Remarque : plusieurs personnes n'ayant pu se déplacer de province ont manifesté leur intérêt de pouvoir participé "à distance" à cette réunion.
|
|
- Noëlle Bouffard
- il y a 8 ans
- Total affichages :
Transcription
1 - Tour de table - La certification ISO par Hervé Schauer et questions diverses - Quels objectifs à assigner au groupe? - Liste de discussion - Conclusion La présentation de Hervé Schauer est disponible ici La certification ISO par Hervé Schauer. La réunion s'est déroulée chez ADP (Automatic Data Processing). Remarque : plusieurs personnes n'ayant pu se déplacer de province ont manifesté leur intérêt de pouvoir participé "à distance" à cette réunion. Ordre du jour : - Tour de table - La certification ISO par Hervé Schauer et questions diverses - Quels objectifs à assigner au groupe? - Liste de discussion - Conclusion Tour de table Les participants se présentent et indiquent leur intérêt. Parmi les présent : - 5/6 personnes certifiées Lead Auditor SMSI - Des RSSI de grandes entreprises commerciales - Un représentant du ministère de la défense - Des consultants provenant du monde SSI et du monde normatif - Des représentants de sociétés de service Des participants disposant d'un profil et d'une connaissance de la norme très hétérogènes. Beaucoup utilise le guide ISO17799, certains réfléchissent à l'idée d'appliquer l'iso27001 au sein de leur entreprise, mais aucun n'a conduit une certification jusqu'au bout. La certification ISO par Hervé Schauer Hervé Schauer a animé une présentation dont les transparents sont disponible à l'adresse suivante : 1 / 10
2 Sont repris ci-dessous les remarques les plus importantes et les questions des participants : - Dans l'exposé du panorama des normes 27000, il est important de noter que certaines sont obligatoires pour la certification (27001 et 27006), les autres ne sont que des guides. - L'IS sera renommé en 27002, le 1er avril L'IS est en cours de fabrication -sortie prévue fin novembre. - L'IS et l'is27005 sont à l'état de drafts avancés. #S1 : Introduction L'IS définit un SMSI et exige la bonne application de la "roue de Deming". L'important est de ne pas confondre l'audit de certification et l'audit de conseil en SSI. #S2 : Sommaire Le schéma de certification est destiné à créer la confiance. #S11 :Certifications Il existe 3 types de certification : - Produit - Organisation : service [ex. PRIS v2] ; Service de management 20000, (en respect de la norme 17021). - Personne : Lead Auditor (en respect de la norme 17024). #S15 : Schéma de certification - Les accréditeurs peuvent être des consultants qui travaillent pour le COFRAC et vérifient la conformité à des organismes certificateurs. - Les auditeurs (en respect des règles d'audit de la norme 19011), travaillent pour l'organisme de certification pour vérifier la conformité des SMSI des organisations à la norme Dans les 2 cas la norme est utilisée. D'une part elle amende la d'autre part ajoute des précisions pour les auditeurs de certification , et #S20 : Normes d'accréditation Dans la 27006:2006 parmi les points importants, on retrouve : 2 / 10
3 - des précisions techniques - la description des compétences des auditeurs - le classement des mesures (organisationnelle ou technique) et, en fonction de ce classement, la méthode de vérification. Parmi les mesures de sécurité techniques, 5 sont identifiées comme ayant une vérification technique "obligatoires" dont la protection antivirale et la configuration des firewalls. Comme l'évoque l'orateur la nouvelle imposera a priori d'avoir "Roue" complet (Roue de Deming). réalisé un tour de Remarque : l'un des participants précise que cette pratique est déjà utilisée dans le cadre des audits Visa/Master Card, pour lesquels une production est obligatoire. Cette première production est validée grâce à un régime probatoire accordé pour la certification. #S21 : règlement de certification Le règlement de la certification est une annexe au contrat reliant l'organisme de certification et l'organisation demandant la certification. Il indique des compléments à la provenant de la et de la Il faut donc retenir que la conformité à la seule norme ne suffit pas. Note : en rouge apparaît les numéros de chapitres concernés des normes. #S25 : règlement de certification Dans la sont indiqués les durées des audits en fonction du nombre de personnes. Remarque : les personnes concernées sont les acteurs du SMSI. Sont exclus les clients et fournisseurs. Il est à noter dans le tableau une limite (6000 personnes) au-delà de laquelle on considère qu'il n'est plus possible de certifier un SMSI car trop complexe. Par exemple, Orange UK qui avait certifié son SMSI aurait perdu son certificat car le périmètre retenu était trop grand et trop difficile à maintenir conforme. Donc il faut impérativement retenir que le choix du périmètre est fondamental et que pour que le SMSI fonctionne, il faut qu'il soit réduit. Il est également important de noter que les audits sont vendus aux clients par les organismes 3 / 10
