NF EN ISO/IEC 27001

JUILLET 2023

Ce document est à usage exclusif et non collectif des clients AFNOR.

Toute mise en réseau, reproduction et rediffusion, sous quelque forme que ce soit,
même partielle, sont strictement interdites.

This document is intended for the exclusive and non collective use of AFNOR customers.
All network exploitation, reproduction and re-dissemination,
even partial, whatever the form (hardcopy or other media), is strictly prohibited.

AFNOR
Pour : CNAM
Identité: CNAM
Code siret : 19753471200017
Client : 4476700
Le : 18/01/2024 à 19:42
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISSN 0335-3931

AFNORCN CYBERSECURITE: Sécurité de l'information, cybersécurité,

protection des données et de la vie privée

Norme française homologuée et publiée par Afnor

NFEN ISO/IEC27001

Sécurité de l'information, cybersécurité et protection de la vie privée -

Systèmes de management de la sécurité de l'information - Exigences

Date de publication : juillet 2023

Le cas échéant, seules les formes verbales doit et doivent sont utilisées pour exprimer une ou des exigences qui doivent
être respectées pour se conformer au présent ocument. Pour les mét o es ’essai, l’utilisation e l’infinitif correspon
à une exigence.

Des informations complémentaires sont disponibles sur votre espace client AFNOR(Relations avec normes Européennes
et internationales, indice de classement, descripteurs, Etc.)

É itée et iffu ée par l’A ociation Fran ai e e Normali ation (AFNOR) - 11, rue Francis de Pressensé -
93571 La Plaine Saint-Denis Cedex Tél.: + 33 (0)1 41 62 80 00 - Fax : + 33 (0)1 49 17 90 00 - www.afnor.org

© AFNOR— Tous droits réservés Version 1

AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

NORMEEUROPÉENNE EN ISO/ IEC27001

EUROPÄISCHENORM
EUROPEANSTANDARD Juillet 2023

ICS 03.100.70; 35.030 Remplace l' EN ISO/ IEC 27001:2017

Version Française

Sécurité de l'information, cybersécurité et protection de la

vie privée - Systèmes de management de la sécurité de
l'information - Exigences (ISO/ IEC 27001:2022)
Informationssicherheit, Cybersicherheit und Information security, cybersecurity and privacy
Datenschutz - protection - Information security management systems
Informationssicherheitsmanagementsysteme - - Requirements (ISO/ IEC 27001:2022)
Anforderungen (ISO/ IEC 27001:2022)

La présente Norme européenne a été adoptée par le CEN le 23 juillet 2023.

Les membres du CEN et CENELEC sont tenus de se soumettre au Règlement Intérieur du CEN/ CENELEC, qui définit les conditions
dans lesquelles doit être attribué, sans modification, le statut de norme nationale à la Norme européenne. Les listes mises à jour
et les références bibliographiques relatives à ces normes nationales peuvent être obtenues auprès du Centre de Gestion du CEN-
CENELEC ou auprès des membres du CEN et CENELEC.

La présente Norme européenne existe en trois versions officielles (allemand, anglais, français). Une version dans une autre
langue faite par traduction sous la responsabilité d'un membre du CEN et CENELEC dans sa langue nationale et notifiée au Centre
de Gestion du CEN-CENELEC, a le même statut que les versions officielles.

Les membres du CEN et du CENELEC sont les organismes nationaux de normalisation et les comités électrotechniques nationaux
des pays suivants: Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce,
Hongrie, Irlande, Islande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République de
Macédoine du Nord, République de Serbie, République Tchèque, Roumanie, Royaume-Uni, Slovaquie, Slovénie, Suède, Suisse et
Turquie.

CEN-CENELEC Man agem en t Cen tr e:

Rue de la Scien ce 23, B-1040 Br ussels

© 2023 CEN/ CENELEC Tous droits d'exploitation sous quelque forme et de quelque Réf. n° EN ISO/ IEC 27001:2023 F
manière que ce soit réservés dans le monde entier aux
membres nationaux du CEN et aux membres du CENELEC.
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

EN ISO/ IEC 27001:2023 (F)

Som m air e Page

Avant-pr opos eur opéen .............................................................................................................................................. 3

2
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

EN ISO/ IEC 27001:2023 (F)

Avant-pr opos eur opéen

Le texte de l'ISO/ IEC 27001:2022 a été élaboré par le Comité technique ISO/ IEC JTC 1 « Technologies de
l'information » de l'Organisation internationale de normalisation (ISO) et a été repris comme
EN ISO/ IEC 27001:2023 par le Comité technique CEN-CENELEC/ JTC 13 « Cybersécurité et protection
des données » dont le secrétariat est tenu par DIN.

La présente Norme européenne devra recevoir le statut de norme nationale, soit par publication d’un
texte identique, soit par entérinement, au plus tard en janvier 2024 et les normes nationales en
contradiction devront être retirées au plus tard en janvier 2024.

L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. Le CEN et/ ou le CENELEC ne sauraient être
tenus pour responsables de l’identification de ces droits de propriété en tout ou partie.

Ce document remplace l’EN ISO/ IEC 27001:2017.

Il convient que l’utilisateur adresse tout retour d’information et toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve sur les sites web du CEN et du CENELEC.

Selon le règlement intérieur du CEN/ CENELEC, les instituts de normalisation nationaux des pays
suivants sont tenus de mettre cette Norme européenne en application : Allemagne, Autriche, Belgique,
Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande,
Islande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République
de Macédoine du Nord, République tchèque, Roumanie, Royaume-Uni, Serbie, Slovaquie, Slovénie,
Suède, Suisse et Turquie.

Notice d’entér in em en t

Le texte de l’ISO/ IEC 27001:2022 a été approuvé par le CEN-CENELEC comme EN ISO/ IEC 27001:2023
sans aucune modification.
3
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

NORME ISO/ IEC

INTERNATIONALE 27001

Troisième édition
2022-10

Sécur ité de l'in for m ation ,

cyber sécur ité et pr otection de la vie
pr ivée — Systèm es de m an agem en t
de la sécur ité de l'in for m ation —
Exigen ces
Information security, cybersecurity and privacy protection —
Information security management systems — Requirements

Numéro de référence
ISO/ IEC 27001:2022(F)
© ISO/ IEC 2022
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

DOCUMENT PROTÉGÉ PAR COPYRIGHT

© ISO/ IEC 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyr ight of ice
Case post ale 401 • Ch. de Blandonnet 8
CH-1214 Ver nier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyr [email protected] g
Web: w w w.iso.or g
Publié en Suisse
ii © ISO/ IEC 2022 – Tous dr oit s r éser vés
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

Som m air e Page

Ava nt-pr opos .............................................................................................................................................................................................................................iv

Int r oduct ion .................................................................................................................................................................................................................................v
1 Dom a ine d'applicat ion ................................................................................................................................................................................... 1
2 Référ ences nor m at ives .................................................................................................................................................................................. 1
3 Ter m es et défin it ion s ...................................................................................................................................................................................... 1
4 Contexte de l'or ga n isat ion ......................................................................................................................................................................... 1
4.1 Compréhension de l'organisation et de son contexte ........................................................................................... 1
4.2 Compréhension des besoins et at tentes des par ties intéressées .............................................................. 2
4.3 Déter mination du domaine d'application du système de management de la
sécur ité de l'infor mation ............................................................................................................................................................... 2
4.4 Système de management de la sécur ité de l'infor mation ................................................................................. 2
5 Leader sh ip .................................................................................................................................................................................................................. 2
5.1 Leadership et engagement ........................................................................................................................................................... 2
5.2 Politique ........................................................................................................................................................................................................ 3
5.3 Rôles, responsabilités et autor ités au sein de l'organisation ........................................................................ 3
6 Pla n ificat ion .............................................................................................................................................................................................................. 3
6.1 Actions à met tre en œuvre face aux r isques et oppor tunités ...................................................................... 3
6.1.1 Généralités ............................................................................................................................................................................... 3
6.1.2 Appréciation des r isques de sécur ité de l'infor mation .................................................................... 4
6.1.3 Traitement des r isques de sécur ité de l'infor mation ......................................................................... 5
6.2 Objectifs de sécur ité de l'infor mation et plans pour les at teindre ........................................................... 5
6.3 Plani ication des modi ications ............................................................................................................................................... 6
7 Suppor t s ........................................................................................................................................................................................................................ 6
7.1 Ressources .................................................................................................................................................................................................. 6
7.2 Compétences ............................................................................................................................................................................................. 6
7.3 Sensibilisation ......................................................................................................................................................................................... 6
7.4 Communication ...................................................................................................................................................................................... 7
7.5 Infor mations documentées ......................................................................................................................................................... 7
7.5.1 Généralités ............................................................................................................................................................................... 7
7.5.2 Création et mise à jour .................................................................................................................................................. 7
7.5.3 Contrôle des infor mations documentées ...................................................................................................... 7
8 Fonct ion nem ent .................................................................................................................................................................................................... 8
8.1 Plani ication et contrôle opérationnels ............................................................................................................................ 8
8.2 Appréciation des r isques de sécur ité de l'infor mation ....................................................................................... 8
8.3 Traitement des r isques de sécur ité de l'infor mation ............................................................................................ 8
9 Éva lu at ion de la p er for m a nce ................................................................................................................................................................ 8
9.1 Sur veillance, mesurages, analyse et évaluation ........................................................................................................ 8
9.2 Audit inter ne ............................................................................................................................................................................................. 9
9.2.1 Généralités ............................................................................................................................................................................... 9
9.2.2 Programme d'audit inter ne ....................................................................................................................................... 9
9.3 Revue de direction .............................................................................................................................................................................. 9
9.3.1 Généralités ............................................................................................................................................................................... 9
9.3.2 Éléments d'entrée de la revue de direction ................................................................................................ 9
9.3.3 Résultats des revues de direction .................................................................................................................... 10
10 Am élior at ion .........................................................................................................................................................................................................10
10.1 Amélioration continue .................................................................................................................................................................. 10
10.2 Non-confor mité et action cor rective ............................................................................................................................... 10
An nexe A (nor mative) Référ encem ent des m esu r es de sécu r ité de l'in for m at ion ..........................................12
Bibliogr aph ie ...........................................................................................................................................................................................................................21
© ISO/ IEC 2022 – Tous dr oit s r éser vés iii
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

