Normes de gestion de la sécurité des informations ISO/IEC 27001:2013ISO/IEC 27001:2013 Information Security Management Standards

Présentation de la norme ISO/IEC 27001ISO/IEC 27001 overview

L’Organisation internationale de normalisation ISO est une organisation non-gouvernementale indépendante et le plus grand développeur au monde de normes internationales volontaires.The International Organization for Standardization (ISO) is an independent nongovernmental organization and the world's largest developer of voluntary international standards. La Commission électrotechnique internationale IEC est la première organisation au monde de préparation et de publication de normes internationales pour les technologies électriques, électroniques et associées.The International Electrotechnical Commission (IEC) is the world's leading organization for the preparation and publication of international standards for electrical, electronic, and related technologies.

Publiée sous l’égide du sous-comité commun ISO/IEC, la famille de normes ISO/IEC 27000 souligne des centaines de contrôles et de mécanismes de contrôle pour aider les organisations de tous types et de toutes tailles à sécuriser des informations.Published under the joint ISO/IEC subcommittee, the ISO/IEC 27000 family of standards outlines hundreds of controls and control mechanisms to help organizations of all types and sizes keep information assets secure. Ces normes internationales fournissent un cadre pour des stratégies et des procédures qui incluent tous les contrôles juridiques, physiques et techniques impliqués dans les processus de gestion des risques liés aux informations d’une organisation.These global standards provide a framework for policies and procedures that include all legal, physical, and technical controls involved in an organization's information risk management processes.

ISO/IEC 27001 est une norme de sécurité qui spécifie formellement un système de gestion de sécurité de l’information (ISMS) qui vise à apporter une sécurité des informations dans le cadre d’un contrôle de gestion explicite.ISO/IEC 27001 is a security standard that formally specifies an Information Security Management System (ISMS) that is intended to bring information security under explicit management control. En tant que spécification formelle , elle rend obligatoires des exigences qui définissent comment implémenter, surveiller, tenir à jour et améliorer en continu l’ISMS.As a formal specification, it mandates requirements that define how to implement, monitor, maintain, and continually improve the ISMS. Elle prévoit également un ensemble de pratiques idéales qui incluent des exigences de documentation, de partage de responsabilité, de disponibilité, de contrôle d’accès, de sécurité, d’audit ainsi que des mesures correctives et préventives.It also prescribes a set of best practices that include documentation requirements, divisions of responsibility, availability, access control, security, auditing, and corrective and preventive measures. La certification ISO/IEC 27001 aide les organisations à se conformer à plusieurs exigences légales et réglementaires relatives à la sécurité des informations.Certification to ISO/IEC 27001 helps organizations comply with numerous regulatory and legal requirements that relate to the security of information.

Microsoft et la norme ISO/IEC 27001Microsoft and ISO/IEC 27001

L’applicabilité et l’acceptation internationales d’ISO/IEC 27001 sont les raisons clés expliquant la raison pour laquelle une certification à cette norme est au cœur de l’approche de Microsoft sur la mise en œuvre et la gestion de la sécurité des informations.The international acceptance and applicability of ISO/IEC 27001 is the key reason why certification to this standard is at the forefront of Microsoft's approach to implementing and managing information security. L’objectif de la certification par Microsoft à la norme ISO/IEC 27001 marque son engagement à respecter les promesses faites au client sur le plan de la conformité au niveau de l’activité et de la sécurité.Microsoft's achievement of ISO/IEC 27001 certification points up its commitment to making good on customer promises from a business, security compliance standpoint. Azure Public et Azure Allemagne sont actuellement audités une fois par an par un organisme agréé tiers de certification pour leur conformité à la norme ISO/IEC 27001, fournissant une validation indépendante indiquant que des contrôles de sécurité sont en place et fonctionnent efficacement.Currently, both Azure Public and Azure Germany are audited once a year for ISO/IEC 27001 compliance by a third-party accredited certification body, providing independent validation that security controls are in place and operating effectively.

Découvrez les avantages de la norme ISO/IEC 27001 sur le cloud Microsoft : télécharger la fiche d'information de la norme ISO/IEC 27001:2013Learn about the benefits of ISO/IEC 27001 on the Microsoft Cloud: Download the ISO/IEC 27001:2013

Services Cloud Microsoft concernésMicrosoft in-scope cloud services

Audits, rapports et certificatsAudits, reports, and certificates

Cycle d’audit : les services cloud computing Microsoft sont audités au moins une fois par an au regard de la norme ISO 27001:2013.Audit cycle: Microsoft cloud services are audited at least annually against the ISO 27001:2013 standard.