4 de certification : 800 à 1200 EUR la journée (comme en qualité). Ce qui laisse pour les auditeurs sous-traitant des prix parfois très bas de 500 à 1000 euros par jour. Or ces prix sont largement en dessous du marché. Sachant qu'en plus les durées indiquées (et donc les prix calculés) ne comprennent que les interventions sur site et qu'il faut notamment ajouter la rédaction du rapport, même si celui-ci demeure léger. On est donc en droit à terme de se poser des questions quant à la qualité de ces audits réalisés par des auditeurs "pas chers". L'orateur attire également l'attention sur le niveau de complexité qui fait varier la charge des audits d'une demi-journée par complexité. #S26 : Organismes En projet : OPPIDA, AQL et Vision IT ont fait des demandes pour être auditeurs de certification. La liste est celle transmise à HSC et n'est peut être pas exhaustive. Q : Lors d'une formation "Dires d'expert", animée le 18 octobre dernier, un représentant AFAQ-AFNOR a indiqué qu'il avait 2 certifications ISO 9001/27001 en cours. Sont-ils accrédités pour délivrer un certificat 27001? R : AFAQ-AFNOR est sans doute en cours d'accréditation, il n'est pas encore dans la liste des organismes accrédités pour les SMSI par le COFRAC. Donc il ne délivre pas encore de certificat Remarque : les organismes certificateurs peuvent être accrédités dans d'autres pays (c'est le cas par exemple de BVQI, BSI, etc...) et peuvent délivrer des certificats à des entreprises françaises. #S27 : Accréditation pour la certif. Q : Quel est le potentiel de la certification en France? R : Les participants s'accordent à dire que s'agissant d'un système de management, le nombre de clients pour la devrait être au moins du même ordre de grandeur que pour la Des standard et d'autres normes référencent la comme Sarbanes-Oxley. #S31 : Processus de certification L'audit de surveillance doit être réalisé au moins tous les 12 mois. Mais beaucoup, par peur de perdre leur certificat, le font tous les 6 mois. 4 / 10
5 Q : Si on commence avec un organisme certificateur peut-on continuer avec un autre? R : oui Q : Pour assurer une continuité notamment dans le cas de l'abandon de cette activité par l'organisme certificateur, la norme prévoit-elle un séquestre par la COFRAC par exemple? R : Rien n'est précisé dans ce domaine. Mais en ce moment, le risque ne paraît pas important car beaucoup essayent de se positionner sans se préoccuper de la rentabilité de cette activité aujourd'hui. #S33 : Processus de certification Le règlement de certification peut définir jusqu'à 6 niveaux d'écart. HSC considère que 3 niveaux suffisent amplement. Il est à noter qu'il n'existe pas de norme pour qualifier les écarts. #S35 : Limites BSI tire la couverture à lui. Par exemple, on a entendu "Si vous venez chez nous, vous aurez accès à des marchés avec le label BSI". Il est néanmoins à noter que BSI fait quand même appel à des Lead Auditors. Un autre point important est le caractère débutant de la chaîne de certification. Aujourd'hui les "audités" arrivent à montrer ce qu'ils veulent et à obtenir le certificat pour leur SMSI. A ce jour, en l'absence de la 27006, il n'était pas imposé de vérifications approfondies. On espère que la améliorera ce point. #S36 : Limites L'une des limites les plus importantes reste les relations commerciales prépondérantes qui existent entre les organismes de la chaîne. Certaines relations pourraient même représenter des éléments allant à l'encontre de la qualité de la certification. Remarque : ce type de limite est inéluctable et des règles claires doivent être édictées pour éviter d'aboutir à des relations qui nuisent à la qualité de l'évaluation. Par exemple, interdire à une société de remplir 2 missions distinctes dans la démarche de certification pour un même organisme et ce pendant une période minimum de 3 ans. #S38 : Limites Les contrôles sont limités. Notamment, il n'existe pas de contrôle - de l'autorité d'accréditation sur l'auditeur 5 / 10