Avant-pr opos
L'ISO (Organisation inter nationale de nor malisation) et l’IEC (Commission électrotechnique
inter nationale) for ment le système spécialisé de la nor malisation mondiale. Les organismes
nationaux membres de l'ISO ou de l’IEC par ticipent au développement de Nor mes inter nationales
par l'inter médiaire des comités techniques créés par l'organisation concer née a in de s'occuper des
domaines par ticuliers de l'activité technique. Les comités techniques de l'ISO et de l’IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations inter nationales, gouver nementales et non
gouver nementales, en liaison avec l'ISO et l’IEC, par ticipent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décr ites dans les Directives ISO/ IEC, Par tie 1. Il convient, en par ticulier de prendre note des différents
cr itères d'approbation requis pour les différents t ypes de documents ISO. Le présent document a
été rédigé confor mément aux règles de rédaction données dans les Directives ISO/ IEC, Par tie 2 (voir
www.iso.org/ directives ou www.iec.ch/ members_exper ts/ refdocs).
L'at tention est at tirée sur le fait que cer tains des éléments du présent document peuvent faire l'objet
de droits de propr iété intellectuelle ou de droits analogues. L'ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identi ié de tels droits de propr iété et aver ti de leur existence. Les détails
concer nant les références aux droits de propr iété intellectuelle ou autres droits analogues identi iés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www.iso.org/ brevets) ou dans la liste des déclarations de brevets
reçues par l'IEC (voir ht tps:// patents.iec.ch).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour infor mation, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des nor mes, la signi ication des ter mes et expressions
spéci iques de l'ISO liés à l'évaluation de la confor mité, ou pour toute infor mation au sujet de
l'adhésion de l'ISO aux pr incipes de l’Organisation mondiale du commerce (OMC) concer nant les
obstacles techniques au commerce (OTC), voir www.iso.org/ iso/ avant-propos. Pour l'IEC, voir
www.iec.ch/ understanding-standards.
Le présent document a été élaboré par le comité technique mixte ISO/ IEC JTC 1, Technologies de
l'information, sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
Cet te troisième édition annule et remplace la deuxième édition (ISO/ IEC 27001:2013) qui
a fait l’objet d’une révision technique. Elle incor pore également les Recti icatifs techniques
ISO/ IEC 27001:2013/ Cor 1:2014 et ISO/ IEC 27001:2013/ Cor 2:2015.
Les pr incipales modi ications sont les suivantes :
— le texte a été aligné avec la str ucture har monisée des nor mes de système de management et
l'ISO/ IEC 27002:2022.
Il convient que l’utilisateur adresse tout retour d’infor mation ou toute question concer nant le présent
document à l’organisme national de nor malisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/ members.html et www.iec.ch/ national-commit tees.
iv © ISO/ IEC 2022 – Tous dr oit s r éser vés
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

In tr oduction
0.1 Génér a lités
Le présent document a été élaboré pour four nir des exigences en vue de l'établissement, de la mise
en œuvre, de la tenue à jour et de l'amélioration continue d'un système de management de la sécur ité
de l'infor mation. L'adoption d'un système de management de la sécur ité de l'infor mation relève d'une
décision stratégique de l'organisation. L'établissement et la mise en œuvre d'un système de management
de la sécur ité de l'infor mation d'une organisation tiennent compte des besoins et des objectifs de
l'organisation, des exigences de sécur ité, des processus organisationnels mis en œuvre, ainsi que de la
taille et de la str ucture de l'organisation. Tous ces facteurs d'in luence sont appelés à évoluer dans le
temps.
Le système de management de la sécur ité de l'infor mation préser ve la con identialité, l'intégr ité et la
disponibilité de l'infor mation en appliquant un processus de gestion des r isques et donne aux par ties
intéressées l'assurance que les r isques sont gérés de manière adéquate.
Il est impor tant que le système de management de la sécur ité de l'infor mation fasse par tie intégrante
des processus et de la str ucture de management d'ensemble de l'organisation et que la sécur ité de
l'infor mation soit pr ise en compte dans la conception des processus, des systèmes d'infor mation et des
mesures de sécur ité. Il est prévu qu'un système de management de la sécur ité de l'infor mation évolue
confor mément aux besoins de l'organisation.
Le présent document peut être utilisé par les par ties inter nes et exter nes pour évaluer la capacité de
l'organisation à répondre à ses propres exigences en matière de sécur ité de l'infor mation.
L'ordre dans lequel les exigences sont présentées dans le présent document ne re lète pas leur
impor tance ni l'ordre dans lequel elles doivent être mises en œuvre. Les éléments des listes sont
énumérés uniquement à des ins de référence.
L'ISO/ IEC27000 décr it une vue d'ensemble et le vocabulaire des systèmes de management de la sécur ité
de l'infor mation, en se référant à la famille des nor mes du système de management de la sécur ité de
l'infor mation (incluant l'ISO/ IEC27003,[2] l'ISO/ IEC27004 [3] et l'ISO/ IEC27005[4]) avec les ter mes et les
dé initions qui s'y rappor tent.
0.2 Com p at ibilité avec d'aut r es systèm es de m a n a gem ent
Le présent document applique la str ucture de haut niveau, les titres de paragraphe identiques, le texte,
les ter mes communs et les dé initions fondamentales dé inies dans l'Annexe SL des Directives ISO/
IEC, Par tie 1, Supplément ISO consolidé, et, par conséquent, est compatible avec les autres nor mes de
systèmes de management qui se confor ment à l'Annexe SL.
Cet te approche commune dé inie dans l'Annexe SL sera utile aux organisations qui choisissent de
met tre en œuvre un système de management unique pour répondre aux exigences de deux ou plusieurs
nor mes de systèmes de management.
© ISO/ IEC 2022 – Tous dr oit s r éser vés v
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

NORME INTERNATIONALE ISO/ IEC 27001:2022(F)

Sécur ité de l'in for m ation , cyber sécur ité et pr otection de

la vie pr ivée — Systèm es de m an agem en t de la sécur ité de
l'in for m ation — Exigen ces

1 Dom ain e d'application

Le présent document spéci ie les exigences relatives à l'établissement, à la mise en œuvre, à la mise à
jour et à l'amélioration continue d'un système de management de la sécur ité de l'infor mation dans le
contexte d'une organisation. Le présent document compor te également des exigences sur l'appréciation
et le traitement des r isques de sécur ité de l'infor mation, adaptées aux besoins de l'organisation.
Les exigences ixées dans le présent document sont génér iques et prévues pour s'appliquer à toute
organisation, quels que soient son t ype, sa taille et sa nature. Il n'est pas admis qu'une organisation
s'affranchisse de l'une des exigences spéci iées aux Ar ticles 4 à 10 lorsqu'elle revendique la confor mité
au présent document.

