Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799
|
|
- Alizée Sarah Bourget
- il y a 2 ans
- Total affichages :
Transcription
1 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information IRIAF, Université de Poitiers Octobre 2006 D. BIGOT, J. VEHENT Etude de cas ASSURAL p. 1/6
2 I) Rédaction des préconisations I.1) Préconisations liées au rapport d'audit Thèmes Problèmes Préconisations Thème 1 : Politique de sécurité Pas de PSSI Rédiger une PSSI dans le cadre de la création d'un ISMS Thème 2 : Organisation de la sécurité de l'information Situation du RSSI dans la hiérarchie (séparation MOA/MOE) Le RSSI doit être directement rattaché à la Direction Générale (RSSI et DG sont la MOA) Les administrateurs jouent le rôle d'administrateurs de la sécurité Créer un poste Responsable Sécurité Informatique, rattaché au RSSI, qui aura la charge de l'administration de la sécurité informatique Absence de définition précise des responsabilités Définition des responsabilités du personnel par des procédures formalisées Processus d'approbation de la DG sur Revoir le processus de validation MOA -> MOE l'évolution du SI est défaillant Absence de fondamentaux en matière de gestion de la sécurité du système d'information (audits, tableau de bord, La mise en place d'un ISMS est indispensable cellule de crise,...) Thème 3 : Gestion des actifs Les rôles de propriétaires ne sont pas définis Définir les règles administratives et juridiques liés à la propriété de l'information au travers de la PSSI Evaluation empirique de la criticité de l'information Etablir une classification avec le concours des propriétaires, réaliser une analyse des risques pour affiner les procédures de traitement de l'information Thème 4 : Sécurité liée aux ressources humaines Absence de contrôles à l'embauche pour les postes sensibles Procédure de vérification des diplômes et du casier judiciaire Défault d'implication des utilisateurs dans le processus sécurité Réalisation des actions de sensibilisation pour responsabiliser les utilisateurs Pas de contrôle régulier des habilitations Faire démarrer le Workflow depuis la DRH et réaliser un audit des habilitations deux fois par an Thème 5 : Sécurité physique et environnementale La politique de contrôle d'accès par badge est inefficace Sensibiliser le personnel à l'accès aux locaux (ne pas laisser entrer de personnes non munis de badges) D. BIGOT, J. VEHENT Etude de cas ASSURAL p. 2/6
3 Faille dans le système de livraison Mettre en place un sas de déchargement Thème 6 : Gestion des télécommunications et de l'exploitation Absence de contrôles indépendants des processus d'exploitation et de maintenance Réaliser régulièrement des audits internes Gestion défaillante de la sécurité des systèmes Procédurer, avec une définition des responsabilités, la gestion de la sécurité Pas, ou peu, d'analyse des fichiers journaux Mettre en place un système de gestion des journaux en temps réel Thème 7 : Contrôle des accès logiques Pas de séparation des pouvoirs Etablir une matrice des droits prenant en compte les incompatibilités de pouvoirs Pas de contrôle de l'utilisation des privilèges (voir thème 4) Audit bi-annuel et gestion des habilitations par la DRH Absence de bonnes pratiques pour le rangement des données Mettre en place une politique de bureau propre, écran vide Thème 8 : Acquisition, développement et maintenance des SI Les développeurs ont accès aux environnements de production (voir thème 7) Etablir une matrice des droits prenant en compte les incompatibilités Jeux de test basés sur des données de production Les jeux de tests doivent être établis à partir de données à blanc pour interdire toute fuite d'information Pas de centralisation de la gestion des vulnérabilités, pas de veille technologique Centraliser la gestion des mises à jour (information, déploiement) au travers d'un outil dédié Thème 10 : Gestion de la continuité d'activité La continuité d'activité est limitée à des procédures techniques concernant les systèmes serveurs Mettre en place un PCA et un PRA prenant en compte l'ensemble du système d'information (utilisateurs, ressources, données, etc...) Thème 11 : Conformité Aucun audit Réaliser régulièrement des audits du système d'information, établir un suivi de ces audits dans le temps D. BIGOT, J. VEHENT Etude de cas ASSURAL p. 3/6
