ISO/CEI 27007

L'objectif principal de l'ISO/CEI 27007 est d'aider les entreprises à conduire des audits efficaces de leur système de management de la sécurité de l'information (SMSI) et s'assurer qu'il est conforme à l'ISO/CEI 27001^[2]. Elle apporte une méthodologie claire pour chaque étape de l'audit : planification, réalisation, rédaction du rapport, etc. La norme fournit pour l’audit des SMSI des recommandations qui viennent compléter celles établies par l'ISO/CEI 19011 pour l'audit des systèmes de management en général.

L'ISO/CEI 27007 se concentre sur les audits internes de SMSI, dits de première partie, et les audits de SMSI réalisés par des organismes auprès de leurs parties prenantes, dits de seconde partie. Cependant elle se veut également utile pour réaliser des audits externes, dits de tierce partie, réalisés à d'autres fins que la certification^[3].

L'ISO/CEI 27007 se veut adaptée pour les organismes de n'importe quelle taille, de tous types et pour des audits et équipes d'auditeurs d'échelles variables^[3].

Le cadre spécifié dans la norme offre une large gamme de critères d'audit qui peuvent être utilisés individuellement ou conjointement pour réaliser des audits ISO 27007 approfondis. Ce périmètre couvert comprend plusieurs notions importantes pour maintenir un haut niveau en matière de sécurité de l'information^[2]:

• Exigences de l'ISO/CEI 27001
• Lignes directrices et exigences définies par les parties prenantes
• Responsabilités réglementaires et légales
• Processus et mesures de sécurité du SMSI

Les audits ISO/CEI 27007 ne servent pas seulement à s'assurer qu'un SMSI est conforme à l'ISO/CEI 27001, mais peuvent également être utilisés pour s'assurer qu'un SMSI possède un haut niveau en matière de sécurité de l'information^[4].