webleads-tracker

Cadre Top

Les news de la sécurité
News
Eox Partners - Audit de Sécurité
Eox Partners - Audit de Sécurité Eox Partners - Audit de Sécurité Eox Partners - Audit de Sécurité
Eox Partners : La sécurité de l'informatique pour la PME
ISO 27002
Le STANDARD INTERNATIONAL
de la sécurité de l'information
Avant-propos
ISO 27000 est une norme internationale dédiée à la sécurité informatique. Tournée résolument vers des entreprises et organisations de taille moyennes voire petites, Eox Partners ne se situe en aucun cas dans une démarche –toujours lourde- de certification, mais utilise en revanche ce standard universel comme un référentiel de bonnes pratiques dont les principes sont adaptés à la taille de nos Clients.

La série ISO 27000
ISO 27xxx représente en faite une famille complète de normes encore en cours d’élaboration

Sont actuellement publiés :

  • ISO 27000 (paru en 2009) Vue d'ensemble et vocabulaire
  • ISO 27001 (paru en 2005) définit les exigences de gestion d’un Système de Management de la Sécurité de l’Information (encore abrégé SMSI)
  • ISO 27002 (paru en 2005), anciennement 17799) est un guide de bonnes pratiques pour la gestion de la sécurité de l’information C’est sur cette norme que s’appuie notre Audit Flash de Sécurité
  • ISO 27003 (paru en 2010), guide d’implémentation du SMSI
  • ISO 27004 (paru en 2009), présente les métriques et métrages pour le mesurage d'un SMSI
  • ISO 27005 (paru en 2008), est un code de bonnes pratiques pour les objectifs et mesures de sécurité de l’information;
  • ISO 27006 (paru en 2007) définit la norme de certification du SMSI mentionné plus haut.

A venir :

  • ISO 27007 (2010/2011) audit du SMSI

ISO 27001
La norme s’appuie sur le processus « PDCA » de la roue de Deming ou de Shewhart que l’on retrouve notamment dans la norme de qualité ISO9001.



Ce schéma illustre bien qu’assurer la Sécurité du Système d’Information est un processus itératif et indéfini, dont on privilégie hélas trop souvent le « DO » au détriment des 3 autres phases !

ISO 27002
Anciennement ISO 17799, révisée en 2005, ISO 27002 est un guide de bonnes pratiques pour la gestion de la sécurité de l’information qui peut représenter un intérêt pour tout type d’organisation (entreprise, corps gouvernementaux…) quelque soit sa taille ou son secteur d’activité.

Selon ISO, cette norme a pour objectif de :
« Donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations interentreprises. » qui peut représenter un intérêt pour tout type d’organisation (entreprise, corps gouvernementaux…) quelque soit sa taille ou son secteur d’activité.

Concrètement, ISO 27002 se décline en 11 thèmes :

  1. La politique de sécurité
  2. L’organisation de la sécurité de l’information
  3. La gestion des actifs
  4. La sécurité des ressources humaines
  5. La sécurité physique et environnementale
  6. La gestion de la communication et de l’exploitation
  7. Les contrôles d’accès
  8. L’acquisition, le développement et la maintenance des systèmes d’information
  9. La gestion des incidents de sécurité de l’information
  10. La gestion de la continuité des affaires
  11. La conformité

Contrairement à ISO 27001, ISO 27002 ne peut être utilisée pour une certification formelle, mais constitue en revanche un excellent référentiel pour l’audit et la mise en conformité.

Qu’est-ce qu’un SMSI ?
Le système de management de la sécurité de l’information (SMSI, SGSI ou ISMS en Anglais) est une partie du système de gestion global de l’entreprise. Il repose sur une gestion des risques d’affaires relatifs à l’information.
Le concept phare du SMSI est d’établir, d’implémenter et de maintenir un ensemble de processus de gestion pour une sécurité de l’information effective.

Le SMSI assure la confidentialité, l’intégrité et la disponibilité de l’information grâce à des politiques, des objectifs, des processus et des procédures.

Avant tout enjeu de gestion, avant d’être un enjeu technique ou relatif aux technologies de l’information, il est préférable que le SMSI soit fortement ancré dans l’entreprise et dans sa culture.
Enfin, comme tout processus de gestion, il doit, pour rester efficace et efficient sur le long terme, être évalué et révisé régulièrement. C’est l’objet du modèle PDCA proposé par ISO 27001.

WordPress Appliance - Powered by TurnKey Linux