Réglementaire

ISO/IEC 27002

Définition

ISO/IEC 27002 est le code de bonnes pratiques qui détaille les mesures de sécurité de l'information. Sa version 2022 sert de guide de mise en œuvre pour l'annexe A d'ISO/IEC 27001. Ce n'est pas une norme certifiable : elle explique comment déployer chaque mesure, là où 27001 fixe les exigences de management.

Pourquoi c'est important

la révision de 2022 a restructuré le catalogue en 93 mesures classées en quatre thèmes (organisationnelles, liées aux personnes, physiques, technologiques) et a introduit onze nouvelles mesures, dont le renseignement sur les menaces, la sécurité du cloud et la sécurisation du code. Chaque mesure est désormais dotée d'attributs (type, propriété de sécurité, fonction NIST CSF) qui facilitent le tri et le reporting. En pratique, 27002 est l'outil de travail des équipes sécurité pour justifier et documenter les choix de mesures inscrits dans la déclaration d'applicabilité. Elle sert aussi de langage partagé lors d'un audit : auditeur et audité se réfèrent au même intitulé et au même objectif de mesure, ce qui réduit les malentendus. Bien utilisée, elle évite deux dérives classiques, la copie de mesures inadaptées au contexte et l'oubli de mesures pourtant essentielles au regard des risques identifiés.

Comment AOCSI l'adresse

nous nous appuyons sur ISO/IEC 27002 pour instruire la sélection et le déploiement concret de vos mesures, mesure par mesure. Cette démarche s'inscrit dans notre accompagnement à la certification ISO 27001, où la déclaration d'applicabilité devient un outil de pilotage et non un document mort.

De la définition à la protection.

Nos experts transforment ces concepts en sécurité concrète pour votre organisation.