L'ISO/CEI 27007 est une norme internationale concernant la sécurité de l'information. Elle a été publiée conjointement en 2011, puis révisée en 2017 et 2020, par l'organisation internationale de normalisation (ISO) et laCommission Électrotechnique Internationale (CEI). Son titre en français estSécurité de l'information, cybersécurité et protection des données privées — Lignes directrices pour l'audit des systèmes de management de la sécurité de l'information. Elle fait partie de la sérieISO/CEI 27000^[1].

L'objectif principal de l'ISO/CEI 27007 est d'aider les entreprises à conduire des audits efficaces de leursystème de management de la sécurité de l'information (SMSI) et s'assurer qu'il est conforme à l'ISO/CEI 27001^[2]. Elle apporte une méthodologie claire pour chaque étape de l'audit : planification, réalisation, rédaction du rapport, etc. La norme fournit pour l’audit des SMSI des recommandations qui viennent compléter celles établies par l'ISO/CEI 19011 pour l'audit dessystèmes de management en général.

L'ISO/CEI 27007 se concentre sur lesaudits internes de SMSI, dits de première partie, et les audits de SMSI réalisés par des organismes auprès de leurs parties prenantes, dits de seconde partie. Cependant elle se veut également utile pour réaliser des audits externes, dits de tierce partie, réalisés à d'autres fins que la certification^[3].

L'ISO/CEI 27007 se veut adaptée pour les organismes de n'importe quelle taille, de tous types et pour des audits et équipes d'auditeurs d'échelles variables^[3].

Le cadre spécifié dans la norme offre une large gamme de critères d'audit qui peuvent être utilisés individuellement ou conjointement pour réaliser des audits ISO 27007 approfondis. Ce périmètre couvert comprend plusieurs notions importantes pour maintenir un haut niveau en termes de sécurité de l'information^[2]:

• Exigences de l'ISO/CEI 27001
• Lignes directrices et exigences définies par les parties prenantes
• Responsabilités réglementaires et légales
• Processus et mesures de sécurité du SMSI

Les audits ISO/CEI 27007 ne servent pas seulement à s'assurer qu'un SMSI est conforme à l'ISO/CEI 27001, mais peuvent également être utilisés pour s'assurer qu'un SMSI possède un haut niveau en termes de sécurité de l'information^[4].

Réaliser régulièrement des audits de son SMSI conforme à l'ISO/CEI 27007 permet à une entreprise de bénéficier de nombreux avantages^[4]:

• Une meilleure gestion des risques : l'entreprise identifie ses faiblesses et réduit son exposition aux menaces en les corrigeant.

• Optimisation des processus de cybersécurité : l'entreprise peut, grâce à ses audits réguliers, optimiser ses processus de cybersécurité et ainsi s'assurer d'être réactive en cas de problème et de maintenir un niveau de sécurité élevé.

• Amélioration de la réputation et de la compétitivité : l'entreprise prouve son engagement envers la protection des données et la cybersécurité. Cela peut lui permettre de se démarquer auprès de clients.

Le document de l'ISO/CEI 27007 contient 4 chapitres principaux^[3]:

• Principes de l'audit;
• Management d'un programme d'audit;
• Réalisation d'un audit;
• Compétences et évaluation des auditeurs.

Puis une annexe :

• Recommandations pour la pratique d'audit de SMSI.

• Portail de la sécurité de l’information
• Portail de la sécurité informatique

• Norme ISO
• Norme CEI
• Standard en sécurité de l'information
• Standard en sécurité informatique

• Article utilisant une Infobox
• Portail:Sécurité de l'information/Articles liés
• Portail:Sécurité informatique/Articles liés
• Portail:Informatique/Articles liés