctement protégée contre le vol d’informations.
Parallèlement à la gestion d’un système de sécurité de l’information, ISO 27001 exige la mise en place d’une chaîne de commandement. Par exemple, cela exige que certaines actions, telles que décider qui a accès à quelles informations, ne soient effectuées que par la haute direction ou par des employés autorisés occupant des postes supérieurs. Il fournit également des méthodes d’évaluation des risques, afin que les employés puissent déterminer le traitement de tout type d’information particulier. Les méthodes d’évaluation des risques se distinguent par organisation, car toutes les entreprises ne sont pas confrontées aux mêmes types de menaces.
En ce qui concerne la mise en œuvre de la sécurité de l’information, l’ISO 27001 ne traite pas spécifiquement de la configuration du SMSI. En effet, tous les contrôles sont couverts par la norme complémentaire ISO 27002. Ces deux normes ont été publiées séparément car elles étaient considérées comme trop volumineuses pour être publiées comme une seule. Alors que l’ISO 27001 ne couvre que brièvement un contrôle de méthode de sécurité, l’ISO 27002 consacre une page entière ou plus au même contrôle, se concentrant souvent davantage sur la mise en œuvre.
ISO 27002 consacre plus d’informations aux contrôles et effectivement à la sécurisation des informations, une organisation ne peut pas être certifiée pour cette norme ; il s’agit d’une norme consultative, ce qui signifie que ses recommandations peuvent être appliquées différemment à différents types d’organisations. Cela rend les tests de conformité difficiles. Les organisations peuvent cependant être certifiées ISO 27001, en mettant l’accent sur les systèmes de gestion eux-mêmes.