ISO/CEI TS 27008

Données clés
Status	Publiée
Version	2 (2019)
Organisation	Organisation internationale de normalisation
Comité	ISO/IEC JTC 1/SC 27
Série	Suite ISO/CEI 27000
Domaine	Management de la sécurité de l'information
Site internet	https://www.iso.org/fr/standard/67397.html

L'ISO/CEI TS 27008 est une norme internationale concernant la sécurité de l'information. Elle a été publiée conjointement en 2011, puis révisée en 2019, par l'organisation internationale de normalisation (ISO) et la Commission Électrotechnique Internationale (CEI). Son titre en français est Technologies de l'information - Techniques de sécurité - Lignes directrices pour les auditeurs des contrôles de sécurité de l'information^[1]. Elle fait partie de la suite ISO/CEI 27000 et ne fait pas l'objet d'une certification.

L'ISO/CEI TS 27008 est toujours en développement. L'acronyme TS dans son nom indique que c'est une spécification technique. Cela signifie qu'elle n'a pas encore l'agrément « standard international » mais qu'elle l'obtiendra probablement dans le futur après des retours et des modifications^[2].

Il n'existe pas de version française à cette norme.

Description

L'ISO/CEI TS 27008 fournit des lignes directrices pour évaluer les mesures de sécurité en place afin de s’assurer qu’elles sont appropriées, efficaces, efficientes et adaptées aux objectifs de l'organisme. Elle peut-être utilisée seule mais elle vise initialement les audits des mesures implémentées dans le cadre de la mise en œuvre d'un système de management de la sécurité de l'information (SMSI) conforme à l'ISO/CEI 27001. La norme se veut utile pour les organismes de n'importe quels types, tailles et secteurs^[3].

Structure de la norme

En plus des sections introductives et informatives, il y a 5 chapitres principaux dans le document de l'ISO/CEI TS 27008^[4]:

Structure of this document
Background
Overview of information security control assessments
1. Assessment process
2. Resourcing and competence
Review methods
1. Overview
2. Process analysis
3. Examination techniques
4. Testing an validation techniques
5. Sampling techniques
Control assessments process
1. Preparations
2. Planning the assessment
3. Conduction reviews
4. Analysis and reporting results

Il y a également 3 annexes :

Annex A: Initial information gathering (other than IT)
1. General
2. Physical and environmental security
3. Incident management
Annex B: Practice guide for technical security assessments
1. General
2. Assessment of controls from ISO/IEC 27002
Annex C: Technical assessment guide for cloud services (Infrastructure as a service)
1. Positioning and purpose
2. Relationship with other international standards
3. Structure of this annex
4. Cloud services (infrastructure as a service) environment model
5. Common practice in the Implementation Model
6. Server virtualization
7. Network virtualization
8. Storage virtualization
9. Service management
10. Relational table for denotations in ISO/IEC 27017 and this annex

Références

↑ « ISO/IEC TS 27008:2019 », sur Afnor EDITIONS (consulté le 2 mars 2025)
↑ (en) « ISO - Deliverables », sur ISO (consulté le 2 mars 2025)
↑ « Évaluation des contrôles de sécurité de l’information: des lignes directrices révisées pour des données mieux protégées », sur ISO, 4 février 2019 (consulté le 2 mars 2025)
↑ « Sommaire et parties informatives ISO/CEI 27008 »

Portail de la sécurité de l’information
Portail de la sécurité informatique

[1] « ISO/IEC TS 27008:2019 », sur Afnor EDITIONS (consulté le 2 mars 2025)

[2] (en) « ISO - Deliverables », sur ISO (consulté le 2 mars 2025)

[3] « Évaluation des contrôles de sécurité de l’information: des lignes directrices révisées pour des données mieux protégées », sur ISO, 4 février 2019 (consulté le 2 mars 2025)

[4] « Sommaire et parties informatives ISO/CEI 27008 »

[1]

[2]

[3]

[4]