AzureAzure

Office 365Office 365

Azure DevOps ServicesAzure DevOps Services

Services professionnels MicrosoftMicrosoft Professional Services

Évaluations et rapportsAssessments and reports

AzureAzure

Office 365Office 365

Azure DevOps ServicesAzure DevOps Services

Voir rapports d’audit complémentairesSee additional audit reports

Foire aux questionsFrequently asked questions

Pourquoi la conformité de Microsoft avec ISO/IEC 27001 est-elle importante ?Why is Microsoft compliance with ISO/IEC 27001 important?

La conformité à ces normes, confirmée par un auditeur agréé, démontre que Microsoft utilise des meilleures pratiques et des processus reconnus internationalement pour gérer l’infrastructure et l’organisation qui soutient et fournit ses services.Compliance with these standards, confirmed by an accredited auditor, demonstrates that Microsoft uses internationally recognized processes and best practices to manage the infrastructure and organization that support and deliver its services. Le certificat confirme que Microsoft a mis en œuvre les directives et les principes généraux d’initiation, d’implémentation, de tenue à jour et d’amélioration de la gestion de la sécurité des informations.The certificate validates that Microsoft has implemented the guidelines and general principles for initiating, implementing, maintaining, and improving the management of information security.

Où puis-je obtenir les déclarations de champ d’application et les rapports d'audit ISO/IEC 27001 pour les services Microsoft ?Where can I get the ISO/IEC 27001 audit reports and scope statements for Microsoft services?

Le portail d’approbation de services fournit des rapports de conformité audités indépendamment.The Service Trust Portal provides independently audited compliance reports. Vous pouvez utiliser le portail pour demander des rapports afin que vos auditeurs puissent comparer les services Cloud Microsoft à vos propres exigences légales et réglementaires.You can use the portal to request reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

Microsoft exécute-t-elle des tests annuels pour les défaillances d’infrastructure ?Does Microsoft run annual tests for infrastructure failures?

Oui.Yes. Le processus annuel de certification ISO/IEC 27001 pour le groupe Microsoft Cloud Infrastructure and Operations inclut un audit de la résistance opérationnelle.The annual ISO/IEC 27001 certification process for the Microsoft Cloud Infrastructure and Operations group includes an audit for operational resiliency. Pour afficher le plus récent certificat, cliquez sur le lien ci-dessous.To preview the latest certificate, click the link below.

Où dois-je commencer concernant l’effort de conformité ISO/IEC 27001 de mon organisation ?Where do I start my organization's own ISO/IEC 27001 compliance effort?

L’adoption d’ISO/IEC 27001 est un engagement stratégique.Adopting ISO/IEC 27001 is a strategic commitment. Commencez par consulter l'Annuaire ISO/IEC 27000.As a starting point, consult the ISO/IEC 27000 Directory.

Puis-je tirer profit de la conformité ISO/IEC 27001 des services Microsoft dans la certification de mon organisation ?Can I use the ISO/IEC 27001 compliance of Microsoft services in my organization's certification?

Oui.Yes. Si votre activité nécessite la certification ISO/IEC 27001 pour des implémentations déployées dans des services Microsoft, vous pouvez utiliser la certification applicable dans votre évaluation de la conformité.If your business requires ISO/IEC 27001 certification for implementations deployed on Microsoft services, you can use the applicable certification in your compliance assessment. Il vous incombe néanmoins de mobiliser un évaluateur pour mesurer la mise en œuvre de la conformité à l’ISO/IEC 27001 ainsi que les contrôles et les processus au sein de votre propre organisation.You are responsible, however, for engaging an assessor to evaluate the controls and processes within your own organization and your implementation for ISO/IEC 27001 compliance.

Utilisez le Gestionnaire de Conformité Microsoft pour évaluer vos risquesUse Microsoft Compliance Manager to assess your risk

Le Gestionnaire de Conformité Microsoft est une fonctionnalité dans le centre de conformité Microsoft 365 pour vous aider à comprendre la position de la conformité de votre organisation et à prendre des mesures pour réduire les risques.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Le Gestionnaire de conformité offre une évaluation prédéfinie de cette réglementation pour les clients d’Entreprise E5.Compliance Manager has a pre-built assessment for this regulation for Enterprise E5 customers. Recherchez le modèle de création de l’évaluation sur la page des modèles d’évaluation dans le Gestionnaire de Conformité.Find the template for building the assessment in the assessment templates page in Compliance Manager. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.Learn how to build assessments in Compliance Manager.

RessourcesResources

Livres blancsWhite papers