2 Référ en ces n or m atives

Les documents suivants sont cités dans le texte de sor te qu’ils constituent, pour tout ou par tie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la der nière édition du document de référence s'applique (y compr is les
éventuels amendements).
ISO/ IEC 27000, Technologies de l'information — Techniques de sécurité — Systèmes de management de la
sécurité de l'information — Vue d'ensemble et vocabulaire

3 Ter m es et défin ition s

Pour les besoins du présent document, les ter mes et dé initions de l'ISO/ IEC 27000 s'appliquent.
L’ISO et l’IEC tiennent à jour des bases de données ter minologiques destinées à être utilisées en
nor malisation, consultables aux adresses suivantes:
— ISO Online browsing platfor m: disponible à l’adresse ht tps:// www.iso.org/ obp
— IEC Electropedia: disponible à l’adresse ht tps:// www.electropedia.org/

4 Con texte de l'or gan isation

4.1 Com pr éhen sion de l'or gan isation et de son con texte
L'organisation doit déter miner les enjeux exter nes et inter nes per tinents compte tenu de sa mission et
qui ont une incidence sur sa capacité à obtenir le(s) résultat(s) at tendu(s) de son système de management
de la sécur ité de l'infor mation.
NOTE Déter miner ces enjeux revient à établir le contexte exter ne et inter ne de l'or ganisation étudiée dans le
paragraphe 5.4.1 de l'ISO 31000:2018 [5].
© ISO/ IEC 2022 – Tous dr oit s r éser vés 1
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

4.2 Com pr éhen sion des besoin s et atten tes des par ties in tér essées
L'organisation doit déter miner :
a) les par ties intéressées qui sont concer nées par le système de management de la sécur ité de
l'infor mation ;
b) les exigences per tinentes de ces par ties intéressées ;
c) lesquelles de ces exigences seront traitées par le biais du système de management de la sécur ité de
l'infor mation.
NOTE Les exigences des par ties intéressées peuvent inclure des exigences légales et réglement aires et des
obligations contractuelles.

4.3 Déter m in ation du dom ain e d'application du systèm e de m an agem en t de la sécur ité
de l'in for m ation
Pour établir le domaine d'application du système de management de la sécur ité de l'infor mation,
l'organisation doit en déter miner les limites et l'applicabilité.
Lorsque l'organisation établit ce domaine d'application, elle doit prendre en compte :
a) les enjeux exter nes et inter nes auxquels il est fait référence en 4.1 ;
b) les exigences auxquelles il est fait référence en 4.2 ;
c) les inter faces et les dépendances existant entre les activités réalisées par l'organisation et celles
réalisées par d'autres organisations.
Le domaine d'application doit être disponible sous la for me d'une infor mation documentée.

4.4 Systèm e de m an agem en t de la sécur ité de l'in for m ation

L'organisation doit établir, met tre en œuvre, tenir à jour et améliorer en continu un système de
management de la sécur ité de l'infor mation, y compr is les processus nécessaires et leurs interactions,
en accord avec les exigences du présent document.

5 Leader ship

5.1 Leader ship et en gagem en t

La direction doit faire preuve de leadership et af ir mer son engagement en faveur du système de
management de la sécur ité de l'infor mation en :
a) s'assurant qu'une politique et des objectifs sont établis en matière de sécur ité de l'infor mation et
qu'ils sont compatibles avec l'or ientation stratégique de l'organisation ;
b) s'assurant que les exigences liées au système de management de la sécur ité de l'infor mation sont
intégrées aux processus métiers de l'organisation ;
c) s'assurant que les ressources nécessaires pour le système de management de la sécur ité de
l'infor mation sont disponibles ;
d) communiquant sur l'impor tance de disposer d'un management de la sécur ité de l'infor mation
ef icace et de se confor mer aux exigences du système de management de la sécur ité de l'infor mation ;
e) s'assurant que le système de management de la sécur ité de l'infor mation produit le(s) résultat(s)
escompté(s) ;
2 © ISO/ IEC 2022 – Tous dr oit s r éser vés
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

f) or ientant et soutenant les personnes pour qu'elles contr ibuent à l'ef icacité du système de
management de la sécur ité de l'infor mation ;
g) promouvant l'amélioration continue ; et
h) aidant les autres managers concer nés à faire également preuve de leadership dès lors que cela
s'applique à leurs domaines de responsabilités.
NOTE Dans le présent document, il est possible d'inter préter le ter me « métier » au sens lar ge, c'est-à-dire
comme se référant aux activités liées à la inalité de l'or ganisation.

5.2 Politique
La direction doit établir une politique de sécur ité de l'infor mation qui :
a) est appropr iée à la mission de l'organisation ;
b) inclut des objectifs de sécur ité de l'infor mation (voir 6.2) ou four nit un cadre pour l'établissement
de ces objectifs ;
c) inclut l'engagement de satisfaire aux exigences applicables en matière de sécur ité de l'infor mation ;
d) inclut l'engagement d'œuvrer pour l'amélioration continue du système de management de la
sécur ité de l'infor mation.
La politique de sécur ité de l'infor mation doit :
e) être disponible sous for me d'infor mation documentée ;
f) être communiquée au sein de l'organisation ;
g) être mise à la disposition des par ties intéressées, le cas échéant.

5.3 Rôles, r espon sabilités et autor ités au sein de l'or gan isation
La direction doit s'assurer que les responsabilités et autor ités des rôles concer nés par la sécur ité de
l'infor mation sont at tr ibuées et communiquées au sein de l'organisation.
La direction doit at tr ibuer la responsabilité et l'autor ité pour :
a) s'assurer que le système de management de la sécur ité de l'infor mation est confor me aux exigences
du présent document ;
b) rendre compte à la direction des per for mances du système de management de la sécur ité de
l'infor mation.
NOTE La direction peut également at tr ibuer des responsabilités et autor ités pour rendre compte des
per for mances du système de management de la sécur ité de l'infor mation au sein de l'or ganisation.

6 Plan ification

6.1 Action s à m ettr e en œ uvr e face aux r isques et oppor tun ités

6.1.1 Gén ér alités

Lorsqu'il conçoit son système de management de la sécur ité de l'infor mation, l'organisation doit
tenir compte des enjeux de 4.1 et des exigences de 4.2, et déter miner les r isques et oppor tunités qui
nécessitent d'être abordés pour :
a) s'assurer que le système de management de la sécur ité de l'infor mation peut at teindre le(s)
résultat(s) escompté(s) ;
© ISO/ IEC 2022 – Tous dr oit s r éser vés 3
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

b) empêcher ou limiter les effets indésirables ; et

c) obtenir une démarche d'amélioration continue.
L'organisation doit plani ier :
d) les actions menées pour traiter ces r isques et oppor tunités ; et
e) la manière :
1) d'intégrer et de met tre en œuvre les actions au sein des processus du système de management
de la sécur ité de l'infor mation ; et
2) d'évaluer l'ef icacité de ces actions.

6.1.2 Appr éciation des r isques de sécur ité de l'in for m ation

L'organisation doit dé inir et appliquer un processus d'appréciation des r isques de sécur ité de
l'infor mation qui :
a) établit et tient à jour les cr itères de r isque de sécur ité de l'infor mation incluant :
1) les cr itères d'acceptation des r isques ;
2) les cr itères de réalisation des appréciations des r isques de sécur ité de l'infor mation ;
b) s'assure que la répétition de ces appréciations des r isques produit des résultats cohérents, valides
et comparables ;
c) identi ie les r isques de sécur ité de l'infor mation :
1) applique le processus d'appréciation des r isques de sécur ité de l'infor mation pour identi ier
les r isques de per te de con identialité, d'intégr ité et de disponibilité des infor mations entrant
dans le domaine d'application du système de management de la sécur ité de l'infor mation ; et
2) identi ie les propr iétaires des r isques ;
d) analyse les r isques de sécur ité de l'infor mation :
1) apprécie les conséquences potentielles dans le cas où les r isques identi iés en 6.1.2 c) 1) se
concrétisaient ;
2) procède à une évaluation réaliste de la vraisemblance d'appar ition des r isques identi iés en
6.1.2 c) 1) ; et
3) déter mine les niveaux des r isques ;
e) évalue les r isques de sécur ité de l'infor mation :
1) compare les résultats d'analyse des r isques avec les cr itères de r isque déter minés en 6.1.2 a) ;
et
2) pr ior ise les r isques analysés pour le traitement des r isques.
L'organisation doit conser ver des infor mations documentées sur le processus d'appréciation des r isques
de sécur ité de l'infor mation.
4 © ISO/ IEC 2022 – Tous dr oit s r éser vés
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

