Quelle est la différence entre ISO 27001 et ISO 27005 ?

ISO/IEC 27001:2022 est la norme certifiable qui définit les exigences d'un Système de Management de la Sécurité de l'Information (SMSI). ISO/IEC 27005:2022 est une norme de lignes directrices, non-certifiable, qui détaille comment gérer les risques de sécurité de l'information. ISO 27001 spécifie qu'il faut gérer les risques ; ISO 27005 explique comment.

ISO/IEC 27001:2022 définit les exigences d'un SMSI : périmètre, politiques, gouvernance, traitement des risques, mesures de contrôle (Annexe A — 93 contrôles répartis en quatre thèmes), surveillance et amélioration continue. C'est la norme contre laquelle un organisme accrédité audite votre organisation pour délivrer un certificat.

ISO/IEC 27005:2022 ne définit pas d'exigences certifiables. Elle fournit des lignes directrices méthodologiques pour exécuter la gestion des risques exigée par la clause 6.1 d'ISO 27001 : appréciation des risques (6.1.2) et traitement des risques (6.1.3).

Une organisation peut être certifiée ISO 27001 sans citer explicitement ISO 27005 dans sa documentation, à condition de démontrer un processus de gestion des risques rigoureux. Dans la pratique, ISO 27005 est couramment utilisée comme référence méthodologique, mais elle n'est pas obligatoire.

Côté certifications individuelles PECB, les deux familles sont distinctes et complémentaires. ISO 27001 propose Foundation, Lead Implementer et Lead Auditor. ISO 27005 propose Foundation, Risk Manager et Lead Risk Manager.

Related Information

  • ISO 27001:2022 : norme certifiable, exigences d'un SMSI
  • ISO 27005:2022 : norme non-certifiable, lignes directrices pour la gestion des risques
  • Articulation : ISO 27005 aide à mettre en œuvre la clause 6.1 d'ISO 27001
  • Méthode alternative reconnue : EBIOS Risk Manager (ANSSI)
  • Parcours-type PECB : Lead Implementer ISO 27001 + Risk Manager ISO 27005

Topics

ISO 27001ISO 27005Risk ManagementPECB

From Course

ISO 27005 Risk Manager

Learn more about this course and related topics

Related Answers

1

Quelle est la différence entre ISO 27005 et ISO 31000 ?

ISO 31000:2018 est la norme internationale généraliste de gestion des risques, applicable à tout type de risque dans toute organisation. ISO/IEC 27005:2022 est alignée sur les principes d'ISO 31000 et basée sur sa structure, mais elle se concentre spécifiquement sur les risques liés à la sécurité de l'information.

byGerhard ROTTER

Read more
2

Qu'est-ce que la norme ISO/IEC 27005 ?

ISO/IEC 27005:2022 est la norme internationale qui fournit des lignes directrices pour la gestion des risques liés à la sécurité de l'information. Publiée en octobre 2022 par l'ISO et la CEI, elle aide les organisations à mettre en œuvre les exigences de gestion des risques de la clause 6.1 d'ISO/IEC 27001. C'est une norme non-certifiable : elle fournit des lignes directrices, pas des exigences certifiables.

byTania POSTIL

Read more
3

Quelle est la durée d'une formation ISO 27005 Risk Manager ?

La formation PECB Certified ISO/IEC 27005 Risk Manager dure 5 jours (40 heures), examen inclus. L'examen de certification dure 2 heures et se déroule le dernier jour de formation.

byMarc BOUVIER

Read more

Nous utilisons des cookies pour améliorer votre expérience

Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.

Quelle est la différence entre ISO 27001 et ISO 27005 ? – ISO 27001 vs ISO 27005 : quelle différence ? – ISO 27005 Risk…