ISO/CEI 27001 PDF

1 ISO ?  L’iso est l’abréviation d’Internationnal Standard Organisation réuni des experts du monde entier pour créer des normes adoptées partout dans le monde, ces experts établissent des documents qui définissent des exigences, des spécifications, des lignes directrices ou des caractéristiques a utilisé systématiquement pour assurer l’aptitude à l’emploi des matériaux, produits, processus et services. 2  Les experts constituent un comité technique responsable d’un domaine donné. Le processus débute par l’élaboration d’un projet répondant à un besoin spécifique du marché. Ce projet est ensuite diffusé en vue de recueillir des observations, puis examiné de manière approfondie.  Le processus de vote est la clé du consensus. Lorsque ce dernier est atteint, le projet est en bonne voie pour devenir une norme ISO. En l’absence d’accord, le projet est alors modifié et soumis à un nouveau vote.  De la soumission d’une première proposition à la publication finale, l’élaboration d’une norme s’étend généralement sur trois ans. 3  Le diagramme ci-après expose en détail les principaux stades du processus d’élaborations. document préliminaire au projet La proposition le projet de travail le premier projet du comité d’élaboration de la norme projet pour enquête, soumis à l’avis du public projet final de norme la norme internationale 4  En apportant des avantages réels et mesurables dans pratiquement tous les domaines imaginables, les normes ISO servent de base au technologies que nous utilisons en assurant la qualité voulu Quelque exemples sur des normes : ISO 16949 : référentiel connu basé sur la norme 9001 avec des exigences propre au marché de l’automobile. ISO 9899 : avec des exigences sur la TIC « technologie des l’information et de la communication » qui sont d’une manière général une collection d’en-tètes et des routines utilisées pour implémenter des opérations courantes dans le langage C. La Famille 2700X:La suite ISO/CEI 27000 (aussi connue sous le nom de Famille des standards SMSI ) comprend les normes de sécurité de l’information. La suite contient des recommandations des meilleures pratiques en management de la sécurité de l'information, pour l'initialisation, l'implémentation ou le maintien de SMSI, ainsi qu'un nombre croissant de normes liées au System de Management des Systèmes d’Information. 5 La norme ISO/CEI 27001 est considérée La norme comme la ISO/CEI 27001 norme la plus trône à la 5ème célèbre de la position des famille des normes les plus ISO/CEI 27000 délivrées en et une des plus 2016 avec un délivrées dans total de 33 290 le monde. certifications en 2016 et une augmentation de 21% 6 ISO /CEI 27001: Pourquoi c’est si important ?  Généralités: La présente Norme internationale a été élaborée pour fournir des exigences en vue de l’établissement, de la mise en œuvre, de la tenue à jour et de l’amélioration continue d’un SMSI. L’adoption de ce dernier relève d’une décision stratégique de l’organisation. L’établissement et la mise en œuvre d’un SMSI d’une organisation tiennent compte des besoins et des objectifs de l’organisation, des exigences de sécurité, des processus organisationnels mis en œuvre, ainsi que de la taille et de la structure de l’organisation. 7  Le système de management de la sécurité de l’information préserve la confidentialité, l’intégrité et la disponibilité de l’information en appliquant un processus de gestion des risques et donne aux parties intéressées l’assurance que les risques sont gérés de manière adéquate. 8 Historique de ISO/IEC27001 La norme ISO/CEI 27001 porte sur le management de la sécurité et de l’information. Elle tire ses origines de la norme britannique BS 7799-2:2002 « Technologie de l’information – Guide pratique pour le management de la sécurité de l’information», dont la première version a été publiée en 1999. En 2005, l’ISO adopte et améliore cette norme pour donner naissance à la norme ISO/CEI 27001. Cette norme vise à la mise en place d’un système de management de la sécurité de l’information efficace. En 2013, celle-ci a été révisée, se rapprochant d’une structure similaire aux autres normes de systèmes de management (ISO 9001, ISO 14001…) La norme est actuellement en cours de révision depuis le 19/05/2017. 9 Contrôle et Domaine d’application  La présente Norme comporte également des exigences sur l’appréciation et le traitement des risques de sécurité de l’information, adaptées aux besoins de l’organisation. Les exigences fixées dans cette Norme sont génériques et prévues pour s’appliquer à toute organisation, quels que soient son type, sa taille et sa nature. Il n’est pas admis qu’une organisation s’affranchisse de l’une des exigences spécifiées lorsqu’elle revendique la conformité à la présente Norme internationale. 10 Bénéfice d’une certification et les inconvénients Avantage externe: Avantage interne: Inconvénients: - Assurer les clients - Confiance dans les - Certification longue à - alléger la diligence processus mettre en place, entre 6 raisonnable des clients - Réduisez le coûts de et 12 mois selon - Conformité réglementaire Management et Controle l’entreprise - Satisfaire les besoins - L’ensemble des exigences Avantages commercial: d'audit doit être respecté - Avantage compétitif - Nécessite d’avoir un - Protégez votre réputation RSSI - Éliminez les obstacles dans le - Le coût de la démarche processus de vente varie d’une structure à l’autre 11 Structure de la norme Clauses 0 à 3: Définitions générales et contenu Clauses 4 à 10: 7 clauses concernant votre ISMS Conformité obligatoire Annexe A - 114 contrôles sur 14 domaines Conformité obligatoire Références bibliographique 12 Clauses 4 - 10 Clause Description 4 Contexte de l'organisation 5 leadership 6 planification 