6.1.3 Tr aitem en t des r isques de sécur ité de l'in for m ation

L'organisation doit dé inir et appliquer un processus de traitement des r isques de sécur ité de
l'infor mation pour :
a) choisir les options de traitement des r isques appropr iées, en tenant compte des résultats de
l'appréciation des r isques ;
b) déter miner toutes les mesures de sécur ité nécessaires à la mise en œuvre de(s) (l')option(s) de
traitement des r isques de sécur ité de l'infor mation choisie(s) ;
NOTE 1 Les or ganisations peuvent concevoir ces mesures de sécur ité, le cas échéant, ou bien les identi ier
à par tir de n'impor te quelle source.

c) comparer les mesures de sécur ité déter minées ci-dessus en 6.1.3 b) avec celles de l'Annexe A et
vér i ier qu'aucune mesure de sécur ité nécessaire n'a été omise ;
NOTE 2 L'Annexe A compor te une liste de possibles mesures de sécur ité de l'infor mation. Les utilisateur s
du présent document sont invités à se repor ter à l'Annexe A pour s'assurer qu'aucune mesure de sécur ité de
l'infor mation nécessaire n'a été négligée.

NOTE 3 Les mesures de sécur ité de l'infor mation énumérées dans l'Annexe A ne sont pas exhaustives et
des mesures de sécur ité de l'infor mation additionnelles peuvent être incluses si nécessaires.

d) produire une déclaration d'applicabilité contenant :

— les mesures de sécur ité nécessaires (voir 6.1.3 b) et c)) ;
— la justi ication de leur inser tion ;
— si les mesures de sécur ité nécessaires sont mises en œuvre ou non ; et
— la justi ication de l'exclusion de mesures de sécur ité de l'Annexe A ;
e) élaborer un plan de traitement des r isques de sécur ité de l'infor mation ; et
f) obtenir des propr iétaires des r isques l'approbation du plan de traitement des r isques et l'acceptation
des r isques résiduels de sécur ité de l'infor mation.
L'organisation doit conser ver des infor mations documentées sur le processus de traitement des r isques
de sécur ité de l'infor mation.
NOTE 4 L'appréciation des r isques de sécur ité de l'infor mation et le processus de traitement igurant dans le
présent document s'alignent sur les pr incipes et les lignes directr ices générales four nies dans l'ISO 31000 [5].

6.2 Objectifs de sécur ité de l'in for m ation et plan s pour les attein dr e
L'organisation doit établir, aux fonctions et niveaux concer nés, des objectifs de sécur ité de l'infor mation.
Les objectifs de sécur ité de l'infor mation doivent :
a) être cohérents avec la politique de sécur ité de l'infor mation ;
b) être mesurables (si possible) ;
c) tenir compte des exigences applicables à la sécur ité de l'infor mation, et des résultats de
l'appréciation et du traitement des r isques ;
d) être sur veillés ;
e) être communiqués ;
f) être mis à jour comme appropr ié ;
© ISO/ IEC 2022 – Tous dr oit s r éser vés 5
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

g) être tenus à jour sous la for me d'une infor mation documentée.

L'organisation doit conser ver des infor mations documentées sur les objectifs de sécur ité de
l'infor mation.
Lorsqu'il plani ie la façon d'at teindre ses objectifs de sécur ité de l'infor mation, l'organisation doit
déter miner :
h) ce qui sera fait ;
i) quelles ressources seront requises ;
j) qui sera responsable ;
k) les échéances ; et
l) la façon dont les résultats seront évalués.

6.3 Plan ification des m odification s

Lorsque l'organisation déter mine qu'il est nécessaire de modi ier le système de management de la
sécur ité de l'infor mation, les modi ications doivent être réalisées de façon plani iée.

7 Suppor ts

7.1 Ressour ces

L'organisation doit identi ier et four nir les ressources nécessaires à l'établissement, la mise en œuvre, la
tenue à jour et l'amélioration continue du système de management de la sécur ité de l'infor mation.

7.2 Com péten ces

L'organisation doit :
a) déter miner les compétences nécessaires de la ou des personnes effectuant, sous son contrôle, un
travail qui a une incidence sur les per for mances de la sécur ité de l'infor mation ;
b) s'assurer que ces personnes sont compétentes sur la base d'une for mation initiale, d'une for mation
professionnelle ou d'une expér ience appropr iée ;
c) le cas échéant, mener des actions pour acquér ir les compétences nécessaires et évaluer l'ef icacité
des actions entrepr ises ; et
d) conser ver des infor mations documentées appropr iées comme preuves desdites compétences.
NOTE Les actions envisageables peuvent not amment inclure la for mation, l'encadrement ou la réaffectation
du per sonnel actuellement employé ou le recr utement, direct ou en sous-traitance, de per sonnes compétentes.

7.3 Sen sibilisation

Les personnes effectuant un travail sous le contrôle de l'organisation doivent :
a) être sensibilisées à la politique de sécur ité de l'infor mation ;
b) avoir conscience de leur contr ibution à l'ef icacité du système de management de la sécur ité de
l'infor mation, y compr is aux effets positifs d'une amélioration des per for mances de la sécur ité de
l'infor mation ; et
c) avoir conscience des implications de toute non-confor mité aux exigences requises par le système
de management de la sécur ité de l'infor mation.
6 © ISO/ IEC 2022 – Tous dr oit s r éser vés
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

7.4 Com m un ication

L'organisation doit déter miner les besoins de communication inter ne et exter ne per tinents pour le
système de management de la sécur ité de l'infor mation, et notamment :
a) sur quels sujets communiquer ;
b) quand communiquer ;
c) avec qui communiquer ;
d) comment communiquer.

7.5 In for m ation s docum en tées

7.5.1 Gén ér alités

Le système de management de la sécur ité de l'infor mation de l'organisation doit inclure :

a) les infor mations documentées exigées par le présent document ; et
b) les infor mations documentées que l'organisation juge nécessaires à l'ef icacité du système de
management de la sécur ité de l'infor mation.
NOTE L'étendue des infor mations documentées dans le cadre d'un système de management de la sécur ité de
l'infor mation peut différer selon l'or ganisation en fonction de :

1) la t aille de l'or ganisation, ses domaines d'activité et ses processus, produits et ser vices ;

2) la complexité des processus et de leur s interactions ; et

3) la compétence des per sonnes.

7.5.2 Cr éation et m ise à jour

Quand il crée et met à jour ses infor mations documentées, l'organisation doit s'assurer que sont
appropr iés :
a) l'identi ication et la descr iption (par exemple titre, date, auteur, numéro de référence) ;
b) le for mat (par exemple langue, version logicielle, graphiques) et le suppor t (par exemple, papier,
électronique) ; et
c) la revue et l'approbation du caractère adapté et adéquat des infor mations.

7.5.3 Con tr ôle des in for m ation s docum en tées

Les infor mations documentées exigées par le système de management de la sécur ité de l'infor mation et
par le présent document doivent être contrôlées pour s'assurer :
a) qu'elles sont disponibles et conviennent à l'utilisation, où et quand elles sont nécessaires ; et
b) qu'elles sont convenablement protégées (par exemple contre la per te de con identialité, l'utilisation
inappropr iée ou la per te d'intégr ité).
Pour contrôler les infor mations documentées, l'organisation doit met tre en œuvre les activités
suivantes, quand elles sont applicables :
c) distr ibution, accès, récupération et utilisation ;
d) stockage et conser vation, y compr is préser vation de la lisibilité ;
e) contrôle des modi ications (par exemple, contrôle des versions) ; et
© ISO/ IEC 2022 – Tous dr oit s r éser vés 7
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

f) durée de conser vation et suppression.

Les infor mations documentées d'or igine exter ne que l'organisation juge nécessaires à la plani ication et
au fonctionnement du système de management de la sécur ité de l'infor mation doivent être identi iées
comme il convient et contrôlées.
NOTE L'accès peut impliquer une décision relative à l'autor isation de consulter les infor mations documentées
uniquement, ou l'autor isation et l'autor ité de consulter et modi ier les infor mations documentées, etc.

