Club ANNUAIRE 2015 OUTILS SMSI

Transcription

1 Club ANNUAIRE 2015 OUTILS SMSI Mars 2015 CLUB Site Internet : Adresse club-27001@club fr

2

3 Avant propos L'association "Club 27001" rassemble des professionnels de la sécurité des systèmes d'information, et s'intéresse plus particulièrement aux normes de la série ISO A la demande de ses membres, l'association a entrepris dès 2012 d'identifier et d analyser des outils qui peuvent leur être utiles dans la conception et le maintien de leurs Systèmes de Management de la Sécurité de l'information (SMSI). Un groupe de travail Benchmark des outils SMSI a donc été formé pour piloter ce projet. En 2013, une première édition du Livre Blanc «Benchmark Outils SMSI» a été publiée et est disponible à l adresse : Une édition 2015 est en cours d élaboration. A cette occasion, le groupe de travail a constitué et contacté une liste d éditeurs d outils logiciels permettant de contribuer en tout ou partie à la mise en œuvre et à l exploitation d un SMSI. Cet annuaire regroupe l ensemble des informations administratives fournies par les éditeurs sous leur seule responsabilité. Il s agit bien entendu d une aide à l identification d une solution logicielle et en aucun cas de l engagement du Club vis-à-vis de l un ou l autre des éditeurs mentionnés. Cet annuaire ne saurait être considéré comme exhaustif et pourra faire l objet de compléments, notamment de nouveaux éditeurs souhaitant répondre à notre questionnaire et communiquer auprès de la communauté du Club N hésitez pas à nous contacter (benchmark@club fr) pour nous soumettre vos suggestions et remarques. Enfin, je tiens à remercier l ensemble des éditeurs ayant répondu favorablement à nos questions ainsi que les membres de l association soutenant cette initiative. Florence Le Goff, animatrice du Groupe de Travail Thomas Lebouc, initiateur et animateur du Groupe de Travail La loi française du 11 mars 1957 n'autorisant, aux termes des alinéas 2 et 3 de l'article 41, d'une part, que les "copies strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans un but d'exemple, "toute reproduction intégrale, ou partielle, faite sans le consentement du club 27001, est illicite" (alinéa 1er de l'article 40).En cas de besoin du texte, à des fins personnelles ou commerciales ainsi que de toute information contenue dans le site web, nous vous invitons à prendre contact avec le club au préalable. Annuaire - Outils SMSI Mars 2015 Page 3

4 I. Editeurs Identifiés Solution Editeur Nationalité Participation à cet Annuaire STREAM Acuityrm Grande Bretagne Page 5 Score PDCA ISM Ageris France Page 9 EBIOS 2010 ANSSI France Page 13 ISMart Biznet Turquie Page 17 Entropy BSI Grande Bretagne N a pas répondu à ce jour Bwise GRC Bwise Pays-Bas N a pas répondu à ce jour Callio-Secura Callio technologie Canada N a pas répondu à ce jour Mehari Clusif France Page 21 RVR DEVOTEAM France Page 25 DPCIA DPCIA France N a pas répondu à ce jour Easy2comply DynaSec Itd Israel N a pas souhaité participer SGSI ECIJA Espagne Page 29 Front GRC efront France Page 33 RSA Archer egrc EMC-RSA Etats-Unis N a pas répondu à ce jour Enablon RM Enablon France N a pas souhaité participer EGERIE Risk Manager Fidens France Page 37 Gesttic Or Gesttic Espagne N a pas répondu à ce jour OpenPages IBM Etats-Unis Page 41 DCM Manager ID Nouvelles France Page 45 Brainwave Identity GRC France N a pas répondu à ce jour IsoVision IsoVision Canada N a pas souhaité participer Kleverware IAG Kleverware France Page 49 FENCE MDAL France Page 53 MEGA MEGA suite France N a pas répondu à ce jour MetricStream GRC MetricStream Etats-Unis N a pas souhaité participer Modulo Modulo Etats-Unis N a pas répondu à ce jour ISOSystemPlus Netcomm Etats-Unis N a pas répondu à ce jour JKT9000 Noweco Allemagne N a pas répondu à ce jour Optimiso Optimiso Group Suisse Page 57 Blue Suite Oxial Suisse N a pas répondu à ce jour ManageISMS Paladion Inde N a pas répondu à ce jour Profisse PROFIS S.A.S France N a pas répondu à ce jour RealISMS Realiso Corp Etats-Unis N a pas répondu à ce jour In4Risk Sagenti Canada N a pas répondu à ce jour Self-Expert SE-Conseil France N a pas répondu à ce jour Verinice Sernet Allemagne Page 61 RSSI-Pilote Siva France N a pas répondu à ce jour II. Questionnaires administratifs Les informations publiées ici ont été fournies par les éditeurs. Annuaire - Outils SMSI Mars 2015 Page 4