6 - de l'organisme certificateur sur le SMSI - de l'organisme certificateur sur la société de conseil qui emploie les auditeurs. #S39 : Limites Le problème réside également dans la réalisation par la même société de pré-audit et d'audit de certification. Les auditeurs vendent du conseil avant de réaliser l'audit. Comme le précise l'un des participants, certains organismes comme BVQI arrive à ménager ce type de situation en faisant appel à des sociétés différentes pour le pré-audit et l'audit de certification. #S41 : Limites Le mélange des genres, illustré par l'organisme certificateur AFAQ-AFNOR qui réalise toute la panoplie de prestations. #S43/44 : Intérêts - Il est constaté des progrès SSI à vu d'oeil dans des entreprises qui se lancent dans une démarche de certification et qui n'étaient pas très matures en SSI. - L'Europe peut imposer dans certains cas la certification à des référentiels comme BSI, ITIL ou ISO et dans ce cas l'iso27001 apparaît comme la plus facile à obtenir. - Un participant donne l'exemple d'une société pharmaceutique qui a réussit à démontrer par le biais de la démarche de certification que l'application de certaines mesures de sécurité étaient inutiles. Ce qui a représenté une diminution significative du coût de la sécurité. - Des entreprises cherchent la certification pour limiter le nombre d'audits externes. - En Suisse existe un projet de remplacement de la partie "privacy" pour la remplacer par un chapitre qui ajoute une dizaine d'objectifs de sécurité. Si l'entreprise en certifiés ISO 27001, elle ne sera plus soumise à ses obligations de déclaration des fichiers à caractère personnel. Remarque : Pour faciliter l'intégration de la certification en France, il faut promouvoir l'intérêt qu'à la certification sur les affaires. #S46 : Organisations certifiées - Pendant que la France passe à 3 certificats, les allemands ou les italiens passent respectivement à 57 et Pour des raisons évidentes, l'inde représente la plus forte augmentation. #51 : Registres d'auditeurs Il existe des registres d'auditeurs mais attention ils sont non officiels et payants. 6 / 10
7 - Sur IRCA, aucun français (à l'exception de provisionnal auditor) - Sur AFAQ-AFNOR pas de Lead Auditor SMSI référencé. #52 : Conclusion Q : A quand un vrai gendarme pour lutter contre les limites citées ci-avant et garantir le respect de la déontologie? R : Comme le mentionne l'auditeur, 1) tout le monde peut dénoncer les abus auprès de la COFRAC, qui reste un organisme sérieux comparé à d'autres pays 2) pour renforcer le traité international, il faut d'abord que la France décolle pour être une voix que l'on écoute. Questions diverses Q : L'impact financier des risques SI peut-il être évalué? le fait est qu'en l'absence d'indicateurs de mesure, il est plus difficile de convaincre. Par exemple, au CIGREF il existe un projet en cours pour tenter de quantifier le capital information. R : La norme (et la 27005), lié aux critères d'évaluation BCP/DRP pointe sur les vrais enjeux, bien que ce soit que des guides et pas des obligations pour la certification. Ces indicateurs de mesure s'appliquent à des activités très hétérogènes, ce qui constitue un problème complexe de mesure. Chacun aujourd'hui a élaboré son référentiel : RSSI, Risque Manager,... Sans compter qu'en plus, les impacts ne sont pas mesurables que sur le plan financier (exemple : impact pénal). Q : Comment se fait-il que l'on puisse publier la avant la (analyse de risque)? R : l'analyse de risque est imposée et décrite dans la La ne donne que des précisions. Q : Y a-t-il une justification de se lancer dans une urbanisation couplée avec la démarche SSI? R : La démarche ici en est au commencement et doit rester simple et modeste dans son résultat. Q : Quelle importance à accorder à l'iso 27001? Quelle est sa valeur? R : Un point extrêmement important réside dans le choix du périmètre qui doit être réalisé en ayant en mémoire la publicité que l'on veut faire du certificat. Attention, dans le choix de ce périmètre qui doit bien évidemment rester cohérent. On va donc certifier les métiers pour lesquels une certification 7 / 10
8 va se justifier. Quels objectifs à assigner au groupe? Partage d'expériences? La majorité des participants souhaite privilégier l'objectif de partage d'expériences et faire des réunions thématiques régulières par exemple : - Expériences d'implémentation de SMSI - Comment faire un levier de l'iso27001? Qu'est-ce que la norme peut apporter? comment éviter d'aller dans le mur? - Réflexion autour de l'it Management : la cross certification? le positionnement de la ISO par rapport aux autres référentiels 20000, sorbanes Oxley,contrôle interne,... - Mariage de l'analyse de risque avec l'iso Développer un cas pratique, servant d'exemple type pour expliquer et sensibiliser Agir pour faire du lobbying? Oui a priori. Encore faut-il fixer un objectif. Pour faire du lobbying faut déterminer ce que l'on veut changer. il Cet objectif ne rencontre pas à ce stade un consensus. La conclusion est qu'il faut laisser mûrir le club et qu'il est un peu pour décider plus avant des objectifs à fixer. tôt En attendant, il faut des volontaires pour trouver des sujets intéressant et organiser tous les 2 mois les réunions plénières. Liste de discussion 8 / 10