8 Fon ction n em en t

8.1 Plan ification et con tr ôle opér ation n els

L'organisation doit plani ier, met tre en œuvre et contrôler les processus nécessaires pour satisfaire aux
exigences et réaliser les actions déter minées dans l'Ar ticle 6, en :
— établissant des cr itères pour ces processus ;
— met tant en œuvre le contrôle de ces processus confor mément aux cr itères.
Les infor mations documentées doivent être disponibles dans une mesure suf isante pour avoir
l'assurance que les processus ont été suivis comme prévu.
L'organisation doit contrôler les modi ications prévues, analyser les conséquences des modi ications
imprévues et, si nécessaire, mener des actions pour limiter tout effet négatif.
L'organisation doit s'assurer que les processus, produits ou ser vices four nis en exter ne et per tinents
pour le système de management de la sécur ité de l'infor mation sont contrôlés.

8.2 Appr éciation des r isques de sécur ité de l'in for m ation
L'organisation doit réaliser des appréciations des r isques de sécur ité de l'infor mation à des inter valles
plani iés ou quand des changements signi icatifs sont prévus ou ont lieu, en tenant compte des cr itères
établis en 6.1.2 a).
L'organisation doit conser ver des infor mations documentées sur les résultats des processus
d'appréciation des r isques de sécur ité de l'infor mation.

8.3 Tr aitem en t des r isques de sécur ité de l'in for m ation

L'organisation doit met tre en œuvre le plan de traitement des r isques de sécur ité de l'infor mation.
L'organisation doit conser ver des infor mations documentées sur les résultats du traitement des r isques
de sécur ité de l'infor mation.

9 Évaluation de la per for m an ce

9.1 Sur veillan ce, m esur ages, an alyse et évaluation

L'organisation doit déter miner :
a) ce qu'il est nécessaire de sur veiller et de mesurer, y compr is les processus et les mesures de sécur ité
de l'infor mation ;
b) les méthodes de sur veillance, de mesurage, d'analyse et d'évaluation, selon les cas, pour assurer la
validité des résultats. Il convient que les méthodes choisies donnent des résultats comparables et
reproductibles pour être considérées comme valables ;
c) quand la sur veillance et le mesurage doivent être effectués ;
8 © ISO/ IEC 2022 – Tous dr oit s r éser vés
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

d) qui doit effectuer la sur veillance et les mesurages ;

e) quand les résultats de la sur veillance et du mesurage doivent être analysés et évalués ;
f) qui doit analyser et évaluer ces résultats.
Des infor mations documentées doivent être disponibles comme preuve des résultats.
L'organisation doit évaluer les per for mances de sécur ité de l'infor mation, ainsi que l'ef icacité du
système de management de la sécur ité de l'infor mation.

9.2 Audit in ter n e

9.2.1 Gén ér alités

L'organisation doit réaliser des audits inter nes à des inter valles plani iés a in de recueillir des
infor mations per met tant de déter miner si le système de management de la sécur ité de l'infor mation :
a) est confor me :
1) aux exigences propres de l'organisation concer nant son système de management de la sécur ité
de l'infor mation ;
2) aux exigences du présent document ;
b) est ef icacement mise en œuvre et maintenu.

9.2.2 Pr ogr am m e d'audit in ter n e

L'organisation doit plani ier, établir, met tre en œuvre et tenir à jour ou plusieurs programmes d'audit,
couvrant notamment la fréquence, les méthodes, les responsabilités, les exigences de plani ication et
les comptes rendus.
Lors de l'établissement du ou des programmes d'audit inter nes, l'organisation doit tenir compte de
l'impor tance des processus concer nés et des résultats des audits précédents.
L'organisation doit :
a) dé inir les cr itères d'audit et le pér imètre de chaque audit ;
b) sélectionner des auditeurs et réaliser des audits qui assurent l'objectivité et l'impar tialité du
processus d'audit ;
c) veiller à ce que les résultats des audits soient communiqués à la direction concer née
Des infor mations documentées doivent être disponibles comme preuve de la mise en œuvre du ou des
programmes d'audit et des résultats d'audit.

9.3 Revue de dir ection

9.3.1 Gén ér alités

À des inter valles plani iés, la direction doit procéder à la revue du système de management de la
sécur ité de l'infor mation mis en place par l'organisation, a in de s'assurer qu'il est toujours appropr ié,
adapté et ef icace.

9.3.2 Élém en ts d'en tr ée de la r evue de dir ection

La revue de direction doit prendre en considération :

a) l'état d'avancement des actions décidées lors des revues de direction précédentes ;
© ISO/ IEC 2022 – Tous dr oit s r éser vés 9
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

b) les modi ications des enjeux exter nes et inter nes per tinents pour le système de management de la
sécur ité de l'infor mation ;
c) les modi ications des besoins et at tentes des par ties intéressées, per tinentes pour le système de
management de la sécur ité de l'infor mation ;
d) les retours sur les per for mances de sécur ité de l'infor mation, y compr is les tendances concer nant :
1) les non-confor mités et les actions cor rectives ;
2) les résultats de la sur veillance et du mesurage ;
3) les résultats des audits ;
4) la réalisation des objectifs en matière de sécur ité de l'infor mation ;
e) les retours d'infor mation des par ties intéressées ;
f) les résultats de l'appréciation des r isques et l'état d'avancement du plan de traitement des r isques ;
g) des oppor tunités d'amélioration continue.

9.3.3 Résultats des r evues de dir ection

Les résultats de la revue de direction doivent inclure les décisions relatives aux oppor tunités
d'amélioration continue et aux éventuels changements à appor ter au système de management de la
sécur ité de l'infor mation.
Des infor mations documentées doivent être disponibles comme preuve des résultats des revues de
direction.

10 Am élior ation

10.1 Am élior ation con tin ue

L'organisation doit continuellement améliorer la per tinence, l'adéquation et l'ef icacité du système de
management de la sécur ité de l'infor mation.

10.2 Non -con for m ité et action cor r ective

Lorsqu'une non-confor mité se produit, l'organisation doit :
a) réagir à la non-confor mité, et le cas échéant :
1) agir pour la contrôler et la cor r iger ;
2) faire face aux conséquences ;
b) évaluer s'il est nécessaire de mener une action pour éliminer les causes de la non-confor mité, de
sor te qu'elle ne se reproduise plus, ou qu'elle ne se produise pas ailleurs, en :
1) passant en revue la non-confor mité ;
2) déter minant les causes de non-confor mité ; et
3) recherchant si des non-confor mités similaires existent ou pour raient éventuellement se
produire ;
c) met tant en œuvre toute action nécessaire ;
d) passant en revue l'ef icacité de toute action cor rective mise en œuvre ; et
10 © ISO/ IEC 2022 – Tous dr oit s r éser vés
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

e) modi iant, si nécessaire, le système de management de sécur ité de l'infor mation.

Les actions cor rectives doivent être appropr iées aux conséquences des non-confor mités rencontrées.
Des infor mations documentées doivent être disponibles comme preuve :
f) de la nature des non-confor mités et de toute action menée ultér ieurement ;
g) des résultats de toute action cor rective.
© ISO/ IEC 2022 – Tous dr oit s r éser vés 11
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

An n exe A
(normative)

Référ en cem en t des m esur es de sécur ité de l'in for m ation

Les mesures de sécur ité de l'infor mation énumérées dans le Tableau A.1 découlent directement de
celles qui sont réper tor iées dans la nor me ISO/ IEC 27002:2022,[1] Ar ticles 5 à 8, avec lesquelles elles
sont alignées, et doivent être utilisées dans le contexte du paragraphe 6.1.3.