5 STREAM Acuityrm Annuaire - Outils SMSI Mars 2015 Page 5

6 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club ( (oui/non) 1. Administratif o Nom de l éditeur Acuity RM o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) STREAM Integrated Risk Manager, V3 + ISO Application 2013 (9 parutions) o Langue(s) outil Anglais Francais, Allemand, Russe, Espagnol Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Simon Marvell, Partenaire simon.marvell@acuityrm.com Liberty House, 222 Regent Street, London, W1B 5TR 17 Octobre Angleterre et Inde Anglais Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France Deux équipes ou partenaires fournisseur dédié. La mise en œuvre est simple et rapide et peut être pris en charge à distance via des réunions en ligne. Depuis 2008 / ISO Compliance Manager, Risk Manager & Events Manager / UK Department for Education - large Government Department / UK Depuis 2009 / ISO Compliance Manager, Risk Manager & Events Manager / Fujitsu Services - large Managed Services provider / UK Depuis 2009 / ISO Compliance Manager, Risk Manager & Events Manager / NHS in Wales - large Health Services provider / UK 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test incluses dans la démonstration (oui / non) Simple Utilisateur (SU) édition gratuite - ISO Application 250 mais cela requiert d'avoir la licence payante de STREAM. Il existe une edition Mutli Utilisateurs et le prix est basé sur le nombre d'utlisateur. SU par an. Veuillez nous contacter si vous souhaitez des prix pour la version Mutli Utilisateurs. Le support est en option pour une licence perpetuelle. Pour une licence annuelle le support est inclu. Plusieurs options sont disponibles - Veuillez nous contacter. Windows 98 / 2000 / XP / Vista / 7 /8. MS SQL Server 2005 / 8 / 12 Oui, en Angleterre.NET, C Client léger, navigateur et l'accès mobile (ipad, iphone, Android) via une solution de virtualisation Les deux. Démonstration en vidéos et téléchargements gratuits sur notre site internet. STREAM simple utilisateur (SU) edition gratuite du logiciel STREAM. ISO application pour STREAM SU coute Oui Annuaire - Outils SMSI Mars 2015 Page 6