9 La publication des noms des personnes inscrites dans la liste club-iso27991.fr (128 membres) pourra être effectuée pour les personnes ayant donné leur accord. Aujourd'hui il n'y a pas de régulation sur cette liste. Il faudra probablement en prévoir une à l'avenir, notamment pour éviter qu'elle serve de média à la publication d'informations commerciales. Décisions Sont actées par les participants, à l'unanimité, les décisions suivantes: - Le groupe doit rester ouvert - tout le monde doit pouvoir y venir. - Pas de cotisation obligatoire. - Fréquence des réunions : 2 mois. - Il n'est pas souhaité le rapprochement ou la constitution d'une association à ce stade. - L'anglais n'est pas interdit pour animer des présentations. - Signature d'un NDA pour chaque personne participant aux réunions afin d'éviter la divulgation d'informations confidentielles éventuellement communiquées par les participants. Chaque personne 9 / 10
10 pouvant demander si elle le souhaite que telle ou telle information ne figure pas au compte-rendu. - Le compte-rendu sera publié sur le site et diffusé aux membres de la liste. Pour les prochaines réunions, il sera décidé si oui ou non le compte-rendu sera disponible aux personnes n'ayant pas participé à la réunion. - La publication des présentations est laissée à l'appréciation de chaque orateur. 10 / 10
Certification ISO 27001
Certification ISO 27001 26 octobre 2006 Alexandre Fernandez Hervé Schauer Sommaire ISO 27001 : PDCA Certification d'un système de management Processus de certification Schéma de certification Accréditation
Plus en détailConsulter notre site : www.nt2s.net. Network Telecom Security Solutions. www.hsc.fr. en partenariat technique avec
NOS PARTENAIRES Network Telecom Security Solutions en partenariat technique avec Conseil, formation et accompagnement Création, Gestion et Stratégie Management et sécurité de l'information stratégique
Plus en détailMETIERS DE L INFORMATIQUE
METIERS DE L INFORMATIQUE ISO 27001 LEAD AUDITOR REF : GOMO019 DUREE : 5 JOURS TARIF : 3 500 HT Public Toute personne amenée à conduire des audits dans le domaine de la sécurité des systèmes d'information.
Plus en détailClub 27001 toulousain
Club 27001 toulousain Couverture organisme national Ordre du jour Fonctionnement du Club (Hervé Schauer - HSC) Comment mettre en œuvre une politique de sécurité cohérente et pragmatique (Hervé Schauer
Plus en détailplate-forme mondiale de promotion
plate-forme mondiale de promotion À propos de The Institute of Internal Auditors (Institut des auditeurs internes) L'institut des auditeurs internes (IIA) est la voix mondiale de la profession de l'audit
Plus en détailCatalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4
Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à
Plus en détailNORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE
NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE SOMMAIRE Paragraphes Introduction... 1-4 Personnes
Plus en détailAUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre?
Réunion CCI Franche-Comté - Besançon 13 mai 2014 AUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre? Paule.nusa @afnor.org Nour.diab@afnor.org
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailLes clauses «sécurité» d'un contrat SaaS
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric
Plus en détailLa politique de sécurité
La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,
Plus en détailPRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION
Audit Informatique PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION UE1 Jean-Louis Bleicher HEURES : 6 1) Systèmes d'information et audit : Les systèmes et technologies de
Plus en détailREGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552
REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552 Date d application : 4 février 2013 DOC-PC 024 version 02 1/13 SOMMAIRE PAGES 1 OBJET 3 2 TERMINOLOGIE 3 et 4 3 DOCUMENTS DE REFERENCE
Plus en détailSANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents
Créée en 1989, Hervé Schauer Consultants (HSC), est une société spécialisée dans l expertise de conseil en sécurité des systèmes d information. De taille humaine (28 personnes dont 22 consultants), HSC
Plus en détailMarquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD
Marquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD (Version 11 juillet 2008) 1- Quels enrobés doivent être marqués? Tous les enrobés bitumineux
Plus en détailRetour sur investissement en sécurité
Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité? Les Assises de la Sécurité Monaco, 21 octobre 2005 Hervé Schauer Hervé Schauer
Plus en détailISO 27001:2013 Béatrice Joucreau Julien Levrard
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Béatrice Joucreau Julien Levrard Sommaire La norme
Plus en détailCinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro <Alexandre.Fernandez-Toro@hsc.fr>
