Cette famille est constituée de documents. Certains sont des exigences, d’autres sont des lignes directrices. On parle d’un standard.
Cette famille a été émise conjointement par l’Organisation Internationale de normalisation (International Standard Organisation : ISO) et la Commission Electronique Internationale (CEI), d’où le nom d’ISO/CEI ou ISO/IEC en anglais.
Les concepts de base et le vocabulaire sont exposés dans l’ISO/IEC 27000 qui peut servir comme point d’entrée à la certification. Il couvre les termes et les concepts utiles à la norme.
ISO/IEC 27001 est l’une des trois exigences de la famille 27000. Elle spécifie les exigences relatives aux systèmes de management de la sécurité de l’information (le SMSI)
Obtenir la certification ISO/IEC 27001 démontre que votre entreprise a bien pris conscience de l’importance de la sécurité de l’information. La certification doit être renouvelée tous les 3 ans, avec un point de contrôle tous les ans. Durant toutes ces étapes, l’entreprise doit démontrer qu’elle gagne en maturité face aux risques de sécurité de l’information. L'amélioration continue est primordiale dans ce processus. L’ISO/IEC 27006 est une exigence dédiée aux organismes qui procèdent aux audits de certification des systèmes de management de la sécurité de l’information. L’ISO/IEC 27009 est la troisième liste d’exigences donnant lieu à une certification. Il s’agit d’un complément à l’ISO/IEC 27001 pour des domaines spécifiques. Elle permet d’adapter certaines mesures afin d’être conformes avec la réalité de certaines entreprises.Le code des bonnes pratiques est détaillé dans l’ISO/IEC 27002. Vous y retrouverez un guide d’implémentation des contrôles à mettre en place. Si vous débutez dans l’implémentation du SMSI, ce document doit être lu et compris.
L’ISO/IEC 27003 est le guide de mise en œuvre de la norme. Il décrit le mécanisme de conception du SMSI, de la définition du périmètre à sa mise en place. En autres, il contient les process permettant d’identifier les actifs du périmètre et leurs risques associés. Les indicateurs de performances, leur choix et exploitations sont décrits dans l’ISO/IEC 27004. Le document explique comment bien les choisir et les exploiter. Ces indicateurs permettent de mesurer l’écart entre les objectifs à atteindre et la réalité. Les risques liés à la sécurité de l’information de l’entreprise sont détaillés dans l’ISO/IEC 27005. Il s’agit d’un guide de risques non exhaustifs. Il permet d’apporter une méthode d’analyse. Il est à noter que du fait de sa popularité, beaucoup d’entreprises préfèrent appliquer la norme EBIOS pour l’analyse de leurs risques. L’ISO/IEC 27007 et 27008 sont des guides destinés à comprendre ou à réaliser les audits. Ils peuvent être utiliser dans le cadre d’un audit interne ou externe.Enfin les lignes directrices suivantes sont spécifiques à des secteurs : ISO/IEC 27011 pour les organismes de télécommunications. ISO 27799 pour la santé et dépositaire d’informations de santé.