Tableau A.1 — Mesu r es de sécu r ité de l'in for m at ion

5 Mesu r es de sécu r it é or ga n isat ion n elles
5.1 Politiques de sécur ité de Mesu r e de sécu r it é
l'infor mation
Une politique de sécur ité de l'infor mation et des politiques
spéci iques à une thématique doivent être dé inies, approu-
vées par la direction, publiées, communiquées et demandée en
con ir mation au per sonnel et aux par ties intéressées concer nés,
ainsi que révisées à inter valles plani iés et si des changements
signi icatifs ont lieu.
5.2 Fonctions et responsabi- Mesu r e de sécu r it é
lités liées à la sécur ité de
Les fonctions et responsabilités liées à la sécur ité de l'infor mation
l'infor mation
doivent être dé inies et attribuées selon les besoins de l'organisation.
5.3 Séparation des t âches Mesu r e de sécu r it é
Les tâches et les domaines de responsabilité incompatibles doivent
être séparés.
5.4 Responsabilités de la Mesu r e de sécu r it é
direction
La dir ect ion doit demander à tout le per sonnel d'appliquer les
mesures de sécur ité de l'infor mation confor mément à la politique
de sécur ité de l'infor mation, aux politiques spéci iques à une thé-
matique et aux procédures ét ablies de l'or ganisation.
5.5 Cont acts avec les auto- Mesu r e de sécu r it é
r ités
L'organisation doit établir et maintenir le contact avec les autor ités
appropr iées.
5.6 Cont acts avec des Mesu r e de sécu r it é
groupes d'intérêt spéci-
L'or ganisat ion doit ét ablir et maintenir des cont act s avec des
iques
groupes d'intérêt spéci iques ou autres for ums spécialisés sur la
sécur ité et associations professionnelles.
5.7 Renseignement sur les Mesu r e de sécu r it é
menaces
Les informations relatives aux menaces de sécurité de l'information
doivent être collectées et analysées pour produire les renseigne-
ments sur les menaces.
5.8 Sécur ité de l'infor mation Mesu r e de sécu r it é
dans la gestion de projet
La sécur ité de l'infor mation doit être intégrée à la gestion de projet.
5.9 Inventaire des infor- Mesu r e de sécu r it é
mations et autres actifs
Un invent air e des infor mat ions et des aut r es act ifs associés, y
associés
compr is leur s propr iétaires, doit être élaboré et tenu à jour.
12 © ISO/ IEC 2022 – Tous dr oit s r éser vés
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

Tableau A.1 (suite)

5.10 Utilisation cor recte des Mesu r e de sécu r it é
infor mations et autres
Des règles d'utilisation cor recte et des procédures de traitement
actifs associés
des infor mations et autres actifs associés doivent être identi iées,
documentées et mises en œuvre.
5.11 Restitution des actifs Mesu r e de sécu r it é
Le personnel et les autres par ties intéressées, selon le cas, doivent
restituer tous les actifs de l'or ganisation qui sont en leur posses-
sion au moment du changement ou de la in de leur emploi, contrat
ou accord.
5.12 Classi ication des infor- Mesu r e de sécu r it é
mations
Les infor mat ions doivent êt r e classi iées confor mément au x
besoins de sécur ité de l'infor mation de l'or ganisation, sur la base
des exigences de con identialité, d'intégr ité, de disponibilité, et
des exigences impor t antes des par ties intéressées.
5.13 Marquage des infor ma- Mesu r e de sécu r it é
tions
Un ensemble appr opr ié de pr océdur es pour le mar quage des
infor mations doit être élaboré et mis en œuvre confor mément au
schéma de classi ication des informations adopté par l'organisation.
5.14 Transfer t des infor ma- Mesu r e de sécu r it é
tions
Des règles, procédures ou accords sur le transfer t des infor ma-
tions doivent être mis en place pour tous les t ypes de moyens de
transfer t au sein de l'or ganisation et entre l'or ganisation et des
tierces par ties.
5.15 Contrôle d'accès Mesu r e de sécu r it é
Des r ègles visant à cont r ôler l'accès physiques et logique au x
infor mat ions et aut r es act ifs associés doivent êt r e dé inies et
mises en œuvre, en fonction des exigences métier et de sécur ité
de l'infor mation.
5.16 Gestion des identités Mesu r e de sécu r it é
Le cycle de vie complet des identités doit être géré.
5.17 Infor mations d'authenti- Mesu r e de sécu r it é
ication
L'at t r ibut ion et la gest ion des infor mat ions d'aut hent i icat ion
doivent être contrôlées par un processus de gestion, incluant des
recommandations au per sonnel sur l'utilisation appropr iée des
infor mations d'authenti ication.
5.18 Droits d'accès Mesu r e de sécu r it é
Les droits d'accès aux informations et autres actifs associés doivent
être pour vus, révisés, modi iés et suppr imés confor mément à la
polit ique spéci ique à la t hémat ique du cont r ôle d'accès et aux
règles de contrôle d'accès de l'or ganisation.
5.19 Sécur ité de l'infor mation Mesu r e de sécu r it é
dans les relations avec les
Des processus et procédures pour gérer les r isques de sécur ité
four nisseur s
de l'infor mation qui sont associés à l'utilisation des produits ou
ser vices du four nisseur doivent être dé inis et mis en œuvre.
5.20 La sécur ité de l'infor- Mesu r e de sécu r it é
mation dans les accords
Les exigences de sécur ité de l'infor mation appr opr iées doivent
conclus avec les four nis-
être mises en place et convenues avec chaque four nisseur, selon
seur s
le t ype de relation avec le four nisseur.
© ISO/ IEC 2022 – Tous dr oit s r éser vés 13
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

Tableau A.1 (suite)

5.21 Gestion de la sécur ité Mesu r e de sécu r it é
de l'infor mation dans la
Des processus et procédures pour gérer les r isques de sécur ité de
chaîne d'approvisionne-
l'information associés à la chaîne d'approvisionnement des produits
ment des technologies
et ser vices TIC doivent être dé inis et mis en œuvre.
de l'infor mation et de la
communication (TIC)
5.22 Sur veillance, révision et Mesu r e de sécu r it é
gestion des changements
L'or ganisation doit procéder régulièrement à la sur veillance, à la
des ser vices four nisseur s
révision, à l'évaluation et à la gestion des changements des pra-
tiques de sécur ité de l'infor mation du four nisseur et de prestation
de ser vices.
5.23 Sécur ité de l'infor mation Mesu r e de sécu r it é
dans l'utilisation de ser-
Les processus d'acquisition, d'utilisation, de gestion et de cessa-
vices en nuage
tion des ser vices en nuage doivent être établis confor mément aux
exigences de sécur ité de l'infor mation de l'or ganisation.
5.24 Plani ication et prépa- Mesu r e de sécu r it é
ration de la gestion des
L'organisation doit plani ier et préparer la gestion des incidents de
incidents de sécur ité de
sécur ité de l'infor mation en procédant à la dé inition, à l'établisse-
l'infor mation
ment et à la communication des processus, fonctions et responsa-
bilités liés à la gestion des incidents de sécur ité de l'infor mation.
5.25 Évaluation des événe- Mesu r e de sécu r it é
ments de sécur ité de
L'organisation doit évaluer les événements de sécurité de l'informa-
l'infor mation et pr ise de
tion et décider s'ils doivent être catégor isés comme des incidents
décision
de sécur ité de l'infor mation.
5.26 Réponse aux incidents de Mesu r e de sécu r it é
sécur ité de l'infor mation
La r éponse aux incident s de sécur ité de l'infor mat ion doit êt r e
confor me aux procédures documentées.
5.27 Tirer des enseignements Mesu r e de sécu r it é
des incidents de sécur ité
Les connaissances acquises à par tir des incidents de sécur ité de
de l'infor mation
l'infor mation doivent être utilisées pour renforcer et améliorer
les mesures de sécur ité de l'infor mation.
5.28 Collecte de preuves Mesu r e de sécu r it é
L'or ganisat ion doit ét ablir et met t r e en œ uvr e des pr océdur es
pour l'identi icat ion, la collecte, l'acquisit ion et la pr éser vat ion
des preuves relatives aux événements de sécur ité de l'infor mation.
5.29 Sécur ité de l'infor mation Mesu r e de sécu r it é
pendant une per turba-
L'or ganisat ion doit plani ier comment maintenir la sécur ité de
tion
l'infor mation au niveau appropr ié pendant une per turbation.
5.30 Préparation des TIC pour Mesu r e de sécu r it é
la continuité d'activité
La préparation des TICdoit être plani iée, mise en œuvre, mainte-
nue et testée en se basant sur les objectifs de continuité d'activité
et des exigences de continuité des TIC.
5.31 Exigences légales, st atu- Mesu r e de sécu r it é
taires, réglementaires et
Les exigences légales, statutaires, réglementaires et contractuelles
contractuelles
per tinentes pour la sécur ité de l'infor mation, ainsi que l'approche
de l'or ganisation pour respecter ces exigences, doivent être iden-
ti iées, documentées et tenues à jour.
5.32 Droits de propr iété intel- Mesu r e de sécu r it é
lectuelle
L'or ganisation doit met tre en œuvre les procédures appropr iées
pour protéger les droits de propr iété intellectuelle.
14 © ISO/ IEC 2022 – Tous dr oit s r éser vés
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

Tableau A.1 (suite)

