Archive édito septembre 2007

L’interconnexion des systèmes d’information et le commerce électronique donnent à cette norme un poids grandissant. Elle vise à mettre en place les bonnes pratiques en matière de sécurité des systèmes d’information pour mieux gérer la sécurité des SI entre partenaires. Recueil des bonnes pratiques de sécurité des systèmes d’information, certaines de ses recommandations peuvent en effet être contractualisées.

Une homologation d’ici fin 2007

Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence et la mise en place de facteurs d’amélioration (PDCA). Pour former sa position, l’AFNOR a soumis le projet ISO 27001 à une enquête probatoire nationale qui s’est terminée le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête a été ouverte à tous (2). Les résultats sont actuellement dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information » (CGTI). Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs, etc. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF, peut être avant la fin de l’année !

On ne peut que recommander d’y faire référence dans les contrats passés avec des prestataires ou des sous-traitants pour la rendre obligatoire.

(1) Projet PR NF ISO 27001 (indice de classement : Z74-221PR).
(2) Avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007.

Isabelle Pottier

Directrice du département Etudes et Publications.

isabelle-pottier@lexing.law

Paru dans la JTIT n°68/2007