Il y a maintenant un peu plus de trois ans j’ai découvert la norme ISO 17799. Début 2003 j’ai décidé de me la procurer directement auprès de l’ISO à Genève (elle n’est toujours pas disponible en France auprès de l’AFNOR !).
Contrairement aux « critères communs » (ISO 15408), ISO 17799 n’est pas une norme technique, qui descend pas dans les détails d’implémentation. Par contre elle s’attaque à tous les aspects de la sécurité, pas uniquement à l’informatique. Un informaticien préférera donc certainement promouvoir ISO 15408, qui sera excellente dans son domaine. Cependant, à mon avis, il est beaucoup plus judicieux pour une entreprise de s’intéresser à ISO/IEC 17799, quitte à ensuite intégrer d’autres normes pour renforcer certains aspects de son système d’information.
Je me suis tenu à jour (toujours via la Suisse) lors de la sortie de ISO17799:2005, et surtout de ISO27001:2005 qui devrait enfin permettre des certifications.
Pour en savoir plus vous pouvez consulter mon blog Sécurité et ISO 17799.