Varden Security
Se connecter

Fiche norme ISO/IEC

ISO/IEC 27001

ISO/IEC 27001:2022

Structurer un systeme de management de la securite de l information (SMSI) aligne au risque et a la strategie.

Toutes les normesVue documentation

Parcours questionnaires

Voir nos plans

Niveau 1 - Maturite pedagogique

Diagnostic rapide pour situer la maturite de base et prioriser les chantiers.

Plan: Gratuit

Ouvrir niveau 1

Niveau 2 - Evaluation structuree

Mesure detaillee avec KPI, preuves attendues et plan de remediations.

Plan: Pro

Ouvrir niveau 2

Niveau 3 - Evaluation rigoureuse

Lecture audit-ready avec obligations, cartographie des ecarts et actions priorisees.

Plan: Premium

Ouvrir niveau 3

Explication claire

ISO/IEC 27001 est la norme de reference pour mettre en place, faire vivre et ameliorer un SMSI. Elle impose une logique de pilotage: contexte, leadership, analyse de risque, objectifs, controles, audits internes et amelioration continue.

Pour un auditeur, c est la colonne vertebrale de l evaluation: on verifie la coherence entre risques, decisions de traitement et preuves d execution.

Ce que la norme couvre

  • Cadre de gouvernance, roles et responsabilites de securite.
  • Methodologie d appreciation et de traitement des risques.
  • Statement of Applicability (SoA) et justification des controles retenus.
  • Mesure de performance, audits internes et revue de direction.

Ce que la norme ne couvre pas seule

  • Ne detaille pas tous les controles techniques dans le niveau de profondeur de 27002.
  • Ne couvre pas seule les exigences specifiques cloud (27017) ou fournisseurs (27036).
  • Ne remplace pas les obligations reglementaires sectorielles (NIS2, DORA, RGPD).

Livrables attendus en audit

  • Politique SMSI, perimetre et objectifs securite.
  • Registre des risques, plan de traitement et SoA.
  • Plan d audit interne et compte rendu de revue de direction.
  • Plan d amelioration continue avec proprietaires et echeances.

Indicateurs utiles

  • % de risques critiques avec plan de traitement valide.
  • % de controles applicables effectivement implementes.
  • Taux de realisation des audits internes prevus.
  • Delai moyen de cloture des actions correctives.

Usage dans FIRE Auditor

  • Cadre principal des modules gouvernance, risques et securite technique.
  • Base de la logique de scoring organisationnel et de priorisation des actions.
  • Pivot de coherence entre questionnaires et rapports executifs FIRE.