Cinq questions sur la vraie utilité de l'iso 27001 Alexandre Fernandez-Toro Contexte On parle de SMSI depuis 2002 Est-ce un effet de mode? Est-ce une bulle entretenue
Plus en détailGestion des incidents
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence
Plus en détailRapport d'audit étape 2
Rapport d'audit étape 2 Numéro d'affaire: Nom de l'organisme : CMA 76 Type d'audit : audit de renouvellement Remarques sur l'audit Normes de référence : Autres documents ISO 9001 : 2008 Documents du système
Plus en détailNuméro du document: N 073. Compte rendu de la réunion du GT méthodologie générale du 26 mars 2013
Plate-forme d'échanges affichage environnemental des PGC Date : 2013-05-03 Assistante: Lydia GIPTEAU Ligne directe : + 33 (0)1 41 62 84 20 Lydia.gipteau@afnor.org GT Méthodologie Numéro du document: N
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détailAudit interne. Audit interne
Définition de l'audit interne L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA
HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard
Plus en détailFiche conseil n 16 Audit
AUDIT 1. Ce qu exigent les référentiels Environnement ISO 14001 4.5.5 : Audit interne EMAS Article 3 : Participation à l'emas, 2.b Annexe I.-A.5.4 : Audit du système de management environnemental SST OHSAS
Plus en détailTHEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Plus en détailSMSI et normes ISO 27001
SMSI et normes ISO 27001 introduction et perspectives Conférence "SMSI et normes 27001" 21 novembre 2007 Hervé Schauer Eric Doyen Sommaire Cahiers Oxford (publicité) Roue de Deming ISO 27001 Ensemble des
Plus en détailCertification de Systèmes de Management Recertification
Certification de Systèmes de Management Recertification Organisme CCTB SA Adresse 7, Impasse du Battoir CH-1845 Noville Représentant(e) Monsieur Stephan Grangier Référentiel(s) ISO 9001:2008 N certificat(s)
Plus en détailModèle Cobit www.ofppt.info
ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Modèle Cobit DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO 27001 DCSSI/CFSSI 28 mars 2007 Alexandre Fernandez Hervé
Plus en détailHEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification
Les référentiels SMI, normes, processus de certification 1 Définitions selon le Guide ISO/IEC 2:2004 Norme Document, établi par consensus et approuve par un organisme reconnu, qui fournit, pour des usages
Plus en détailConservatoire national des arts et métiers - Centre de Marne la Vallée L'ITIL : Un référentiel pour la qualité des systèmes d'information
Conservatoire national des arts et métiers - Centre de Marne la Vallée L'ITIL : Un référentiel pour la qualité des systèmes d'information Mémoire d'examen probatoire en informatique soutenu le vendredi
Plus en détailContrôle interne et organisation comptable de l'entreprise
Source : "Comptable 2000 : Les textes de base du droit comptable", Les Éditions Raouf Yaïch. Contrôle interne et organisation comptable de l'entreprise Le nouveau système comptable consacre d'importants
Plus en détailMenaces et sécurité préventive
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18
Plus en détailClub 27001 toulousain 7 février 2014. Couverture organisme national
Club 27001 toulousain 7 février 2014 Jeudi Vendredi 4 juillet 7 février 2013 2014 Couverture organisme national 1 Introduction des nouvelles normes 27001 et 27002 (Jacques Sudres, C-S) Comparatif de la
Plus en détailLes clauses sécurité dans un contrat de cloud
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Openday 23 juin 2011 Les clauses sécurité dans un contrat de cloud
Plus en détailQu'est-ce que la normalisation?
NORMALISATION 1 Qu'est-ce que la normalisation? La normalisation est un outil élémentaire et efficace des politiques européennes, ses objectifs étant de : contribuer à la politique visant à mieux légiférer,
Plus en détailL audit Informatique et la Qualité
L audit Informatique et la Qualité Bennani Samir Ecole Mohammadia d Ingénieurs sbennani@emi.ac.ma emi.ac.ma Qu'est-ce que l'audit informatique? Pour Directeur général : voir plus clair dans l'activité
Plus en détailCatalogue des formations 2014 #CYBERSECURITY
Catalogue des formations 2014 #CYBERSECURITY INDEX DES FORMATIONS Cliquez sur la formation de votre choix MANAGEMENT DE LA SECURITE DES SYSTEMES D INFORMATION - ISO 27001 : Certified Lead Auditor - ISO
Plus en détailcurité des TI : Comment accroître votre niveau de curité
La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos
Plus en détailMINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION
MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION 02 CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION
Plus en détailPASSI Un label d exigence et de confiance?
PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,
Plus en détailL Audit selon la norme ISO27001
L Audit selon la norme ISO27001 5 ème Rencontre des Experts Auditeurs ANSI Anissa Masmoudi Sommaire 1. La norme ISO27001 2. La situation internationale 3. L audit selon la norme ISO27001 4. Audit 27001
Plus en détailÉvaluation de la conformité Certification des produits OEM (mise à jour : octobre 2010)
Évaluation de la conformité Certification des produits OEM (mise à jour : octobre 2010) Traduction non officielle du document "Antworten und Beschlüsse des EK-Med" 3.9 1010 B 16 publié sur le site internet
Plus en détailCatalogue de Formations
Catalogue de Formations QUALITY & INNOVATION Tel : +33 (0) 1 39 56 11 34 Gsm : +33 (0) 6 48 29 84 54 Fax : +33 (0) 1 60 14 61 82 www.q2i-edu.fr 1 Ce catalogue a pour objectif de vous renseigner sur le
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailBrève étude de la norme ISO/IEC 27003
RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr
Plus en détailEXEMPLE DE RAPPORT D'AUDIT. Site Internet
EXEMPLE DE RAPPORT D'AUDIT Site Internet Important : Ceci est un exemple d'audit d'un site (factice) communément classé dans la catégorie "plaquette", c'est-à-dire présentant en moins de 10 pages l'activité
Plus en détail«Audit Informatique»
U N I V E R S I T É P A R I S 1 P A N T H É O N - S O R B O N N E Formation «Audit Informatique» 2014 Formation «Audit Informatique» Du 20 mars au 14 juin 2014 DIRECTION DE PROGRAMME : Christine TRIOMPHE,
Plus en détailImport de comptes (xls)
Import de comptes (xls) BIG 1 O2S Import de comptes Sommaire Introduction... 3 Modalités de mise en œuvre... 4 Accès à l'import des comptes (xls)... 4 Télécharger le fichier modèle (xls)... 4 Renseigner
Plus en détail«Audit Informatique»
U N I V E R S I T É P A R I S 1 P A N T H É O N - S O R B O N N E Formation «Audit Informatique» 2015/2016 Formation «Audit Informatique» Du 05 novembre 2015 au 07 février 2016 DIRECTION DE PROGRAMME :
Plus en détailA) Les modifications du champ d'application du Règlement n 1346
La proposition de la Commission pour la révision du Règlement "faillite": une deuxième chance pour les entreprises en difficulté Durant le mois de mars 2012, une consultation publique a été lancée, sollicitant
Plus en détailParmi elles, deux ont accédé à un statut véritablement mondial et sont aujourd hui entièrement intégrées à l économie mondiale :
Norme ISO ISO signifie International Standards Organization. Il s agit de l organisation internationale de normalisation, qui chapeaute tous les organismes de normalisation nationaux et internationaux.
Plus en détailSuite dossier d appel
Suite dossier d appel Table des matières 1. INTRODUCTION... 3 2. TRAITEMENT D'UN APPEL... 4 2.1. TRAITEMENT EN DIRECT... 4 2.2. TRAITEMENT DIFFERE... 4 2.3. MECANISME DU TRAITEMENT D'UN APPEL AU NIVEAU
Plus en détailMise en œuvre de la certification ISO 27001
Mise en œuvre de la certification ISO 27001 1 Sommaire : 1. Définitions 2. Pourquoi vouloir obtenir une certification? 3. Les étapes pour obtenir l ISO 27001 4. Implémentation 5. Surveillance et audit
Plus en détailConférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015
Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif
Plus en détailRÈGLES DE CERTIFICATION D ENTREPRISE
RÈGLES DE CERTIFICATION D ENTREPRISE Fabrication et transformation de matériaux et d emballages destinés au contact des aliments : respect des règles d hygiène (méthode HACCP) Réf. Rédacteur LNE PP/GLB
Plus en détailSOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance
SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance Procédures de contrôle interne relatives à l'élaboration et au traitement de l'information comptable et financière
Plus en détailISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information
NORME INTERNATIONALE ISO/CEI 27005 Deuxième édition 2011-06-01 Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information Information technology Security
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Comparatif avec la version 2005 Béatrice Joucreau Julien
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité
Plus en détailLA GESTION DES SERVICES INFORMATIQUES À L'ÉPREUVE DU TERRAIN