5.33 Protection des enregis- Mesu r e de sécu r it é
trements
Les enregistrements doivent être protégés de la per te, de la des-
tr uction, de la falsi ication, des accès non autorisés et des diffusions
non autor isées.
5.34 Protection de la vie Mesu r e de sécu r it é
pr ivée et des données
L'or ganisation doit identi ier et respecter les exigences relatives
à caractère per sonnel
à la protection de la vie pr ivée et des DCP confor mément aux lois,
(DCP)
réglement ations et exigences contractuelles applicables.
5.35 Révision indépendante Mesu r e de sécu r it é
de la sécur ité de l'infor-
L'approche de l'or ganisation pour gérer la sécur ité de l'infor ma-
mation
tion et sa mise en œuvre, y compr is les per sonnes, les processus
et les technologies, doit être révisée de manière indépendante à
inter valles plani iés, ou lor sque des changements signi icatifs se
produisent.
5.36 Confor mité aux poli- Mesu r e de sécu r it é
tiques, règles et nor mes
La confor mité à la politique de sécur ité de l'infor mation, aux poli-
de sécur ité de l'infor ma-
tiques spéci iques à une thématique, aux règles et aux nor mes de
tion
l'or ganisation doit être régulièrement vér i iée.
5.37 Procédures d'exploita- Mesu r e de sécu r it é
tion documentées
Les pr océdur es d'exploit at ion des moyen s de t r ait ement de
l'infor mation doivent être documentées et mises à disposition du
per sonnel qui en a besoin.
6 Mesu r es de sécu r it é applicables au x p er son n es
6.1 Sélection des candidats Mesu r e de sécu r it é
Les vér i ications des références de tous les candidats à l'embauche
doivent être réalisées avant qu'ils n'intègrent l'or ganisation puis
de façon continue en tenant compte des lois, des réglementations
et de l'éthique applicables, et doivent être propor tionnelles aux
exigences métier, à la classi ication des infor mations auxquelles
ils auront accès et aux r isques identi iés.
6.2 Ter mes et conditions du Mesu r e de sécu r it é
contrat de travail
Les contrats de travail doivent indiquer les responsabilités du per-
sonnel et de l'organisation en matière de sécur ité de l'infor mation.
6.3 Sensibilisation, ensei- Mesu r e de sécu r it é
gnement et for mation en
Le personnel de l'organisation et les par ties intéressées per tinentes
sécur ité de l'infor mation
doivent r ecevoir une sensibilisat ion, un enseignement et des
for mations en sécur ité de l'infor mation appropr iés, ainsi que des
mises à jour régulières de la politique de sécur ité de l'infor mation,
des politiques spéci iques à une thématique et des procédures de
l'or ganisation per tinentes à leur fonction.
6.4 Processus disciplinaire Mesu r e de sécu r it é
Un processus disciplinaire per met t ant de prendre des mesures
à l'encontre du per sonnel et d'autres par ties intéressées qui ont
commis une violation de la politique de sécur ité de l'infor mation
doit être for malisé et communiqué.
6.5 Responsabilités après la Mesu r e de sécu r it é
in ou le changement d'un
Les r esponsabilités et les obligat ions r elat ives à la sécur ité de
emploi
l'infor mation qui restent valables après la in ou le changement
d'un emploi doivent être dé inies, appliquées et communiquées au
per sonnel et autres par ties intéressées per tinentes.
© ISO/ IEC 2022 – Tous dr oit s r éser vés 15
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

Tableau A.1 (suite)

6.6 Accords de con identia- Mesu r e de sécu r it é
lité ou de non-divulgation
Des accords de con identialité ou de non-divulgation, représentant
les besoins de l'or ganisation relatifs à la protection des infor ma-
tions, doivent être identi iés, documentés, régulièrement révisés
et signés.
6.7 Travail à distance Mesu r e de sécu r it é
Des mesures de sécur ité doivent être mises en œuvre lor sque le
personnel travaille à distance,pour protéger les informations acces-
sibles, traitées ou stockées en dehor s des locaux de l'organisation.
6.8 Déclaration des événe- Mesu r e de sécu r it é
ments de sécur ité de
L'or ganisat ion doit four nir un mécanisme au per sonnel pour
l'infor mation
déclarer rapidement les événements de sécur ité de l'infor mation
obser vés ou suspectés, à traver s des canaux appropr iés.
7 Mesu r es de sécu r it é physique
7.1 Pér imètres de sécur ité Mesu r e de sécu r it é
physique
Des pér imètres de sécur ité doivent être dé inis et utilisés pour
pr otéger les zones qui cont iennent les infor mat ions et aut r es
actifs associés.
7.2 Les entrées physiques Mesu r e de sécu r it é
Les zones sécur isées doivent être protégées par des mesures de
sécur ité des accès et des points d'accès appropr iés.
7.3 Sécur isation des Mesu r e de sécu r it é
bureaux, des salles et des
Des mesures de sécur ité physique pour les bureaux, les salles et
installations
les inst allations doivent être conçues et mises en œuvre.
7.4 Sur veillance de la sécu- Mesu r e de sécu r it é
r ité physique
Les locaux doivent être continuellement sur veillés pour empêcher
l'accès physique non autor isé.
7.5 Protection contre les Mesu r e de sécu r it é
menaces physiques et
Une protection contre les menaces physiques et environnementales,
environnementales
telles que les catastrophes naturelles et autres menaces physiques,
intentionnelles ou non intentionnelles, impactant l'infrastr ucture,
doit être conçue et mise en œuvre.
7.6 Travail dans les zones Mesu r e de sécu r it é
sécur isées
Des mesures de sécur ité pour le travail dans les zones sécur isées
doivent être conçues et mises en œuvre.
7.7 Bureau propre et écran Mesu r e de sécu r it é
vide
Des règles du bureau vide, dégagé des documents papier et des
suppor ts de stockage amovibles, et des règles de l'écran vide pour
les moyens de traitement de l'infor mation, doivent être dé inies
et appliquées de manière appropr iée.
7.8 Emplacement et protec- Mesu r e de sécu r it é
tion du matér iel
Un emplacement sécurisé pour le matériel doit être choisi et protégé.
7.9 Sécur ité des actifs hor s Mesu r e de sécu r it é
des locaux
Les actifs hor s du site doivent être protégés.
7.10 Suppor ts de stockage Mesu r e de sécu r it é
Les suppor ts de stockage doivent être gérés tout au long de leur
cycle de vie d'acquisition, d'utilisation, de transpor t et de mise au
rebut, confor mément au schéma de classi ication et aux exigences
de traitement de l'or ganisation.
16 © ISO/ IEC 2022 – Tous dr oit s r éser vés
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

Tableau A.1 (suite)

7.11 Ser vices suppor ts Mesu r e de sécu r it é
Les moyens de traitement de l'infor mation doivent être protégés
contre les coupures de courant et autres per turbations causées
par des défaillances des ser vices suppor ts.
7.12 Sécur ité du câblage Mesu r e de sécu r it é
Les câbles électr iques, transpor t ant des données ou suppor t ant
les ser vices d'infor mation, doivent être protégés contre des inter-
ceptions, inter férences ou dommages.
7.13 Maintenance du matér iel Mesu r e de sé cu r it é
Le matér iel doit être entretenu cor rectement pour assurer la dis-
ponibilité, l'intégr ité et la con identialité de l'infor mation.
7.14 Élimination ou recyclage Mesu r e de sécu r it é
sécur isé(e) du matér iel
Les élément s du matér iel contenant des suppor t s de stockage
doivent être vér i iés pour s'assurer que toute donnée sensible et
que tout logiciel sous licence ont été suppr imés ou écrasés de façon
sécur isée, avant son élimination ou sa réutilisation.
8 Mesu r es de sécu r it é t ech n ologiques
8.1 Ter minaux inaux des Mesu r e de sécu r it é
utilisateur s
Les informations stockées, traitées ou accessibles via les terminaux
inaux des utilisateur s, doivent être protégées.
8.2 Droits d'accès pr ivilégiés Mesu r e de sé cu r it é
L'at tr ibution et l'utilisation des droits d'accès pr ivilégiés doivent
être limitées et gérées.
8.3 Restr iction d'accès aux Mesu r e de sécu r it é
infor mations
L'accès aux infor mations et autres actifs associés doit être restreint
confor mément à la politique spéci ique à la thématique du contrôle
d'accès qui a été établie.
8.4 Accès aux codes source Mesu r e de sécu r it é
L'accès en lect ur e et en écr it ur e au code sour ce, aux out ils de
développement et aux bibliothèques de logiciels doit être géré de
manière appropr iée.
8.5 Authenti ication sécur i- Mesu r e de sécu r it é
sée
Des technologies et pr océdur es d'aut hent i icat ion sécur isées
doivent être mises en œuvre sur la base des restr ictions d'accès
aux infor mations et de la politique spéci ique à la thématique du
contrôle d'accès.
8.6 Dimensionnement Mesu r e de sécu r it é
L'utilisation des ressources doit être sur veillée et ajustée selon
les besoins de dimensionnement actuels et prévus.
8.7 Protection contre les pro- Mesu r e de sécu r it é
grammes malveillants
Une pr otect ion cont r e les pr ogr ammes malveillant s doit êt r e
(malware)
mise en œ uvr e et r enfor cée par une sensibilisat ion appr opr iée
des utilisateur s.
8.8 Gestion des vulnérabili- Mesu r e de sécu r it é
tés techniques
Des infor mations sur les vulnérabilités techniques des systèmes
d'infor mat ion ut ilisés doivent êt r e obt enues, l'exposit ion de
l'organisation à ces vulnérabilités doit être évaluée et des mesures
appropr iées doivent être pr ises.
© ISO/ IEC 2022 – Tous dr oit s r éser vés 17
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

