L’Organisation internationale de normalisation (ISO) est une entité non gouvernementale qui existe pour établir des normes pour des sujets principalement techniques. ISO 27002 est un ensemble de normes et de procédures qui appliquent la sécurité de l’information et les contrôles qui permettent à une entreprise d’assurer une sécurité appropriée. Jusqu’en 2005, ISO 27002 portait deux autres noms. Cette norme est largement complétée par l’ISO 27001, qui détaille les tâches managériales telles que l’évaluation des risques et la revue de la sécurité, plutôt que l’aspect contrôle de 27002.
Deux normes ont précédé l’ISO 27002, chacune similaire en sujet et en contrôle. La première incarnation a eu lieu en 1995 et est apparue au Royaume-Uni (Royaume-Uni) sous le nom de BS7799. Après avoir été nettoyé et modernisé, il a été publié à nouveau par l’ISO, cette fois sous le nom d’ISO 17799. En 2005, après d’autres modifications, il a été appelé ISO 27002. Bien que chaque version soit différente, et met successivement en évidence des problèmes et des contrôles plus modernes, les trois incarnations traitent de la sécurité de l’information.
La norme 27002 met en évidence des centaines de façons de gérer la sécurité des informations et comporte de nombreux chapitres différents pour les différents aspects de la sécurisation des informations. Certains chapitres traitent des ressources humaines et de leur interaction avec les informations, tandis que d’autres expliquent à une entreprise comment contrôler l’accès et la continuité des activités avec leur procédure de sécurité. La sécurité de l’information implique généralement les technologies de l’information (TI), mais ISO 27002 concerne également les informations et les actifs papier, bien que la plupart de la norme s’adresse au service informatique.
Dans sa première version, la norme 27002 était censée être une norme générale pour toutes les institutions qui avaient besoin de sécurité de l’information. Cela signifie qu’une entreprise, un établissement à but non lucratif, un organisme gouvernemental et une entreprise suivraient tous la même norme. Les futures publications de cette norme sont axées sur la séparation de la norme pour différents secteurs afin d’être plus efficace.
ISO 27002 détaille les contrôles et les procédures impliqués dans la sécurité des informations. D’autres normes, comme l’ISO 27001 complémentaire, ne proposent qu’une ou deux phrases sur le contrôle. Au lieu de cela, 27002 prend le contrôle avec beaucoup de détails mais offre peu dans le cas de la gestion. Avec l’ISO 27001, tous les aspects du management sont spécifiés.
Beaucoup de gens confondent ISO 27001 et 27002, car ils traitent les mêmes sujets de différentes manières. Cela signifie que beaucoup de gens se demandent pourquoi la norme a été séparée en deux parties. La raison en est que, si les deux parties existaient ensemble, ce serait trop long pour une seule publication.