7 soutien 8 Opération 9 Évaluation du rendement 10 amélioration 7 Clauses relatives à la nature et au fonctionnement de SMSI 13 * Description Nombre de contrôles 1 politique de sécurité 2 2 Organisation de la sécurité de l'information 7 3 sécurité du personnel 6 4 Gestion des actifs 10 Annexe A 5 contrôle des accès 14 6 Cryptographie 2 7 Sécurité physique et environnementale 15 8 Sécurité des opérations 14 9 Sécurité des communications 7 10 Acquisition, développement et 13 maintenance de systèmes 11 Relations fournisseurs 5 12 Gestion des incidents de sécurité de 7 l'information 13 Aspects de la sécurité de l'information liés 4 à la continuité des activités 14 14 Conformité 8 14 La différence entre les versions 2005 et 2013 de la norme Norme ISO/CEI 27001 :2005 Norme ISO/CEI 27001 :2013 Structure 5 clauses spécifiées qui approchent les SMSI à partir 7 clauses spécifiées, qui ne sont pas obligées d’être d’une approche managériale suivies dans l’ordre listé Processus de mise en application Utilisation explicite du PDCA Le standard n’impose aucun modèle particulier. Il implique cependant d’utiliser un processus d’amélioration continue. Contrôles L'annexe A contient 133 points de contrôles divisés L'annexe A contient 114 points de contrôles divisés en 11 catégories. Les contrôles externes sont utilisés en 14 catégories. Les contrôles (de n'importe quelle pour pallier aux points non traités par l'Annexe des source) sont identifiés avant de se référencer à contrôles l’Annexe A. 15 16 HLS(High Level Structure)?? La norme ISO/CEI 27001:2013 est conforme à HLS. Il s’agit d’une nouvelle structure appliquée dans le cadre commun des normes ISO/CEI. La structure HLS est une approche systématique qui facilite l’identification et le management des normes. Cette nouvelle approche permet de rendre plus efficace l’élaboration des normes ainsi que de simplifier la mise en application de celles-ci. La nouvelle version de la norme ISO/CEI 27001 comprend 10 chapitres principaux (Domaine d’application, Références normatives, Termes et définitions, Contexte de l’organisme, Responsabilité de la direction, Planification, Support, Activités opérationnelles, Evaluation de la performance et Amélioration). Les 3 premiers chapitres sont généraux et les 7 suivants illustrent les exigences de la norme, pouvant former un modèle de PDCA 17 Articles relatifs à la planification Contexte de l’organisme  L’idée est de prendre de la hauteur, de regarder le contexte pour définir le périmètre du SMSI. Pour ce faire l’organisme prend en compte ses propres enjeux, ainsi que les exigences des parties intéressées 18 Articles relatifs à la planification Leadership  Ce chapitre met en avant le rôle de la direction,  La direction définit la politique, assure la disponibilité et l’intégrité des ressources(les informations) et de manière générale promeut le SMSI et s’assure de sa bonne mise en œuvre. 19 Articles relatifs à la planification Planification En plus de la planification des objectifs, l’organisme planifie les actions mise en place pour réduire les risques lié à la sécurité et saisir les opportunités. Au sens du texte, planifier demande de définir: ce qui doit être fait, les ressources nécessaires, les responsabilités, les modalités de mise en œuvre, les échéances et les moyens d’évaluation de l’efficacité. 20 Articles relatifs à la planification Soutien  Le soutien aux activités de l’organisme s’articule autour: Des ressources Des informations De la communication  Comme vu dans le leadership, les ressources sont multiples. Dans le cas des ressources humaines, les compétences doivent être définies et prouvées. L’article insiste sur la sensibilisation du personnel, qui doit se sentir impliqué.  La notion d’information documentée permet à l’organisme de gérer ses connaissances. 21 Article relatif à la réalisation Fonctionnement (operations)  L’organisme découpe ses activités de gestion de SMSI en processus (internes et externes) sur lesquels sont posés des critères.  critère: références pour effectuer une comparaison 22 Article relatif à l’évaluation Évaluation des performances  L’organisme définit les activités de surveillance, de mesure, d’analyse et d’évaluation des risques (quoi, quand, comment).  Des audits internes sont pratiqués pour avoir une bonne vision du SMSI (conformité aux exigences, efficacité,…).  Lors des revues de direction, la direction procède à la revue du SMSI , en tenant compte des enjeux de l’organisme, des informations sur les performances, des actions en cours, 23 Article relatif à l’amélioration Amélioration  L’organisme s’inscrit dans une dynamique d’amélioration continue.  En cas de non-conformité, l’organisme doit la maîtriser, la corriger et faire face aux conséquences. Si les causes de la non conformité peuvent se reproduire l’organisme devra mener une action corrective pour les éliminer, avec un impact potentiel sur le SMSI. 24 Processus de certification - L’audit initial porte sur l’ensemble du SMSI. L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de validation technique, puis par un comité de certification. Ce n’est qu’après cela que le certificat initial est délivré pour une durée de trois ans. - L’audit de surveillance, annuel, a lieu pendant la période de validité du certificat (3 ans) afin de s’assurer que le SMSI est toujours valable. L’audit porte notamment sur les écarts ou non-conformités relevés lors de l’audit initial. - L’audit de renouvellement se déroule à l’échéance du certificat. Il porte sur les non-conformités du dernier audit de surveillance ainsi que sur la revue des rapports des audits de surveillance précédents et la revue des performances du SMSI sur la période 25

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue