ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

Dimension: px
Commencer à balayer dès la page:

Download "ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)"

Transcription

1 ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) P 1

2 1 Définition de la sécurité de l'information L'information est une ressource qui, à l'instar d'autres ressources notoires, représente une valeur considérable et doit donc être protégée de manière appropriée. La sécurité de l'information protège l'information d'une multitude de menaces pour assurer la continuité de l'institution, limiter les dommages et contribuer au maximum à obtenir les résultats et opportunités. La sécurité de l'information se caractérise par la garantie de la confidentialité (confidentiality), de l'intégrité (integrity) et de la disponibilité de l'information. En outre, la sécurité de l'information proposera des moyens pour refuser les informations falsifiées et prévenir le refus d'informations légitimes. Dans l'ar de 1993 concernant la sécurité de l'information dans les Institutions de sécurité sociale, la sécurité de l'information est définie comme la prévention et la réparation rapide et efficace de dommages aux données sociales et de violations illégitimes de la vie privée des intéressés. 2 Objectif de la sécurité de l'information à la Banque Carrefour de la Sécurité Sociale. La sécurité de l'information à la Banque Carrefour de la Sécurité Sociale vise la garantie et le bon fonctionnement des activités de la Banque Carrefour de la Sécurité Sociale, premièrement axée sur la prévention de dommages, en vue de la réalisation des objectifs formulés dans sa mission. De manière plus générale, elle a en outre comme objectif de prévenir les dommages qui peuvent toucher le bon fonctionnement des systèmes d'information de la sécurité sociale d'une part et la vie privée des intéressés d'autre part. En effet, l'informatisation des institutions de sécurité sociale et la collaboration croissante offrent d'énormes progrès sur le plan de l'effectivité et de l'efficacité mais donnent en même temps naissance à de nouveaux risques. Les institutions distinctes de sécurité sociale ne sont plus des entités indépendantes de traitement de l'information, mais font partie d'un groupe cohérent. Les liens de collaboration en évolution augmentent considérablement le risque et l'ampleur de dommages réfléchis sur d'autres systèmes que celui victime du dommage de base. C'est pourquoi la vision en matière de sécurité de l'information et de protection de la vie privée est définie communément. Une perturbation importante de la sécurité de l'information à la Banque Carrefour de la Sécurité Sociale aura un impact négatif sur le fonctionnement de la sécurité sociale. La sécurité de l'information s'obtient par la mise en œuvre d'une série de mesures politiques ou de contrôles (fonctions hardware et software, processus, procédures, structures organisationnelles). Ceux-ci doivent être mis au point pour réaliser les objectifs de sécurité de l'organisation. La politique de sécurité doit reposer sur un modèle en couches impliquant plusieurs mesures complémentaires. La sécurité qui peut être atteinte par des moyens techniques ne constitue qu'une des couches. Ces moyens doivent aussi être complétés par un système de gestion efficace et les processus nécessaires. Un élément fondamental pour une bonne sécurité de l'information est la participation de tous les collaborateurs dans l'entreprise. De même, le concours des fournisseurs, des clients et partenaires d'entreprise est importante. P 2

3 Le système intégré qui doit permettre d'aboutir à une sécurité maximale de l'information est un Information Security Management System (ISMS). Les mesures concrètes pour atteindre une sécurité maximale de l'information s'appellent "mesures politiques" ou "contrôles". 2.1 Obligations légales et normes minimales de sécurité Dans le cadre de la sécurité de l'information de la sécurité sociale, plusieurs obligations légales et normes minimales doivent également être satisfaites. Ces dispositions concernées sont mentionnées en annexe 1 (éventuellement à adapter par l institution). 3 Approche générale de la sécurité de l'information à la Banque Carrefour de la Sécurité Sociale. 3.1 Approche générale de la sécurité de l'information Le ISMS est basé sur la norme ISO Dans ce cadre, il est tenté de trouver un équilibre objectif entre un certain nombre de mesures préventives (prévention d'incidents de sécurité) et répressives (limitation des conséquences négatives d'incidents). P 3

4 L'approche générale peut être résumée comme suit : 1. Politique de sécurité de l'information Définition de la portée 2. Organisation de la sécurité 3. Exigences de sécurité - inventaire des ressources analyse des risques 4. Sélection et mise en œuvre des contrôles 5. Planning de continuité 6. Training et formation 7. Documentation et déclaration d'applicabilité 8. Contrôle, audit, évaluation et amélioration 1. Revoir régulièrement la "Politique de sécurité de l'information" et la diffuser dans l'organisation. La portée (scope) de la politique doit être définie en termes d'organisation, de localisation et de ressources. 2. Adapter l'organisation de la sécurité aux besoins en évolution avec une désignation claire de responsabilités, tâches et compétences. 3. Définir les exigences en matière de sécurité pour les ressources dans la portée de la politique de sécurité, réaliser un inventaire et une analyse des risques. 4. Sélectionner et mettre en œuvre les contrôles de sécurité pour prévenir les risques. Les coûts des mesures de sécurité doivent être en équilibre tant avec la valeur de la ressource pour l'entreprise qu'avec le dommage que peut causer un incident. 5. Le planning de continuité est axé sur la poursuite des processus critiques d'entreprise. 6. Un programme de formation est prévu pour former les collaborateurs à manier les informations et les systèmes ICT 1 avec soin et vigilance. 7. Le ISMS est entièrement documenté et une motivation est donnée pour la méthode de travail ISMS ("Déclaration d'applicabilité"). 8. La surveillance des mesures de sécurité est complétée par un audit interne et externe. Des actions d'amélioration en découlent. 1 ICT : information and communication technology P 4

5 4 "Politique de sécurité de l'information à la Banque Carrefour de la Sécurité sociale. Introduction Dans un ISMS, la "Politique de sécurité de l'information" est un document de base important. La direction de la Banque Carrefour de la Sécurité Sociale y énonce les principes fondamentaux de la sécurité de l'information que doit respecter chaque travailleur de l'entreprise. Les paragraphes suivants présentent, sans entrer dans les détails, les principales mesures politiques qui cadrent dans le ISMS de la Banque Carrefour de la Sécurité sociale. Il est donc important que chaque travailleur connaisse le contenu de ce document. Les divers aspects mentionnés dans cette charte seront détaillés dans des documents politiques spécifiques ("policies"). Lors de la protection d une ressource spécifique (voir paragraphe précédent), cette politique sera également détaillée en fonction de la protection spécifique que requiert cette ressource. Ce document sera revu périodiquement, entre autres après évaluation de la politique à l'occasion d'incidents de sécurité importants, de nouvelles vulnérabilités ou de changements dans l'infrastructure organisationnelle ou technique (responsable du document : chef du service de sécurité de l'information). Portée (scope) La "Politique de sécurité de l'information" s'applique à tous les systèmes d'information développés, opérationnels et à développer de tous les sites de la Banque Carrefour de la Sécurité Sociale. Elle s'applique à tous les membres du personnel de la Banque Carrefour de la Sécurité Sociale. Elle s'applique aux travailleurs externes occupés temporairement ou de durée indéterminée à la Banque Carrefour de la Sécurité Sociale (ex. sous-traitants, consultants, fournisseurs,...). Des mesures complémentaires peuvent s'appliquer aux membres du personnel détaché sur une base semi-permanente dans d autres institutions de sécurité sociale. 4.1 Organisation de la sécurité La politique liée à l'organisation de la sécurité a pour objectif de gérer la sécurité de l'information au sein de l'organisation Cette organisation de la sécurité cadre dans les structures définies dans la législation sur la sécurité de l'information dans les institutions de sécurité sociale. Dans ceci, le service chargé de la sécurité de l information a un rôle déterminant Le "Forum de management pour la sécurité de l'information" veille à mener la politique de sécurité : révision de la politique, ajout de mesures de sécurité, établissement de plans de sécurité, détermination des responsabilités et surveillance des menaces et incidents en évolution. P 5

6 Si un tel forum n'existe pas, celui-ci doit être créé L'incident response team (IRT) a la responsabilité de réagir de façon appropriée aux incidents de sécurité. Cette équipe veille à minimaliser le dommage résultant d'incidents de sécurité et de perturbations, à contrôler de tels incidents et à introduire des améliorations sur la base de l'expérience acquise. Si un tel team n'existe pas, celui-ci doit être créé Dans ce cadre sont désignées les responsabilités pour la sécurité de l'information Une attention particulière est accordée aux aspects organisationnels de la collaboration avec des tiers (ex. assignation de tâches). Les aspects de sécurité de la collaboration sont définis dans des contrats. Il faut également souligner l'obligation d'échange d'informations entre les organismes de sécurité sociale d'une part et l'extranet de la sécurité sociale d'autre part Dans le cadre de la sécurisation physique et de la sécurisation de l'environnement, le service de sécurité de l'information et le service de sécurité du travail doivent collaborer étroitement. 4.2 Classification et gestion des ressources La politique relative à la classification et la gestion des ressources a pour objet le maintien d'une protection adéquate de ces ressources Il est tenu compte du fait que, dans le contexte de la sécurité sociale, des données confidentielles sont manipulées. Le traitement de ces données est soumis à la législation relative à la vie privée, en ce compris la législation en matière de données médicales Conformément au système de classification, les ressources sont catégorisées et des mesures sont prises pour traiter les ressources en accord avec leur classification. 4.3 Sécurité liée aux collaborateurs (à adapter aux règles de l institution!!) Cette politique a pour but d'utiliser le mieux possible et de tenir au niveau requis la connaissance et l'expérience des collaborateurs pour promouvoir la sécurité, ainsi que réduire les risques d'erreurs humaines délibérées ou non Les collaborateurs doivent être conscients des menaces à et de l'importance de la sécurité de l'information et doivent disposer des moyens, connaissances et compétences appropriés à cette fin Il est tenu compte du fait que les collaborateurs de la Banque Carrefour de la Sécurité Sociale travaillent dans divers lieux (bâtiments, chantiers, ). En effet, des mesures de sécurité spécifiques peuvent être mises en place dans ces lieux La politique du personnel y contribue, par exemple par l'intégration des aspects de sécurité dans les descriptions de fonction, par des déclarations de respect de la confidentialité, par la mention dans le règlement de travail ou le contrat de travail de la 2 Dans ce contexte, les ressources consistent notamment en hardware, en software et en données. P 6

7 responsabilité du travailleur en matière de sécurité de l'information, ou par la définition d un code de bonne conduite Pour les fonctions managériales ou les fonctions impliquant un accès à des données confidentielles, le candidat est sélectionné sur la base de son curriculum vitae et de ses antécédents judiciaires Tout collaborateur est tenu de signaler les risques et les incidents de sécurité Les collaborateurs se voient souligner leur responsabilité pour le maintien d'une sécurité d'accès efficace, notamment sur le plan de l'utilisation de mots de passe et la sécurité du matériel des utilisateurs Un point d'attention particulier, surtout pour les collaborateurs helpdesk (ex. centre de contact), concerne les techniques de "social engineering" qui consistent à obtenir des informations essentielles (ex. mots de passe) par perfidie Les collaborateurs se voient souligner les risques à la sécurité qu'entraînent les systèmes de bureau électroniques (ex. ordinateurs, ordinateurs portables, téléphones, téléphones cellulaires, , courrier, voic , services postaux, fax,...) : ces systèmes impliquent en effet un risque pour la confidentialité des données d'entreprise L'utilisation de ressources ICT à des fins privées doit être limitée à un strict minimum. Exemples : L'accès à l'internet ne peut pas être utilisé pour des activités susceptibles de nuire à la Banque Carrefour de la Sécurité Sociale (exemples : réputation, bon fonctionnement, respect de la législation, ). L'envoi d' s personnels pendant les heures de travail doit se limiter à un strict minimum Les collaborateurs se voient souligner leur responsabilité quant à l'utilisation de l' responsabilité de ne pas compromettre l'organisation par l'envoi d' s inappropriés vigilance lors de l'ouverture d' s et de pièces jointes Sur les appareils directement connectés à l'infrastructure de l institution (ex. PC), seuls les services compétents préposés par l institution peuvent y installer des logiciels et régler les configurations En cas de départ du service ou de changement de fonction, les droits d'accès et les autorisations sont retirés le plus vite possible et le matériel physique est récupéré Le non-respect de la politique de sécurité et des procédures de sécurité de l'organisation est traité suivant un processus formel. 4.4 Sécurité physique et sécurité de l'environnement Cette politique a pour but P 7

8 de prévenir l'accès physique non autorisé ou inutile à l'information et aux systèmes d'information afin de limiter la prise de connaissance non autorisée, la déformation ou le vol d'informations de prévenir le dommage ou la perturbation de systèmes d'information Il faut tenir compte de la situation physique des bâtiments de la Banque Carrefour de la Sécurité Sociale (bâtiments répartis, intégration de services dans d autres bâtiments, ), ce qui accroît également le risque d'accès non autorisé. 4.5 Gestion opérationnelle Cette politique vise à garantir un service et un fonctionnement corrects et sûrs des prévisions ICT Il faut tenir compte du fait que le risque d'attaques sur le système augmente au même rythme que la visibilité des applications électroniques de la sécurité sociale Des responsabilités et des procédures sont définies pour la gestion et le service de toutes les prévisions ICT pour le contrôle de toutes les modifications aux appareils, logiciels et procédures pour le traitement des incidents Dans les cas où il existe un risque à la sécurité, les fonctions sont séparées pour réduire le risque suite à un manquement ou un abus délibéré de systèmes Les environnements pour le développement, les tests et la production sont séparées Avant que les moyens ICT entrent en phase opérationnelle, il est vérifié que toutes les exigences vis-à-vis de ces moyens (fonctionnalité, sécurité, ) sont implémentées et testées En cas d'assignation d'activités ICT à une entreprise externe, une attention supplémentaire est accordée aux risques envers la sécurité. Les aspects de sécurité sont traités par contrat Grâce à une planification des capacités et des procédures d'acceptation adéquates pour des systèmes ICT neufs et modifiés, le risque de perturbation des systèmes est limité au maximum. Une attention spéciale est également accordée au risque et à la prévention des conséquences d'offensives "Denial of Service (DoS)" Afin d assurer la protection de l'intégrité des logiciels et des informations, des mesures sont prises pour prévenir, découvrir des logiciels nuisibles et d'en limiter au mieux les conséquences éventuelles. De même, les signalements de nouvelles menaces par des instances compétentes sont suivis et les mesures nécessaires sont prises (e.a. patches software). Une attention particulière est également accordée aux risques de l'utilisation de l internet et d' s (annexes) Selon les consignes de sécurité concernées, des back-up d'informations essentielles et de logiciels doivent régulièrement être effectués pour garantir l'intégrité et la disponibilité des services Une attention particulière est accordée au maintien de la sécurité de l'information en réseau (ex. Extranet de la sécurité sociale) et la protection de l'infrastructure sous- P 8

9 jacente. Des mesures maximales sont prises lors du transport de données sensibles via des réseaux publics (ex. Internet) Les moyens de stockage doivent être protégés contre la détérioration, le vol et l'accès non autorisé Dans le respect des règles légales en matière de conservation et d'utilisation des données archivées, chaque évolution de l'infrastructure informatique et du système d'information nécessitent une complète vérification de l'adéquation entre les données archivées, les supports de stockage utilisés et les applications nécessaires à leurs utilisations Des mesures sont prises pour éviter la perte, la modification ou le vol d'informations échangées avec d'autres organisations (en particulier les organisations de sécurité sociale) Une certaine attention est accordée à la protection de l'intégrité de l'information sur des systèmes accessibles au grand public (tels que les serveurs web) pour éviter des modifications non autorisées susceptibles de nuire à la réputation de la Banque Carrefour de la Sécurité Sociale ou à l'une des organisations de sécurité sociale (ex. web defacement"). 4.6 Sécurité d'accès logique L'objectif de cette politique est la maîtrise de l'accès aux informations et processus d'entreprise sur la base des besoins et exigences en matière de sécurité Il est tenu compte du fait que, dans le contexte de la sécurité sociale, des données confidentielles sont manipulées et que la limitation de l'accès aux informations et processus d'entreprise est capitale Les contraintes liées à la sécurité d'accès sont définies et documentées Des procédures formelles sont établies pour maîtriser toutes les phases dans le cycle de vie d'une autorisation (introduction, contrôle, annulation) L'attribution et l'utilisation de compétences spéciales, critiques (ex. accès à un système de gestion ou un système de base de données) sont limitées et contrôlées Les mots de passe sont gérés sur la base d'un processus formel Les mots de passe ne sont jamais stockés dans un système sous forme non sécurisée Les utilisateurs se voient souligner leur responsabilité pour le maintien d'une sécurité d'accès efficace, notamment concernant l'utilisation de mots de passe et la sécurité du matériel des utilisateurs L'accès par réseaux à des services réseau internes et externes est protégé efficacement. Une attention suffisante est également accordée à la sécurité des ports de diagnostic technique à distance Des mesures spécifiques sont élaborées pour : la sécurité d'accès pour des systèmes d'exploitation. la sécurité d'accès pour des applications L'accès à et l'utilisation de systèmes sont contrôlés pour détecter les dérogations à la politique d'accès ou les anomalies. P 9

10 Pour l'utilisation d'ordinateurs portables et l organisation du télétravail, une stratégie de sécurité doit être établie en accord avec les risques liés à ce mode de travail. 4.7 Développement et maintenance de systèmes L'objectif de cette politique est de garantir que les systèmes utilisés offrent la sécurité requise tout au long du cycle de vie Dans les exigences à l'égard des nouveaux systèmes ou extensions de systèmes existants, les exigences en matière de sécurité doivent également être spécifiées. En collaboration avec le service de sécurité de l'information, une procédure est élaborée à cette fin Le développement est basé sur un processus qui impose les exigences en matière de sécurité Une attention particulière est accordée à l élaboration de la documentation lors du développement de nouveaux systèmes et lors de la maintenance de systèmes existants Lors du développement de systèmes d'applications, une attention particulière doit être consacrée à la validation des données input, la sécurisation du traitement interne et la validation des données output. Des traces pour l audit doivent être intégrées Des mesures maximales sont prises pour éviter que des canaux secrets de communication se cachent dans des systèmes Lors du développement de systèmes d'applications, il est tenu compte des points faibles connus sur le plan de la sécurité, propres aux langages de programmation. La vérification de logiciels par d'autres acteurs que les développeurs constitue une méthode pour réduire ces risques La protection de la confidentialité, l'authenticité et l'intégrité de l'information repose sur des mesures de sécurité cryptographiques adaptées (cryptage, signature digitale,...). Une attention particulière est ici attachée à la protection des clés cryptographiques. Si nécessaire, ces techniques soutiennent également la non-répudiation des données L'intégrité des systèmes informatiques est garantie par une bonne gestion des logiciels sur systèmes opérationnels et la sécurité d'accès pour les bibliothèques software Des procédures formelles pour la gestion des modifications sont utilisées pour réduire au maximum le risque d'altération de systèmes d'information. En particulier, des nouvelles versions de systèmes d'exploitation sont approchées avec la prudence de rigueur Des mesures de sécurité sont prises lorsque du développement de logiciels est confié. Les progiciels fournis par des tiers doivent être utilisés le plus possible de manière inchangée Il faut garantir la confidentialité des données de test au même niveau que les données de production. 4.8 Gestion de la continuité La politique de la gestion de la continuité a pour but de pouvoir réagir à la perturbation d'activités d'entreprise et de protéger les processus critiques d'entreprise en cas P 10

11 d'incidents importants. Une perturbation importante des activités opérationnelles de la Banque Carrefour de la Sécurité Sociale aurait en effet un impact négatif sur le fonctionnement de la sécurité sociale en Belgique La gestion de la continuité est un processus documenté qui, basé sur l'analyse des risques, contient une combinaison de mesures préventives et correctives Des plans de continuité sont développés pour garantir que des processus d'entreprise peuvent être rétablis dans des délais impartis Ces plans sont testés périodiquement, ce qui doit donner lieu à une correction régulière de ceux-ci. Si nécessaire, ces plans sont testés en étroite collaboration avec l'extranet de la sécurité sociale. 4.9 Respect La Banque Carrefour de la Sécurité Sociale respectera les exigences légales (annexe 1) et contractuelles en matière de sécurité auxquelles sont soumis les systèmes d'information utilisés La situation du niveau de la sécurité des systèmes d'information (y compris la révision et le suivi des procédures) sera régulièrement évaluée sur la base de la politique concernée. Cela se fera par un encadrement interne, un contrôle interne, un audit interne et/ou un audit externe Le contrôle de l'application du ISMS sera rendu possible par des outils d'aide ICT mis à la disposition d'auditeurs internes et externes. 5 Abréviations ICT : information and communication technology IRT : incident response team ISMS : Information Security Management System : le système intégré pour arriver à une sécurité de l'information 6 Références 1. ISO/IEC 17799:2000 Information technology -- Code of practice for information security management 7 Annexe 1 : législation sur la sécurité de l'information Cette législation évolue régulièrement. Pour le dernier statut, prière de consulter le site de la BCSS (http://ksz-bcss.fgov.be/fr/legislation/legislat_home.htm). Législation spécifique pour la Sécurité Sociale P 11

12 Loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque Carrefour de la sécurité sociale. Arrêté royal du 12 août 1993 organisant la sécurité de l'information dans les institutions de sécurité sociale. Moniteur belge du 21 août 1993! Modifié par l'arrêté royal du 8 octobre 1998 (Moniteur belge du 24 décembre 1998) Normes minimales de sécurité à respecter par les Institutions Sociales en vue de leur connexion au réseau de la Banque Carrefour de la Sécurité Sociale Sécurité des télécommunications! Loi du 30 juin 1994 relative à la protection de la vie privée contre les écoutes, la prise de connaissance et l'enregistrement de communications et de télécommunications privées. Vie privée! Loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.! Loi du 8 août 1983 organisant un Registre national des personnes physiques.! Loi du 30 juin 1994 sur la protection de la vie privée contre les écoutes, la prise de connaissance et l'enregistrement de communications et de télécommunications privées.! Loi du 31 mars 1991 portant réforme de certaines entreprises publiques économiques. Arrêté royal du 4 février 1997 organisant la communication des données entre institutions de sécurité sociale Fraude informatique! Loi du 28 novembre 2000 en matière de criminalité informatique Protection des programmes informatiques! Loi du 30 juin 1994 sur le droit d'auteur et les droits voisins.! Loi du 30 juin 1994 transposant la directive européenne du 14 mai 1991 sur la protection juridique des programmes d'ordinateur. Banques de données! Loi du 31 août 1998 transposant la directive européenne du 11 mars 1996 sur la protection juridique des bases de données. Communication commerciale électronique P 12

13 ! Directive 2001/29/Eg du Parlement européen et du Conseil du 22 mai 2001 sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans la société de l'information.! Loi du 9 juillet 2001 fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification. Protection de produits semi-conducteurs! Loi du 10 janvier 1990 concernant la protection juridique des topographies de produits semi-conducteurs. Droit social CCT n 81 relative à la protection de la vie privée des travailleurs à l'égard du contrôle des données de communication électroniques en réseau. Législation de droit à venir Projet de loi sur le statut du régulateur des secteurs belges des services postaux et des télécommunications (doc ). P 13

Politique de sécurité

Politique de sécurité Politique de sécurité 1. Environnement Un CPAS dépend pour son bon fonctionnement d'un ensemble d'éléments: - de son personnel et son savoir-faire (expérience); - de ses informations (données sociales,

Plus en détail

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

Version control please always check if you re using the latest version Doc. Ref. : isms.001.isp. fr v1.10

Version control please always check if you re using the latest version Doc. Ref. : isms.001.isp. fr v1.10 ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) 2015 Version control please always check if you re using the latest version Doc. Ref.

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Sécurité de l Information

Sécurité de l Information Sécurité de l Information Patrick BOCHART Conseiller en sécurité Banque Carrefour de la Sécurité Sociale Audit Interne & Sécurité de l Information Chaussée Saint-Pierre 375 B-1040 BRUXELLES E-mail : patrick.bochart@ksz-css.fgov.be

Plus en détail

ISO 17799 la norme de la sécurité de l'information

ISO 17799 la norme de la sécurité de l'information ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.

Plus en détail

But de la formation en sécurité de l'information

But de la formation en sécurité de l'information But de la formation en sécurité de l'information Il n'est plus concevable de se passer du réseau d'échange électronique de données personnelles entre les institutions de sécurité sociale, géré par la Banque

Plus en détail

SSI Sensibilisation à la sécurité de l'information**

SSI Sensibilisation à la sécurité de l'information** SSI Sensibilisation à la sécurité de l'information** Prérequis Compétence opérationnelle Objectifs d apprentissage Durée d apprentissage Connaissances de base en informatique Etre capable de comprendre

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

FICHE PRATIQUE. Comparaison entre les exigences des normes ISO 9001, 14001 et OHSAS 18001

FICHE PRATIQUE. Comparaison entre les exigences des normes ISO 9001, 14001 et OHSAS 18001 SARL Capital de 24 000 Siret 350 521 316 00025 NAF 741G créée en 1989 1bis rue Marcel PAUL - 91742 MASSY Cedex Adresse postale : 6 rue SORET 91600 Savigny sur Orge Tél : 33 (0)1 69 44 20 33 Fax : 33 (0)826

Plus en détail

Politique et charte de l entreprise INTRANET/EXTRANET

Politique et charte de l entreprise INTRANET/EXTRANET Politique et charte de l entreprise INTRANET/EXTRANET INTRANET/EXTRANET LES RESEAUX / 2 DEFINITION DE L INTRANET C est l internet interne à un réseau local (LAN) c'est-à-dire accessibles uniquement à partir

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Introduction à l'iso 27001

Introduction à l'iso 27001 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Sécurité des ordinateurs portables

Sécurité des ordinateurs portables ISMS (Information Security Management System) Sécurité des ordinateurs portables 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.025.laptop Release Status Date

Plus en détail

CHAPITRE I er OBJET, CHAMP D'APPLICATION ET DÉFINITIONS

CHAPITRE I er OBJET, CHAMP D'APPLICATION ET DÉFINITIONS Règlement CSSF N 12-01 - Fonds d'investissement spécialisés Règlement CSSF N 12-01 arrêtant les modalités d'application de l'article 42bis de la loi du 13 février 2007 relative aux fonds d'investissement

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» SCSZ/09/042 DELIBERATION N 09/030 DU 5 MAI 2009 RELATIVE A LA COMMUNICATION DE DONNEES A CARACTERE PERSONNEL PAR LA BANQUE

Plus en détail

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information NORME INTERNATIONALE ISO/CEI 27005 Deuxième édition 2011-06-01 Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information Information technology Security

Plus en détail

ISO/CEI 27001. Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences

ISO/CEI 27001. Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences NORME INTERNATIONALE ISO/CEI 27001 Deuxième édition 2013-10-01 Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences Information technology

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

POLITIQUE DE GESTION DES RISQUES

POLITIQUE DE GESTION DES RISQUES POLITIQUE DE GESTION DES RISQUES du MUSÉE DES BEAUX-ARTS DU CANADA et son musée affilié, le Musée canadien de la photographie contemporaine Approuvée par le conseil d'administration du MBAC, le 22 mars

Plus en détail

COMPARAISON DES DEUX NORMES ISO 9001 (version 2008-version 2015).

COMPARAISON DES DEUX NORMES ISO 9001 (version 2008-version 2015). COMPARAISON DES DEUX NORMES ISO 9001 (version 2008-version 2015). PRINCIPAUX POINTS D EVOLUTION DE LA NORME ISO9001-version 2015 LE TUTOUR Mathieu LAVRAT Elodie VANLERBERGHE Cléa CASTAGNERA Adrian MASTER

Plus en détail

Politique d'utilisation des dispositifs mobiles

Politique d'utilisation des dispositifs mobiles ISMS (Information Security Management System) Politique d'utilisation des dispositifs mobiles Version control please always check if you are using the latest version. Doc. Ref. :isms.0046.politique utililisation

Plus en détail

Manuel Qualité. Toutes les activités de l ICEDD sont dans le domaine d application du référentiel ISO 9001 :2000.

Manuel Qualité. Toutes les activités de l ICEDD sont dans le domaine d application du référentiel ISO 9001 :2000. Manuel 1 Objectif Décrire brièvement l organisation du système mis en place à l ICEDD afin de démontrer le respect des exigences de la norme ISO 9001 : 2000. Accessoirement, cela peut faciliter la recherche

Plus en détail

Convention concernant les services de sante au travail (Entrée en vigueur: 17 févr. 1988)

Convention concernant les services de sante au travail (Entrée en vigueur: 17 févr. 1988) 1 sur 5 03/12/2014 18:22 Information System on International Labour Standards Recherche Guide de l'utilisateur Convention concernant les services de sante au travail (Entrée en vigueur: 17 févr. 1988)

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

Introduction à l ISO/IEC 17025:2005

Introduction à l ISO/IEC 17025:2005 Introduction à l ISO/IEC 17025:2005 Relation avec d autres normes de Management de la Qualité Formation Assurance Qualité LNCM, Rabat 27-29 Novembre 2007 Marta Miquel, EDQM-CoE 1 Histoire de l ISO/IEC

Plus en détail

Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005

Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005 ISMS (Information Security Management System) Utilisation de l Internet comme moyen d accès au réseau de la Banque-Carrefour de la sécurité dans le cadre du traitement de données à caractère personnel

Plus en détail

ISMS. Normes Minimales. Version 2011. (Information Security Management System)

ISMS. Normes Minimales. Version 2011. (Information Security Management System) ISMS Normes Minimales Version 2011 Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Bochart (BCSS), Costrop (Smals),

Plus en détail

Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401)

Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401) Norme d'audit suisse: Audit réalisé dans l environnement de la technologie de l information et de la communication (NAS 401) "Préface explicative" Chiffre Cette NAS donne des instructions sur un audit

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» CSSS/10/134 AVIS N 09/23 DU 6 OCTOBRE 2009, MODIFIÉ LE 9 NOVEMBRE 2010, CONCERNANT LA DEMANDE DE L INSTITUT NATIONAL D

Plus en détail

Befimmo SA Règlement de l'audit interne

Befimmo SA Règlement de l'audit interne Befimmo SA Règlement de l'audit interne Table des matières Article 1 - Nature... 1 Article 2 - Mission, objectifs et activités... 2 Article 3 - Programme annuel... 3 Article 4 - Reporting... 3 Article

Plus en détail

INTRODUCTION. QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel.

INTRODUCTION. QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel. INTRODUCTION QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel. Ce certificat est destiné à toutes les écoles d enseignement

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

CHARTE DE L AUDIT INTERNE

CHARTE DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE Septembre 2009 Introduction La présente charte définit la mission et le rôle de l audit interne de l Institut National du Cancer (INCa) ainsi que les modalités de sa gouvernance.

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Le modèle de conseil docuteam 3 x 3. Déroulement d un projet en gestion des documents

Le modèle de conseil docuteam 3 x 3. Déroulement d un projet en gestion des documents Le modèle de conseil docuteam 3 x 3 Déroulement d un projet en gestion des documents 1 docuteam 3 x 3 : Le modèle Projet Mise en service V V V Analyse Conception Mise en œuvre Suivi Niveau stratégique

Plus en détail

ISO 9001:2000. CHAPITRE par CHAPITRE

ISO 9001:2000. CHAPITRE par CHAPITRE ISO 9001:2000 PARTIE 2-3 CHAPITRE par CHAPITRE 9001:2000, domaine Satisfaction du client par la prévention des N.C. (ISO 9001:1994) Appliquer efficacement le système pour répondre aux besoins du client

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

Bienvenue au Forum des entreprises certifiées TÜV Cert au Maroc

Bienvenue au Forum des entreprises certifiées TÜV Cert au Maroc Bienvenue au Forum des entreprises certifiées TÜV Cert au Maroc La version 2008 de la norme ISO/DIS 9001 (Draft International Standard) Plan Plan d élaboration de l ISO9001:2008 Objectifs Présentation

Plus en détail

OFFICE DE L HARMONISATION DANS LE MARCHÉ INTÉRIEUR

OFFICE DE L HARMONISATION DANS LE MARCHÉ INTÉRIEUR OFFICE DE L HARMONISATION DANS LE MARCHÉ INTÉRIEUR (MARQUES, DESSINS ET MODÈLES) Le président DECISION N ADM-04-10 REV DU PRESIDENT DE L OFFICE du 29 mars 2012 relative au télétravail LE PRESIDENT DE L

Plus en détail

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations DDN/RSSI Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations Page 1 10/03/2015 SOMMAIRE. Article I. Définitions...3 Section I.1 Administrateur...3 Section

Plus en détail

TITRE : Directives quant aux règles d utilisation des équipements informatiques et des télécommunications

TITRE : Directives quant aux règles d utilisation des équipements informatiques et des télécommunications TITRE : Directives quant aux règles d utilisation des équipements informatiques et des télécommunications NO 1 Adoption par la direction générale : Date : Le 1 er octobre 2003 Dernière révision : 01/10/03

Plus en détail

RÈGLEMENT RELATIF À L'UTILISATION DES TECHNOLOGIES DE L INFORMATION

RÈGLEMENT RELATIF À L'UTILISATION DES TECHNOLOGIES DE L INFORMATION RÈGLEMENT RELATIF À L'UTILISATION DES TECHNOLOGIES DE L INFORMATION Adopté par le Conseil le 7 février 2006 En vigueur le 7 février 2006 Abrogé par le Conseil et entré en vigueur le 24 avril 2012 Règlement

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque élevé Exigences de cybersécurité Description Raisons de l'importance 1. Protection des actifs et configuration

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

IAM et habilitations, l'approche par les accès ou la réconciliation globale

IAM et habilitations, l'approche par les accès ou la réconciliation globale IAM et habilitations, l'approche par les accès ou la réconciliation globale 04/12/08 Page 1 Evidian 2008 1 Les couches archéologiques du Système d information: Les systèmes centraux Ventes Employés Employé

Plus en détail

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012 Évolutions de la norme NF EN ISO/CEI 17020 De la version 2005 à la version 2012 Plan de la présentation L intervention sera structurée suivant les 8 chapitres de la norme. Publiée le 1 er mars 2012, homologuée

Plus en détail

JOURNÉE THÉMATIQUE SUR LES RISQUES

JOURNÉE THÉMATIQUE SUR LES RISQUES Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com

Plus en détail

Atelier thématique QUA1 -Présentation de la norme ISO 9001-

Atelier thématique QUA1 -Présentation de la norme ISO 9001- Forum QHSE - QUALITE Atelier thématique QUA1 -Présentation de la norme ISO 9001- Laurent GUINAUDY OC2 Consultants Atelier ISO 9001 1 Présentation du Cabinet OC2 Consultants Cabinet créé en 1996 Zone d

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (3ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Améliorer votre approche processus

Améliorer votre approche processus Améliorer votre approche processus Décrire de manière complète les processus, Mettre en place des tableaux de bord de manière à en surveiller le fonctionnement et à en déterminer l efficacité, Réaliser

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

ISO/IEC 20000-1 versus ITIL

ISO/IEC 20000-1 versus ITIL ISO/IEC 20000- versus ITIL Séminaire du 6 Novembre itsmf OUEST C. LAHURE Axios Systems Ordre du jour ISO / IEC 20000- La Norme et son contexte Le référentiel La démarche d implémentation Le contexte de

Plus en détail

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES 2013 ASSOCIATION CANADIENNE DES PAIEMENTS 2013 CANADIAN PAYMENTS ASSOCIATION Cette règle est protégée

Plus en détail

BASE DE DONNEES CENTRALISEE PI-M

BASE DE DONNEES CENTRALISEE PI-M BASE DE DONNEES CENTRALISEE PI-M MANUEL D UTILISATION POUR LE CONSULTANT EN INTERIM WWW.PI-M.BE VERSION 2015 Prévention et Intérim info@pi-m.be www.pi-m.be Service Central de Prévention pour le Secteur