7 5. Grandes fonctionnalités et données "votre produit aide-t-il à?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) o Définition et partage de la Politique SMSI Hyperliens vers des documents de politique o Définition et partage de l'organisation et des Responsabilités Construire une hiérarchie de l'entreprise, en attribuer la propriété à des risques, des contrôles, o Gestion de la cartographie des processus Définir les processus et lien avec les ressources, la hiérarchie de l'entreprise, attribuer la o Gestion de la cartographie des actifs (primordiaux et supports) Classes d'actifs flexibles permetant aux actifs destinés à être définies et cartographiées - ISO identification des risques (par l'utilisateur et / ou pré-rempli sur la base des relations actifs / classes d'actifs / risque). Impact sur les entreprises et l'évaluation de la o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), probabilité contre A, I, C. Contrôles liés par l'utilisateur et / ou pré-remplie basée sur les identification des risques, critères proposés (DICP ), évaluation, relations actifs / classes d'actifs / contrôle. Évaluation des risques résiduels sur la base de la risques résiduels) LFI, l'évaluation de la probabilité et de l'importance et de la performance des contrôles d'atténuation. o Création d'une DDA/SOA (liste des mesures de sécurité) SOA disponible sous forme de rapport et aussi une exportation vers MS Excel o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) Plan de traitement des risques disponibles en rapport avec une série de rapports à l'appui. Vaste module de gestion des mesures pour élever, suivre et rendre compte des actions. o Gestion des Incidents o Génération d'indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) o Planification d'actions périodiques (réunion, contrôle à réaliser ) o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) Enregistrer, suivre et rapport sur les incidents et les quasi-accidents. Attribuer la propriété des événements et faire des actions. La page d'accueil fournit un tableau de bord personnalisé des informations essentielles sur : l'état de risque, l'état de conformité, l'état des événements, horaires des évaluations, approbations et les actions. Nom et heure enregistrés sur la création / modification des éléments importants de l'utilisateur. Processus d'approbation pris en charge. Flux de travail avec cession de propriété, les dates et les alertes se font par . Vaste module de gestion des mesures pour élever, suivre et rendre compte des actions posées contre les risques, les contrôles, les incidents et les accidents évités de justesse. Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) Hyperliens vers les documents pertinents, tels que les politiques, les procédures, les preuves, les rapports d'audit etc o Gestion des enregistrements (suivi, preuves) Envoi d' s afin d'effectuer le suivi des actions relatives aux documents. Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) Extention des rapports de déclaration de l'applicabilité et de traitement des risques. Les rapports standard pour le Top 10 des risques, l'état de contrôle, les incidents et les o Rapports types (rapport d audit ) accidents évités de justesse, les tendances historiques, les approbations et les actions. ISO 27001, ISO et un large éventail d'autres données de référence y compris les propres o Référentiels types (ISO 27001, ISO 27002). normes de contrôle des utilisateurs et des listes de risque. Workflows Calendrier des actifs et des approbations, d'alerte sur la répartition des rappels de o Gestion des Workflows calendrier régulier pour les évaluations à venir et en retard, les approbations et les actions. Annuaire - Outils SMSI Mars 2015 Page 7

8 Annuaire - Outils SMSI Mars 2015 Page 8

9 Score PDCA ISM Ageris Annuaire - Outils SMSI Mars 2015 Page 9

10 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club ( (oui/non) M. Thierry RAMARD thierry.ramard@ageris-group.com 16 rue de Pont-à-Mousson METZ 30-juil Administratif o Nom de l éditeur o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) o Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support AGERIS Software AGERIS GROUP Score Compliance Français France Français Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) Conseil Général de Seine Maritime / à ce jour / Suite logicielle Score / 4500 employés / France o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) Banque PICTET / à ce jour / Score Compliance / 300 employés / Suisse o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) Banque Postale / à ce jour / Score Compliance / employés / Maroc o Principales références et présences en France Communauté Urbaine de Strasbourg, Adisseo, CH Ajaccio, IBO 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test inclues dans la démonstration (oui / non) par utilisateur HT Office 2010 minimum Non Solution basé sur Excel client lourd ou léger Outil mono ou multi utilisateur Démonstrations gratuites A définir avec le client oui Annuaire - Outils SMSI Mars 2015 Page 10

