La quête vers le Saint Graal de la sécurité informatique, atteindre un niveau optimal, est longue et difficile.Dans l'arsenal des outils à sa disposition, une direction ne peut éviter de se poser la question de la certification.
La norme ISO 2700x est elle le Saint Calice de cette quête ?
Mais alors toute une série de questions se posent à elle devant la profusion des articles de presse contradictoires.La démarche ISO 2700x est-elle comparable à une politique de qualité au sens industriel du terme ?
Aide t elle à communiquer mieux avec les autres fonctions de l'entreprise ? 
Quel ancrage dans le fonctionnement quotidien ?
Simple guide de bonnes pratiques ou démarche de progrès ?. 
Outil de management ou reconnaissance externe sans rapport avec le niveau réel de sécurité ? Quel intérêt pour les petites structures : mairies, PME/PMI, start-up, services administratifs, universités, centres de recherche ?Cette norme est-elle assimilable à une méthode ? 
Quels sont les liens avec le management du risque ? Permet-elle d'assurer une certaine forme de pérénité quant au niveau de sécurité ?
Est-elle systématiquement reproductible ?
Est-elle incontournable ? Liens avec ISO9001, avec ISO 20000 ( management du SI) , avec ITIL. 46 inscrits