Plus en détail

Fiche de l'awt Principes d'élaboration de solutions Web interactives

Fiche de l'awt Principes d'élaboration de solutions Web interactives Fiche de l'awt Principes d'élaboration de solutions Web interactives Présentation des principales catégories d'applications Internet et des composants standards d'une application Web interactive Créée

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

Télésanté Aquitaine Version : 1.0 18/02/2011. TéléSanté Aquitaine. Cahier des Clauses Techniques Particulières CTTP

Télésanté Aquitaine Version : 1.0 18/02/2011. TéléSanté Aquitaine. Cahier des Clauses Techniques Particulières CTTP Télésanté Aquitaine Version : 1.0 18/02/2011 TéléSanté Aquitaine Formalisation d'une PSSI et d'une Charte de sécurité informatique Cahier des Clauses Techniques Particulières CTTP Marché passé selon une

Plus en détail

CHARTE INFORMATIQUE. Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself

CHARTE INFORMATIQUE. Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself CHARTE INFORMATIQUE Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself Ce texte, bien qu ayant un caractère réglementaire, est avant tout un code de bonne

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

CONVENTION D'UTILISATION FAS

CONVENTION D'UTILISATION FAS CONVENTION D'UTILISATION Objectif du document : Une convention d'utilisation est un contrat spécifique à un service qui stipule les conditions liées à l'utilisation d'un service spécifique de Fedict. Il

Plus en détail

CHAPITRE I : PORTEE. Article 1er

CHAPITRE I : PORTEE. Article 1er Avertissement L acte que vous allez consulter a été retranscrit, éventuellement coordonné, et mis en ligne par une entité privée. Il ne s agit pas d un document officiel ; seul un document officiel fait

Plus en détail

Les exigences de la norme ISO 9001:2008

Les exigences de la norme ISO 9001:2008 Les exigences de la norme ISO 9001:2008! Nouvelle version en 2015! 1 Exigences du client Satisfaction du client Le SMQ selon ISO 9001:2008 Obligations légales Collectivité Responsabilité de la direction

Plus en détail

Centre de Recherche sur l Information Scientifique et Technique. Par Mme BOUDER Hadjira Attachée de Recherche

Centre de Recherche sur l Information Scientifique et Technique. Par Mme BOUDER Hadjira Attachée de Recherche Centre de Recherche sur l Information Scientifique et Technique Protection des Systèmes d Information: Aspects Juridiques Par Mme BOUDER Hadjira Attachée de Recherche Introduction La décentralisation des

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

Administrateur Mai 2010 01

Administrateur Mai 2010 01 Charte Informatique Date de Date de Version Public Cible Publication Révision Administrateur Mai 2010 01 Portée La présente charte s applique à tout utilisateur du système informatique de l entreprise,

Plus en détail

Analyse et conception des Systèmes d Information. La démarche Merise : La Maintenance

Analyse et conception des Systèmes d Information. La démarche Merise : La Maintenance Analyse et conception des Systèmes d Information La démarche Merise : La Maintenance Place, spécificité, objectifs et principes directeurs Niveaux et catégories de maintenance Formes de maintenance Déroulement

Plus en détail

CONDITIONS PARTICULIÈRES DES HÉBERGEMENTS MUTUALISÉS

CONDITIONS PARTICULIÈRES DES HÉBERGEMENTS MUTUALISÉS CONDITIONS PARTICULIÈRES DES HÉBERGEMENTS MUTUALISÉS Les Conditions Générales suivantes sont conclues entre : L'auto-entrepreneur M. HITIER Aurélien, résidant au 15 allée du clair logis 33700 Mérignac

Plus en détail

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CSG-16\S Novembre Page intentionnellement laissée en blanc. Avant-propos Le document est non classifié et il

Plus en détail

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel :

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel : La méthode ITIL plan Introduction C est quoi ITIL? Utilisation d ITIL Objectifs Les principes d ITIL Domaines couverts par ITIL Les trois versions d ITIL Pourquoi ITIL a-t-il tant de succès Inconvénients

Plus en détail

Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)

Plan de secours. Marie-pascale Delamare d'après Plan de continuité d'activité publié par le CLUSIF LE PLAN DE CONTINUITÉ DE SERVICE (PCS) Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,

Plus en détail

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition)

ITIL V3-2011 Préparation à la certification ITIL Foundation V3 (2ième édition) Chapitre 1 Introduction et généralités d'itil V3 A. Introduction 26 1. Le contexte 26 2. Des réponses à ce contexte 27 B. Les bonnes pratiques ITIL V3 28 1. Les bonnes pratiques 28 a. Introduction 28 b.

Plus en détail

POLITIQUE DE PRÉVENTION ET DE GESTION DES CONFLITS D INTÉRÊTS AU SEIN D HOSPIMUT SOLIDARIS RÉSUMÉ

POLITIQUE DE PRÉVENTION ET DE GESTION DES CONFLITS D INTÉRÊTS AU SEIN D HOSPIMUT SOLIDARIS RÉSUMÉ POLITIQUE DE PRÉVENTION ET DE GESTION DES CONFLITS D INTÉRÊTS AU SEIN D HOSPIMUT SOLIDARIS RÉSUMÉ Rue Saint-Jean 32-38 à 1000 Bruxelles Table des matières 1. Introduction 3 2. Réglementation 3 3. Rappel

Plus en détail

Maîtrise Universitaire en Comptabilité, Contrôle et Finance. Audit des systèmes d information. Partie 5: Audit d une application informatique

Maîtrise Universitaire en Comptabilité, Contrôle et Finance. Audit des systèmes d information. Partie 5: Audit d une application informatique Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d information Partie 5: Audit d une application informatique Emanuel Campos - version 2015 Les présentations personnelles

Plus en détail

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Conformité aux exigences de la réglementation 21 CFR Part 11 de la FDA Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA Définition de la réglementation 21 CFR partie 11 Au cours de la dernière décennie, l'industrie pharmaceutique a très rapidement

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

Le réviseur d entreprises : une valeur ajoutée pour votre PME. une valeur ajoutée pour votre PME. Entreprendre 2010