11 5. Grandes fonctionnalités et données "votre produit aide-t-il à?" veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) o Définition et partage de la Politique SMSI o Définition et partage de l'organisation et des Responsabilités 4 modèles de politique sont disponibles dans le logiciel Score Compliance : - Politique à destination des PME / PMI - Politique à destination des collectivités locales - Politique à destination des établissements de santé En complément à ces documents, il est également disponibles, des modèles de chartes (utilisateurs, informaticiens, IRP, Tiers) ainsi que des documents permettant de formaliser un plan d'actions. Ces modèles de documents sont personnalisables et diffusables au travers des outils internes de l'entreprise habituellement utilisée. Un exemple de modèle organisationnel ainsi que la définition de rôles et responsabilités sont disponibles dans un document de référence. La diffusion de l'organisation reste à la charge de l'entreprise qui utilisera les moyens internes habituellement utilisés pour partager l'information (mail, intranet, etc.) o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP ), évaluation, risques résiduels) o Création d'une DDA/SOA (liste des mesures de sécurité) Score Compliance permet de cartographier les processus au travers d'une FRP (Fiche de Renseignement des Processus). Cette FRP inclut une analyse des risques basée sur la norme ISO ainsi que la synthèse d'une analyse des besoins de sécurité. A travers des FRP (cf. ci-dessus), l'utilisateur peut référencer les actifs supports et les classifier selon leur contribution à la réalisation du processus concerné (actif primodial) et les enjeux de sécurité (DICP). Un module dédié à l'appréciation des risques est proposé. Il est basé sur la norme ISO ce module inclut une série d'évènements liés l'usage des SI mais également des événements de toute nature qui pourraient porter préjudicie à l'entreprise (plus de 40 évènements). L'appréciation des risques est basée sur l'analyse de la gravité et de la vraisemblance des évènements qui peuvent impacter la disponibilité, l'intégrité, la confidentialité ou la traçabilité des informations et des SI. Une cartographie Score Compliance permet la génération de la DDA/SOA : Les données issues d'un diagnostic ISO sont automatiquement intégrées dans la version de travail qui peut ensuite être complétée manuellement. o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) Score Compliance permet la gestion du plan de traitement des risques au travers de la selection de mesures de sécurité basé sur les bonnes pratiques émises par les autorités compétentes. Il permet la définition et le suivi du plan d'actions SSI. o Gestion des Incidents o Génération d'indicateurs (conformité, efficacité, avancement) Un module est dédié à la gestion des incidents et vise à concervé un historique à destination de la Direction Générale. Score Compliance intègre un module dédié aux tableaux de bord. Les indicateurs sont basés sur la norme NF ISO : 2013, la norme NF ISO : 2013, les règles d'hygiène de l'anssi, les directives de la PSSI. L'utilisateur a la possibilité de personnaliser ses indicateurs. o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) o Planification d'actions périodiques (réunion, contrôle à réaliser ) Score Compliance intègre différents modules qui permettent de mesurer la conformité et l'efficacité des dispositifs et des processus du SMSI (audit NF ISO : 2013; audit NF ISO : 2013, audit loi "informatique et libertés", audit sensibilisation des utilisateurs, audit du PCA / PRA, audit PCI-DSS, audit Mehari, etc.) Un module est dédié à la planification des actions périodiques. De base les actions périodiques de base (revue de direction, réunion de pilotage, audit de conformité, audit technique, ) sont personnalisable par l'utilisateur et son programmable sur 5 ans. o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) Score Compliance permet la gestion du plan d'amélioration au travers des modules de suivi annuels (configurable par l'utilisateur). Les indicateurs permettent de vérifier l'amélioration continue de la sécurité au travers des tableaux de bord générés automatiquement. Documentation o Gestion documentaire (création, consultation, mise à jour de la documentation de référence, accessibilité, versionning) Score Compliance permet le stockage de tous les documents du SMSI au travers de fonctions simples accessibles à l'utilisateur. o Gestion des enregistrements (suivi, preuves) Score Compliance permet le stockage de tous les documents y compris les compte rendu de révisions du SMSI au travers de fonctions simples accessibles à l'utilisateur. Données & base de connaissance : Score Compliance intègre de nombreux modèles permettant à l'utilisateur de mettre en œuvre son SMSI. Sont notamment inclus : des modèles de Politiques de sécurité, charte utilisateur, o Modèles types (PSMSI, enregistrements types,...) des questionnaire d'analyse des enjeux et de BIA, des modèles de tableaux de bord, des fiches de renseignement (FRP, FRT, FTMO). o Rapports types (rapport d audit ) o Référentiels types (ISO 27001, ISO 27002). Score Compliance génére automatiquement des rapports.doc et.ppt sur certains modules notamment d'audit (ISO 27001, ISO 27002, DDA, etc.) - Norme NF ISO : outil de diagnostic informatisé - Norme NF ISO : outil de diagnostic informatisé - Norme NF iso : outil d'apprécaition des risques informatisé - Règles d'hygiène de l'informatique de l'anssi - outil de diagnostic informatisé - Guide de maturité de l'anssi - Outil de diagnostic Informatisé - RGS outil de diagnostic informatisé - Guide GISSIP - outil de constitution de dossier de sécurité informatisé Workflows o Gestion des Workflows Annuaire - Outils SMSI Mars 2015 Page 11