Tableau A.1 (suite)

8.9 Gestion des con igura- Mesu r e de sécu r it é
tions
Les con igurations, y compr is les con igurations de sécur ité, du
matér iel, des logiciels, des ser vices et des réseaux, doivent être
dé inies, documentées, mises en œuvre, sur veillées et révisées.
8.10 Suppression des infor ma- Mesu r e de sécu r it é
tions
Les infor mations stockées dans les systèmes d'infor mation, les
ter minaux ou tout autre suppor t de stockage doivent être suppr i-
mées lor squ'elles ne sont plus nécessaires.
8.11 Masquage des données Mesu r e de sé cu r it é
Le masquage des données doit êt r e ut ilisé confor mément à la
politique spéci ique à la thématique du contrôle d'accès de l'or ga-
nisation et d'autres politiques spéci iques à une thématique asso-
ciées, ainsi qu'aux exigences métier, tout en prenant en compte la
législation applicable.
8.12 Prévention de la fuite de Mesu r e de sécu r it é
données
Des mesur es de pr évent ion de la fuite de données doivent êtr e
appliquées aux systèmes, aux réseaux et à tous les autres terminaux
qui traitent, stockent ou transmet tent des infor mations sensibles.
8.13 Sauvegarde des infor ma- Mesu r e de sécu r it é
tions
Des copies de sauvegar de de l'infor mat ion, des logiciels et des
systèmes doivent être conser vées et testées régulièrement selon
la politique spéci ique à la thématique de la sauvegarde qui a été
convenue.
8.14 Redondance des moyens Mesu r e de sécu r it é
de traitement de l'infor-
Des moyens de tr aitement de l'infor mation doivent être mis en
mation
œ uvr e avec suf isamment de r edondances pour r épondr e aux
exigences de disponibilité.
8.15 Jour nalisation Mesu r e de sécu r it é
Des jour naux qui enr egist r ent les act ivités, les except ions, les
pannes et aut r es événement s per t inent s doivent êt r e génér és,
conser vés, protégés et analysés.
8.16 Activités de sur veillance Mesu r e de sé cu r it é
Les réseaux, systèmes et applications doivent être sur veillés pour
détecter les compor tements anor maux et des mesures appropr iées
doivent être pr ises pour évaluer les éventuels incidents de sécur ité
de l'infor mation.
8.17 Synchronisation des Mesu r e de sécu r it é
horloges
Les horloges des systèmes de traitement de l'infor mation utilisés
par l'organisation doivent être synchronisées avec des sources de
temps approuvées.
8.18 Utilisation de pro- Mesu r e de sécu r it é
grammes utilitaires à
L'ut ilisat ion des pr ogr ammes ut ilit air es ayant la capacité de
pr ivilèges
contour ner les mesures de sécur ité des systèmes ou des applica-
tions doit être limitée et contrôlée étroitement.
8.19 Installation de logiciels Mesu r e de sécu r it é
sur des systèmes opéra-
Des procédures et des mesures doivent être mises en œuvre pour
tionnels
gérer de manière sécur isée l'inst allation de logiciels sur les sys-
tèmes opérationnels.
18 © ISO/ IEC 2022 – Tous dr oit s r éser vés
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

Tableau A.1 (suite)

8.20 Sécur ité des réseaux Mesu r e de sécu r it é
Les réseaux et les ter minaux réseau doivent être sécur isés, gérés
et contrôlés pour protéger les infor mations des systèmes et des
applications.
8.21 Sécur ité des ser vices Mesu r e de sécu r it é
réseau
Les mécanismes de sécur ité, les niveaux de ser vice et les exigences
de ser vices des ser vices r éseau doivent êt r e ident i iés, mis en
œuvre et sur veillés.
8.22 Cloisonnement des Mesu r e de sécu r it é
réseaux
Les gr oupes de ser vices d'infor mation, d'utilisateur s et de sys-
tèmes d'infor mation doivent être cloisonnés dans les réseaux de
l'or ganisation.
8.23 Filtrage web Mesu r e de sécu r it é
L'accès aux sites web exter nes doit être géré pour réduire l'expo-
sition aux contenus malveillants.
8.24 Utilisation de la cr ypto- Mesu r e de sécu r it é
graphie
Des règles pour l'utilisation ef icace de la cr yptographie, notam-
ment la gestion des clés cr yptographiques, doivent être dé inies
et mises en œuvre.
8.25 Cycle de vie de dévelop- Mesu r e de sécu r it é
pement sécur isé
Des r ègles pour le développement sécur isé des logiciels et des
systèmes doivent être dé inies et appliquées.
8.26 Exigences de sécur ité des Mesu r e de sécu r it é
applications
Les exigences de sécur ité de l'infor mation doivent être identi iées,
spéci iées et approuvées lors du développement ou de l'acquisition
d'applications.
8.27 Pr incipes d'ingénier ie et Mesu r e de sécu r it é
d'architecture des sys-
Des pr incipes d'ingénier ie des systèmes sécur isés doivent êt r e
tèmes sécur isés
établis, documentés, tenus à jour et appliqués à toutes les activités
de développement de systèmes d'infor mation.
8.28 Codage sécur isé Mesu r e de sécu r it é
Des pr incipes de codage sécur isé doivent être appliqués au déve-
loppement de logiciels.
8.29 Tests de sécur ité dans le Mesu r e de sécu r it é
développement et l'accep-
Des processus pour les tests de sécur ité doivent être dé inis et mis
tation
en œuvre au cour s du cycle de vie de développement.
8.30 Développement exter na- Mesu r e de sécu r it é
lisé
L'or ganisation doit dir iger, contrôler et vér i ier les activités rela-
tives au développement exter nalisé des systèmes.
8.31 Séparation des environ- Mesu r e de sécu r it é
nements de développe-
Les environnements de développement, de test et opérationnels
ment, de test et opéra-
doivent être séparés et sécur isés.
tionnels
8.32 Gestion des changements Mesu r e de sé cu r it é
Les changements appor tés aux moyens de traitement de l'infor-
mation et aux systèmes d'infor mation doivent être soumis à des
procédures de gestion des changements.
8.33 Infor mations de test Mesu r e de sécu r it é
Les infor mations de test doivent être sélectionnées, protégées et
gérées de manière appropr iée.
© ISO/ IEC 2022 – Tous dr oit s r éser vés 19
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

Tableau A.1 (suite)

8.34 Protection des systèmes Mesu r e de sécu r it é
d'infor mation pendant
Les tests d'audit et autres activités d'assurance impliquant l'évalua-
les tests d'audit
tion des systèmes opérationnels doivent être plani iés et convenus
entre le testeur et le niveau appropr ié de la direction.
20 © ISO/ IEC 2022 – Tous dr oit s r éser vés
AFNOR (Code siret : 19753471200017) NF EN ISO/IEC 270012023-07
CNAM Pour : CNAM

ISO/ IEC 27001:2022(F)

Bibliogr aph ie

[1] ISO/ IEC 27002:2022, Sécurité de l'information, cybersécurité et protection de la vie privée —
Mesures de sécurité de l'information
[2] ISO/ IEC27003, Technologies de l'information — Techniques de sécurité —Systèmes de management
de la sécurité de l'information — Lignes directrices
[3] ISO/ IEC 27004, Technologies de l'information — Techniques de sécurité — Management de la
sécurité de l'information — Sur veillance, mesurage, analyse et évaluation
[4] ISO/ IEC 27005, Sécurité de l’information, cybersécurité et protection de la vie privée —
Préconisations pour la gestion des risques liés à la sécurité de l’information
[5] ISO 31000:2018, Management du risque — Lignes directrices
© ISO/ IEC 2022 – Tous dr oit s r éser vés 21