Le réviseur d entreprises : une valeur ajoutée pour votre PME. une valeur ajoutée pour votre PME. Entreprendre 2010 Le réviseur d entreprises : une valeur ajoutée pour votre PME 31.03.2010 Entreprendre 2010 Le réviseur d entreprises : une valeur ajoutée pour votre PME Jean NICOLET 31.03.2010 Membre de la Commission

Plus en détail

LA NORME ISO 14001 A RETENIR

LA NORME ISO 14001 A RETENIR A RETENIR La norme ISO 14001, publiée en 1996, est une norme internationale qui s'applique à tous les types d'organisations (entreprises industrielles, de services, etc.) quelles que soient leurs tailles

Plus en détail

ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System)

ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System) ISMS Normes Minimales Version 2015 (ISO 27002:2013) Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Houbaille (BCSS),

Plus en détail

Banque Carrefour de la Sécurité Sociale

Banque Carrefour de la Sécurité Sociale Ce document vous est offert par la Banque Carrefour de la sécurité sociale. Il peut être diffusé librement, à condition de mentionner la source et l URL Banque Carrefour de la Sécurité Sociale Chaussée

Plus en détail

Conditions générales d hébergement de l application La-Vie-Scolaire.fr

Conditions générales d hébergement de l application La-Vie-Scolaire.fr de l application La-Vie-Scolaire.fr Référence :.. Date : Définitions «Contrat d accès au Service» : désigne le bon de commande, les conditions générales de vente et les éventuels annexes ou avenants conclus

Plus en détail

LIGNES DIRECTRICES POUR LA SÉCURITÉ DE L'INFORMATION DE DONNÉES À CARACTÈRE PERSONNEL. Décembre 2014

LIGNES DIRECTRICES POUR LA SÉCURITÉ DE L'INFORMATION DE DONNÉES À CARACTÈRE PERSONNEL. Décembre 2014 LIGNES DIRECTRICES POUR LA SÉCURITÉ DE L'INFORMATION DE DONNÉES À CARACTÈRE PERSONNEL Décembre 2014 Version : 2.0 Répartition des normes en deux parties : partie A normes et mesures globales liées à la

Plus en détail

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES Introduction : Le management des risques est un processus qui permet au Business Manager d équilibrer les coûts économiques et opérationnels et faire du

Plus en détail

CENTRES D APPUI À LA TECHNOLOGIE ET À L INNOVATION (CATI) GUIDE DE MISE EN ŒUVRE

CENTRES D APPUI À LA TECHNOLOGIE ET À L INNOVATION (CATI) GUIDE DE MISE EN ŒUVRE CENTRES D APPUI À LA TECHNOLOGIE ET À L INNOVATION (CATI) GUIDE DE MISE EN ŒUVRE Le programme de centres d'appui à la technologie et à l'innovation (CATI), mis en place par l'ompi, permet aux innovateurs

Plus en détail

Politique de sécurité de l'information d EGK-Caisse de Santé

Politique de sécurité de l'information d EGK-Caisse de Santé Page 1 / 5 Politique de sécurité de l'information d comprend les fondations partenaires EGK Assurances de Base Mal) et ainsi que leurs filiales EGK Assurances Privées SA Page 2 / 5 Informations importantes

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

FORMATION. Chargé de sécurité et de prévention. Points Forts de la formation OBJECTIFS PEDAGOGIQUES

FORMATION. Chargé de sécurité et de prévention. Points Forts de la formation OBJECTIFS PEDAGOGIQUES FORMATION Chargé de sécurité et de prévention Référence : 124-344-13 Durée : 5 jours Public Tous salariés chargés de la sécurité ou la prévention Pré-requis Aucun Points Forts de la formation Une approche

Plus en détail

CHARTE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION DE L INSA ROUEN

CHARTE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION DE L INSA ROUEN CHARTE DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION DE L INSA ROUEN Diffusion Référence Accès non restreint Charte_SSI_INSAR.doc Version Propriétaire 1 Responsable Qualité Date Jean- Louis Billoët Directeur,

Plus en détail

CHARTE ADMINISTRATEUR CORRELYCE. Version du 31/08/2007 10:56

CHARTE ADMINISTRATEUR CORRELYCE. Version du 31/08/2007 10:56 CHARTE ADMINISTRATEUR CORRELYCE Version du 31/08/2007 10:56 Table des matières 1. CONTEXTE... 3 2. OBJET... 3 3. REFERENTIEL... 3 4. PREROGATIVES DE L ADMINISTRATEUR SYSTEME CORRELYCE... 4 4.1 DROIT D

Plus en détail

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Fiche technique: Sécurité de la messagerie Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Présentation protège les données confidentielles et garantit la productivité

Plus en détail

Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009

Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009 Version 2.1 applicable à tout Contrat souscrit à partir du 01/09/2009 Table des Matières Conditions Spécifiques à la Location de Serveurs...2 1 - Description du Service...2 2 - Obligations & Responsabilités

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale 1 Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/11/127 DÉLIBÉRATION N 11/083 DU 8 NOVEMBRE 2011 AUTORISANT LES MAISONS DE SOINS PSYCHIATRIQUES ET LES INITIATIVES

Plus en détail

RÈGLEMENT D UTILISATION DES MOYENS INFORMATIQUES DE L ECOLE DES MINES DE SAINT-ETIENNE

RÈGLEMENT D UTILISATION DES MOYENS INFORMATIQUES DE L ECOLE DES MINES DE SAINT-ETIENNE RÈGLEMENT D UTILISATION DES MOYENS INFORMATIQUES DE L ECOLE DES MINES DE SAINT-ETIENNE 1. Domaines d application Ce règlement a pour fondement la loi du 6 janvier 1978 relative à l informatique, aux fichiers

Plus en détail

Annuaire : Active Directory

Annuaire : Active Directory Annuaire : Active Directory Un annuaire est une structure hiérarchique qui stocke des informations sur les objets du réseau. Un service d'annuaire, tel qu'active Directory, fournit des méthodes de stockage

Plus en détail

Objectifs et gestion de la sécurité

Objectifs et gestion de la sécurité INF4470 : Fiabilité et sécurité informatique Par Eric Gingras Hiver 2010 Objectifs et gestion de la sécurité Qu'est ce que la sécurité? «Situation où l'on a aucun danger à craindre.» (dictionnaire Larousse)

Plus en détail