ÉTUDE ITIL ITIL/ITSM ITSM Novice ou expert? LA GESTION DES SERVICES INFORMATIQUES À L'ÉPREUVE DU TERRAIN Sondage réalisé auprès de 93 entreprises pour le compte d'ibm conception graphique et réalisation
Plus en détailSYSTÈME DE MANAGEMENT ENVIRONNEMENTAL
15 e École d été en évaluation environnementale Évaluation de la durabilité du développement urbain et industriel : outils d analyse de l empreinte écologique et des impacts sociaux et sanitaires Douala,Hôtel
Plus en détailConseil Économique et Social
NATIONS UNIES E Conseil Économique et Social Distr. GÉNÉRALE TRANS/WP.15/AC.2/2002/2 8 novembre 2001 Original : FRANÇAIS COMMISSION ÉCONOMIQUE POUR L'EUROPE COMITÉ DES TRANSPORTS INTÉRIEURS Groupe de travail
Plus en détailLa pratique de l ITSM. Définir un plan d'améliorations ITSM à partir de la situation actuelle
La pratique de l ITSM Définir un plan d'améliorations ITSM à partir de la situation actuelle Création : avril 2012 Mise à jour : avril 2012 A propos A propos du document Ce document pratique est le résultat
Plus en détailPartie 1 : Introduction
Objectifs de la formation L'intérêt des organisations informatiques pour les meilleures pratiques ITIL est maintenant prouvé au niveau mondial. Outre l'accent mis sur l'alignement de l'informatique sur
Plus en détailLa dissolution et la liquidation en un seul acte
La dissolution et la liquidation en un seul acte La loi du 25 avril 2014 portant des dispositions diverses en matière de Justice a apporté de nouvelles modifications à l'article 184, 5 du Code des sociétés
Plus en détailBesoin de protéger vos informations? Prenez des mesures grâce à l ISO/IEC 27001 de BSI.
Besoin de protéger vos informations? Prenez des mesures grâce à l ISO/IEC 27001 de BSI. L ISO/IEC 27001 de BSI - votre premier choix en matière de sécurité de l information. BSI est l organisme de normalisation
Plus en détailNormes pour la pratique professionnelle de l'audit interne
Normes pour la pratique professionnelle de l'audit interne Copyright 2001 de The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201. Tous droits réservés. Conformément
Plus en détailProjet d'engagements de Henkel dans le cadre d'une procédure de non-contestation de griefs dans les affaires n 06/OOOlF et 06/0042F
3 Projet du 2l août 20 13 Projet d'engagements de Henkel dans le cadre d'une procédure de non-contestation de griefs dans les affaires n 06/OOOlF et 06/0042F Au cours de l'année 2008 et à la suite des
Plus en détailRéponse du Conseil d Etat à la question écrite urgente de M. François Lefort : Le Conseil d Etat a-t-il estimé l évasion fiscale à partir de Genève?
Secrétariat du Grand Conseil QUE 72-A Date de dépôt : 15 mai 2013 Réponse du Conseil d Etat à la question écrite urgente de M. François Lefort : Le Conseil d Etat a-t-il estimé l évasion fiscale à partir
Plus en détailLignes directrices européennes (1998)
Lignes directrices européennes (1998) Légende: Lignes directrices européennes, présentées en 1998, concernant l'application des normes de contrôle de l'organisation internationale des institutions supérieures
Plus en détailCurriculum Vitae. CV - Cesare Gallotti - FRA 2014-06-30 Page 1 of 9
Curriculum Vitae Cesare Gallotti Né à Milan (Italie) le 11 février 1973 Domicilié en Ripa di Porta Ticinese 75-20143 Milan - Italie Tel. +39.02.58.10.04.21 Mobile +39.349.669.77.23 Email : cesaregallotti@cesaregallotti.it
Plus en détailITIL v3. La clé d une gestion réussie des services informatiques
ITIL v3 La clé d une gestion réussie des services informatiques Questions : ITIL et vous Connaissez-vous : ITIL v3? ITIL v2? un peu! beaucoup! passionnément! à la folie! pas du tout! Plan général ITIL
Plus en détail2012 / 2013. Excellence. Technicité. Sagesse
2012 / 2013 Excellence Technicité Sagesse Audit Conseil >> Présentation d ATHENA ATHENA est une société de services fondée en 2007 offrant des prestations dans les domaines de la sécurité informatique
Plus en détailSOMMAIRE. Bureau Veritas Certification FranceGP01 Certification de systèmes de management 2015-05-15.docx Page 2/21
Procédure de Certification de systèmes de management GP01 Version du 15 mai 2015 SOMMAIRE 1. Proposition de certification... 3 1.1 Candidature... 3 1.1.1 Schéma général... 3 1.1.2 Schéma Multi-sites...