12 Annuaire - Outils SMSI Mars 2015 Page 12

13 EBIOS 2010 ANSSI Annuaire - Outils SMSI Mars 2015 Page 13

14 Questionnaire pour l'analyse de logiciels de management de la sécurité de l'information utilisables dans le cadre des normes ISO 2700X Contact o Nom et fonction du répondant o Adresse de contact Mail o Adresse postale de contact o Date de la réponse J'autorise la publication de ces informations sur le site internet du club ( (oui/non) 1. Administratif o Nom de l éditeur o Si rattachement à un groupe, préciser o Nom et version de l'outil o Date de la première version de l outil (nombre de versions) o Langue(s) outil Les questions suivantes concernent uniquement l'activité d'éditeur d'outil SMSI : o Nombre d'employés o Chiffre d affaire annuel ( ) o Année de création de l'activité o Représentation commerciale en France / effectif o Représentation technique en France / effectif o Localisation du support o Langues du support Accompagnement au déploiement / intégration : équipe spécialisée éditeur, ou partenariats... Références actives de l'éditeur d'outil SMSI : o Réf. 1 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 2 (Année / Modules déployés / Taille du client / Pays de la référence) o Réf. 3 (Année / Modules déployés / Taille du client / Pays de la référence) o Principales références et présences en France Desroches Vincent, Bureau Maîtrise des Risques et Réglementation (ANSSI) vincent.desroches@ssi.gouv.fr Secrétariat Général de la Défense et de la Sécurité NationaleAgence Nationale de la Sécurité des Systèmes d'information51 b 25/02/15 ANSSI Sans objet EBIOS 2010 version 1.04 air du 17/12/ du 13/10/2011 Français, anglais Sans objet Sans objet Sans objet Sans objet Sans objet Néant. Pas de support à proprement parler, mais recueil possible des avis et retours utilisateurs via une adresse mail de conta Néant (pas de support) Néant Sans objet Sans objet Sans objet Paris 2. Financier o Modalité de définition du coût (forfait, par site, par utilisateur ) o Prix public (activation, licence ) o Coût récurrent annuel (maintenance, hébergement ) o Devis type pour 10 utilisateurs, 3 sites, formation inclue 3. Plateforme technique o Pré-requis techniques o Mode ASP (oui / non), si oui lieu d'hébergement o Langage de développement o Client lourd / client léger o Outil mono ou multi-utilisateurs 4. Condition de test ou de maquettage o Modalités / coût d une démonstration o Modalités / coût d un test chez le client o Données de test incluses dans la démonstration (oui / non) Sans objet Gratuit (logiciel open source en téléchargement gratuit sur la plateforme adullact.net) Produit non maintenu depuis version 1.04 Sans objet Poste isolé de toute connexion internet et équipé d'un système d'exploitation Microsoft Windows ou Apple Mac OS. Non AIR, xml Client lourd Mono-utilisateur Néant Néant Néant Annuaire - Outils SMSI Mars 2015 Page 14

15 5. Grandes fonctionnalités et données "votre produit aide-t-il à?" o Définition et partage de la Politique SMSI L'outil contribue à définir la Politique SMSI au travers de l'identification des objectifs de sécurité o Définition et partage de l'organisation et des Responsabilités L'outil contribue à définir l'organisation, les rôles et responsabilités des différents domaines du o Gestion de la cartographie des processus o Gestion de la cartographie des actifs (primordiaux et supports) Ce n'est pas le rôle principal de l'outil, mais il inclut l'identification des actifs du SI/site concerné. o Réalisation d'une analyse de risques (méthodologie(s) utilisée(s), identification des risques, critères proposés (DICP ), évaluation, risques résiduels) C'est l'objet principal de l'outil, qui implémente la méthode EBIOS Il permet de construire un référentiel des risques/menaces SSI pesant sur l'ensemble des biens supports du SI/site (et in fine sur les biens essentiels), et met en évidence les risques résiduels jugés acceptables ou tolérables sous contrôle. Il permet enfin de définir les objectifs de sécurité qui conditionnent la mise en place et la gestion du SMSI. o Création d'une DDA/SOA (liste des mesures de sécurité) L'outil contribue à créer une DDA/SOA car il aboutit en sortie à une liste d'objectifs/mesures de sécurité. o Gestion du Plan de traitement des risques (Sélection des mesures de sécurité, plan d'action, acteur, planning et suivi des actions) veuillez répondre ci-dessous pour chaque rubrique à la question "votre produit aide-t-il à? " en l'expliquant brièvement (à défaut d'explication la réponse sera considérée comme ) Définition du plan mais pas de gestion : l'outil contribue, au travers de l'identification des objectifs/mesures de sécurité, à générer le Plan de traitement des risques ; toutefois, il ne gère pas la partie plan d'action / acteur / suivi des actions. o Gestion des Incidents o Génération d'indicateurs (conformité, efficacité, avancement) o Gestion des audits et contrôles des processus, des normes (conformité) et des mesures de sécurité (efficacité) o Planification d'actions périodiques (réunion, contrôle à réaliser ) o Gestion d'un plan d'amélioration (actions préventives, correctives et d amélioration) Définition du plan mais pas de gestion. Documentation o Gestion documentaire (création, consultation, mise à jour de la Edition de livrables formatés possible selon paramétrage utilisateur (ex : FEROS). documentation de référence, accessibilité, versionning) o Gestion des enregistrements (suivi, preuves) Données & base de connaissance : o Modèles types (PSMSI, enregistrements types,...) L'outil intègre la base de connaissance de menaces EBIOS o Rapports types (rapport d audit ) o Référentiels types (ISO 27001, ISO 27002). L'outil intègre la liste de mesures de sécurité de l'iso Workflows o Gestion des Workflows 6. Description libre de la solution par l éditeur > Le logiciel EBIOS 2010 est une application opérationnelle, simple et ergonomique qui permet d'appliquer complètement la méthode de gestion des risques de sécurité des systèmes d'information EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). La solution AIR Flex a été choisie car elle répond à cet objectif en permettant la mise en œuvre d'une application simple mais riche. Pour mémoire, la méthode EBIOS permet d'identifier, caractériser et traiter les risques d'un système d'information d'un organisme et de ses interfaces avec des entités externes (ex : réseau de partenaires). Elle fournit tous les éléments nécessaires à la communication au sein de l'organisme et vis-à-vis de ses partenaires, ainsi qu'à la validation du traitement des risques. Elle constitue de ce fait un outil complet de gestion des risques SSI/Cyber. Pour plus de détails, veuillez vous reporter au site Internet de l'anssi ( ou sur la plateforme Annuaire - Outils SMSI Mars 2015 Page 15

