Norme ISO-27002
Par rapport à la norme ISO 27001, la norme ISO 27002:2005 ne traite pas du système de management de la sécurité. Il n'y a pas de modèle PDCA, ni de certification possible. Le norme 27002:2005 est une approche pragmatique de la sécurité comportant 133 mesures de sécurité applicables selon la stratégie de traitement des risques déterminée en amont par la maîtrise d'ouvrage, une des étapes clés de la norme ISO 27001.
La norme ISO 27002:2005 est un "guide de bonnes pratiques" visant à améliorer la sécurité du système d'information de l'entreprise en réduisant les vulnérabilités et les risques majeurs détectés.
Elle réprésente un standard international comportant 11 chapitres et 133 mesures :
- Politique de sécurité
- Organisation de la sécurité
- Classification et contrôle des actifs
- Sécurité des ressources humaines
- Sécurité physique
- Exploitation et réseaux
- Contrôle des accès logiques
- Acquisition, développement et maintenance des systèmes
- Gestion des incidents
- Gestion de la continuité d'activité
- Conformité