Plus en détailPlan de travail du Bureau de l audit et de la surveillance du FIDA pour 2011
Cote du document: EB 2010/101/R.41 Point de l'ordre du jour: 17 b) Date: 9 novembre 2010 Distribution: Publique Original: Anglais F Plan de travail du Bureau de l audit et de la surveillance du FIDA pour
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailREFERENTIEL DE CERTIFICATION
REFERENTIEL DE CERTIFICATION Référentiel I4 NF 285 Edition : Janvier 2015 N de révision : 4 ORGANISMES CERTIFICATEURS CNPP Cert. Route de la Chapelle Réanville CD 64 - CS 22265 F- 27950 SAINT-MARCEL Tél.
Plus en détailREGLES DE CERTIFICATION MARQUE NF REACTION AU FEU MANCHONS ET PLAQUES D ISOLATION THERMIQUE EN ELASTOMERE EXPANSE PARTIE 4
REGLES DE CERTIFICATION MARQUE MANCHONS ET PLAQUES D ISOLATION THERMIQUE EN ELASTOMERE EXPANSE PARTIE 4 PROCESSUS DE SURVEILLANCE DES PRODUITS CERTIFIES MODIFICATIONS ET EVOLUTION SOMMAIRE 4.1. Processus
Plus en détailAVANT-PROPOS CREATIVITE, FEMMES ET DEVELOPPEMENT L'EXEMPLE QUI VIENT DES AUTRES...
AVANT-PROPOS CREATIVITE, FEMMES ET DEVELOPPEMENT L'EXEMPLE QUI VIENT DES AUTRES... Tellement à la mode depuis quelques années, le mot de créativité est peut-être déjà démodé. La publicité, la médiatisation,
Plus en détailITIL V2. Historique et présentation générale
ITIL V2 Historique et présentation générale Création : novembre 2004 Mise à jour : août 2009 A propos du document Ce document de référence sur le référentiel ITIL a été réalisé en 2004 et la traduction
Plus en détailCATALOGUE DE FORMATIONS - 2014
CATALOGUE DE FORMATIONS - 2014 Sommaire : 1. Mots du président :... 2 2. Les atouts d ISQuality... 2 3. Notre gamme de formations et conférences... 4 4. Fidélisation de nos clients et partenaires.... 4
Plus en détailConditions générales de certification AFNOR Certification
Conditions générales de certification AFNOR Certification dans le cadre d évaluation de système de management/ certification de services ARTICLE 1 : CADRE CONTRACTUEL Le contrat qui régit les relations
Plus en détailCahier des charges pour la réalisation d un audit externe du programme GUS / OFS
Département fédéral de l intérieur (DFI) Office Fédéral de la Statistique OFS Etat-major Cahier des charges pour la réalisation d un audit externe du programme GUS / OFS Table des matières 1 Généralités
Plus en détailLes AST dans l impasse?
Texte en débat Les AST dans l impasse? Huit propositions d'u4u pour redynamiser les carrières des collègues AST Depuis l'entrée en vigueur de la dernière réforme du Statut, les discussions sur l'avenir
Plus en détailConditions générales de certification dans le cadre d évaluation de système de management/ certification de services
Conditions générales de certification dans le cadre d évaluation de système de management/ certification de services ARTICLE 1 : CADRE CONTRACTUEL Le contrat qui régit les relations entre CERTIBAT et les
Plus en détailCONTRAT LOGICIEL CERTIFICATION
CONTRAT LOGICIEL CERTIFICATION Conditions Générales Entre, la Société CERTIF.ME, Société par Actions Simplifiée au capital de 10 000, dont le siège social est fixé à CEBAZAT 63118 13 Rue du Stade, immatriculée
Plus en détailCopyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
VOLET N 3 1 Politiques de sécurité et normes Définition d une politique cadre et des politiques ciblées de sécurité Exemples de politiques de sécurité Mise en œuvre des politiques de sécurité au sein de
Plus en détailLa conformité et sa dérive par rapport à la gestion des risques
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet La conformité et sa dérive par rapport à la gestion des risques Matinée
Plus en détailFormation en SSI Système de management de la SSI
Formation en SSI Système de management de la SSI 1 Présentation de la formation Objectif de la formation : "à l'issue de cette formation les stagiaires auront compris comment réaliser une PSSI d'unité
Plus en détailLa Bourse aux Financements Solidaires (BFS)
La Bourse aux Financements Solidaires (BFS) 1/ Contexte Socio-économique global La BFS est née d'un double constat. D'une part, le parcours d'un créateur d'entreprise ou d'activité est difficile, particulièrement
Plus en détailPanorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)
Panorama de l'évolution du cloud et des Datacenters ; La sécurité dans les domaines d'orchestration (cloud et virtualisation) Eric Deronzier (YSOSECURE) Rémi Grivel (SynAApS) 1 L évolution des usages TIC
Plus en détail