16 Annuaire - Outils SMSI Mars 2015 Page 16

17 ISMart Biznet Annuaire - Outils SMSI Mars 2015 Page 17

18 Description of a software product for IS Security Management Contact o Responder name and quality o Contact address o Contact address o Response Date I hereby authorize "club 27001" to publish on their web site the information provided in this document ( (Yes/No) Neşe Sayarı Managing Director nsayari@biznet.com.tr Biznet AS ODTU Teknokent Ikizler Binasi Ankara Turkey 1. Administrative o Company name o In case of group attachment, specify o Product Name and release o Product creation year (number of releases) o Product languages Following question are only about editing activities of ISMS Software Tools o Number of employees o Annual Revenue ( ) o Company creation year o Customer location in France / # employees o Technical location in France / # employees o Location of customer support o Support language Implementation support / integration: dedicated vendor team, or partners BIZNET BILISIM none ISMart V , 4 major releases Turkish, English K USD 2000 none none Ankara and Istanbul /,Turkey Turkish, English we have dedicated vendor team Active references of ISMS Tools company: o Ref. 1 (Year / Deployed Modules / customer size / reference country) o Ref. 2 (Year / Deployed Modules / customer size / reference country) o Ref. 3 (Year / Deployed Modules / customer size / reference country) o Main references in France 2. Financial o Cost Definition modality (package, by site, by user ) o Public Price (activation, license,...) o Annual recurring cost ( maintenance, hosting...) o Standard Costs for 10 users, 3 sites, training included 3. Technical Platform o Technical requirements o ASP (YES / NO), if yes hosting location o Development language o Thick client / thin client o Single or multi user tool 4. Test or benchmark o Conditions / demonstration cost o Conditions / cost of a customer test o Test Data included in demonstration (yes / no) Turkcell (Largest GSM operator in Turkey) Turkish Central Bank Akbank (Major bank in Turkey) _ Modules seperately purchased to achieve required functionality. Modules listed on "Description" page line13. Basic module is Risk Management and it is essential. The cost is 8000 USD. Annual recurring cost for Risk Management Module is 2000 USD. The maximum configuration costs USD. #of users is not a cost parameter. For each site add 25%. Dual Core 3+Ghz, 4+Gb Ram, 70+ Gb Hard disk, Windows XP/7/8/Server 2003/2008 / Redhat, Fedora,Centos 6+ etc. Linux Yes. Currently only in Turkey but can be extended. Java n/a Multi user web application. A remote user can reach the demo server in Turkey and have a free demo for one week. Onsite demonstration possible 1250 not understood. Yes Annuaire - Outils SMSI Mars 2015 Page 18

19 5. Main functions and Data "Does your product help with?" please answer the question "does your product help with? " and briefly explain how (if no explanation, the answer will be considered "No") Yes / No Comment / justification o Defining and sharing the ISMS Policy "yes" There is a field to write and share the policy on the home page. o Defining and sharing the Organisation and Responsibilities "yes" Organization tree can be defined. Ownerships related with assets assigned easily. o Process Mapping Management "yes" Proccesses can be defined and assets can be related to those perocesses. o Asset Mapping Management (primary and support) "yes" Asset mapping can be defined in terms of category, group and relation hiearchy. o Conducting a risk analysis (method (s) used, risk identification, proposed criteria (AIC...), evaluation, residual risks) o Creating SOA (list of security controls) "yes" "yes" Risk are related with" threats to" or "vulnerabilities of"assets.risk values calculated as a function of asset value, probability and impact of threats. Predefined asset categories, threat categories SoA can be and created threats and help exported through as risk excel management file. process. o Management of Risk treatment Plan (selection of security controls, actions plan, actors, schedule, action follow up) Yes / No "yes" Comment / justification Risk treatment plan can prepared (selection of security controls, action plans, actors, schedule, action follow up) Yes / No Comment / justification o Incidents Management "yes" Events (Incident) can be defined, reported, forwarded. o Generation of indicators/dashboard (compliance, efficiency) Dashboard for monitoring risk distribution, and assets is available. For conformity and efficiency reports can be generated. o Management of audits and checks on processes, standards "yes" Audits can be defined in terms of related security controls. (compliance) and security controls (efficiency) o Recurring work planification (meetings, checks ) "yes" Meetings can be planned. o Management of improvement plan (preventive action, corrective and improvement) Yes / No "yes" Comment / justification Preventive and corrective plans can be defined and reported. Documentation Yes / No Comment / justification o Documentation Management(creation, consultation, reference documentation update, accessibility, versionning) "yes" Links can be defined for pre-prepared documents, and can be classified in terms of types. Versioning is also supported. o Records management (follow up, records) "yes" Risk Managment data can be saved manulay or Data Snapshot can be saved for Data and knowledge base: Yes / No Comment / justification o Forms models (ISMS policy, records...) "yes" ISMS Policy, free format o Report models (audit report, ) "yes" Risk Report, S.O.A Report, Asset Inventory, Asset Search, Threat Report, Asset - Control Report, Risk Treatment Plan Report, Assets By Owners, Assets By Values, Assets by Additional Fields, Risks By Threat Categories, Risks By Values, Risks By Control Categories, Risk Level Distribution, Risk Matrix, Number Of Risks Above/Below Acceptable Risk Level By Organizations, Bulk Asset/Risk/Control/Action Report, All Actions Grouped By Statuses, All Actions Grouped By Statuses With Deadlines In Selected Period, All Actions Grouped By Statuses With Deadlines In Selected Period, Having Selected Statuses, Actions Grouped By Deadlines With Deadlines In Selected Period, Having Selected Statuses, Actions Grouped By Organizations Of Assignees, Actions By Assignees, Report Templates, Scheduled Reports, Asset Comparison Report, Risk Comparison Report, Risk Trends Report, Executive Risk Report, New/Modified Assets, New/Modified Risks, New/Modified Risk-Controls, New/Modified Actions, Risk Transfer Requests, Risk Acceptance Requests o Referential data (ISO 27001, ISO 27002). "yes" ISO Standart controls are predefined. Users can define their own control data. Workflows Yes / No Comment / justification o Workflows Management "yes" Workflows can be defined and executed. 6. Software description by editor (feel free to summarize as you wish) > ISMart is not only a guide to significantly reduce time and effort for achieving ISO certification but is also a useful tool to manage daily security related operation by planing actions and monitoring their status. ISMart allows all employees to participate information security management processes as their roles require, within the access rights granted to them. Or the entire ISMS process can be managed by a few individuals if preffered. ISMArt can be used both as a quick compliance tool or a detailed compliance and security management platform. ISMart has a built-in document management system. It allows users to generate policy documents or store documents related to security processes. Documents stored by ISMArt can be associated with assets, risks, controls, actions and so on. On the other hand, if the enterprise has an existing document management system, isms documentation is not necessarily stored in ISMart but only links to the actual document store are stored in ISMArt. Change history for all critical information such as asset information and attributes, risk levels, selected controls, risk treatment actions etc are kept in the system and changes can be traced to monitor all processes. Provides lots of predefined items like default controls for risks, predefined control statements, threats/vulnerabilities, asset categories etc which may be used for rapid ISMS formation and management. General: Multiuser java web application Scalable from smallest organizations with a few users to large enterprises with thousands of users Works on standard software and hardware platforms Can be easily integrated with existing corporate active directory structure Functional Components (Modules to be seperately purchased) 1. Risk Management, 2. Document Management, 3. Workflow, 4. Organisation Integration,5. Internal Audit, 6. Event Management, 7. Snapshot Recording and History Recording, 8. Policy Generator, 9. Hierarchical Assets 10. Addtional Group Companies Annuaire - Outils SMSI Mars 2015 Page 19

20 Annuaire - Outils SMSI Mars 2015 Page 20