4 I.2) Organisation des préconisations Pour faciliter la mise en place des préconisations précédemment identifiées, nous pouvons regrouper ces dernières sous forme de projets. Ces projets seront organisés selon une échelle de priorités évolutive dans le temps. Ceux ci seront plannifiés sur plusieurs années (4 à 5 ans). Constitution des projets : 1. Cartographie des processus : afin d'effectuer une analyse des risques, il faut établir une cartographie des processus du système d'information de l'entreprise. 2. Analyse de risques : utiliser les résultats globaux de l'audit sécurité pour cibler l'analyse de risque sur les points suivants : gestion des accès (logiques/physiques); classification; continuité d'activité; implication des utilisateurs; fuite d'informations. L'analyse de risque permet de connaître l'impact financier lié à la perte ou le dysfonctionnement d'un processus. 3. Définition du ISMS sur la base des résultats de l'analyse de risques avec pour périmètre la compagnie ASSURAL. On peut détailler ce projet en plusieurs sous projets : 3.1 Modification de la position du RSSI dans la hiérarchie. Création de la fonction de responsable sécurité informatique (RSI). 3.2 Rédaction de la PSSI : Définir les règles et objectifs sécurité, les projets à mener et les responsabilités des différentes entités sur ces projets. Identification et définition des indicateurs. Intégration des prestataires. 3.3 Attribution des moyens : en accord avec l'analyse de risques, le coût de mise en oeuvre d'un processus (et des procédés visant à le sécuriser) ne doit pas excéder l'impact financier des risques qu'il est amenés à subir. On chiffera également les frais nécessaire à la mise en place du ISMS, incluant la maîtrise des indicateurs. 3.4 Validation de la PSSI et des moyens relatifs par la Direction Générale. 4. Mise en place du ISMS : cette partie comprend la mise en place d'un certain nombre de sous projets visant à appliquer la PSSI dans le cadre de l'entreprise. 4.1 Responsabilité du personnel : les responsabilités collectives concernant la sécurité du système d'information sont consignées dans une charte Sécurité et les responsabilités individuelles dans le contrat de travail. Dans la même optique, on réalisera des sensibilisation et formations des employés. 4.2 Classification et rôles des propriétaires : les résultats obtenus permettent d'affiner le processus de sauvegarde. D. BIGOT, J. VEHENT Etude de cas ASSURAL p. 4/6
5 4.3 Audits et contrôles internes : ces actions permettent de surveiller le bon fonctionnement du ISMS et d'identifier les actions à corriger dans une logique de PDCA. On retrouvera les points suivants : Attribution des droits, processus d'exploitation, contrôle à l'embauche 4.4 Matrices des habilitations et des responsabilités : définit également les incompatiblités de pouvoir 4.5 Formalisation du Tableau de Bord Sécurité : mesures techniques de production des indicateurs de premier niveau, synthétisation et compression des indicateurs pour les niveaux 2 et Projets Sécurité : 5.1 Sécurisation des accès de livraison 5.2 Etablir un protocole de test et de montée en charge des applications 5.3 Infrastructure de gestion des mises à jour 5.4 Plan de continuité d'activité et plan de reprise d'activité Les différentes phases vues ci dessus peuvent être schématisée : Définition de l'isms Cartographie des processus Analyse de risques PSSI Attribution des moyens $$$$ Projets sécurité Mise en place du ISMS Infrastructure de MAJ PCA / PRA Sas Protocole de test Responsabilité du personnel Classification et rôles des propriétaires Audits et contrôles interne Matrices habilitations / responsabilités Tableau de bord D. BIGOT, J. VEHENT Etude de cas ASSURAL p. 5/6
6 II) Elaboration de la politique de sécurité de l'information II.1) Méthode de travail La politique de la sécurité du système d'information permet de définir la stratégie Sécurité de l'entreprise et de présenter les actions qui seront à mener. Ce document nécessite la participation du responsable de la sécurité du système d'information et de toutes les personnes qui seront acteurs de cette politique. On peut identifier un certain nombre d'acteurs en charge de la rédaction de la politique de Sécurité. PSSI contrôle rédige Valide / s'implique dans la politique Comité de pilotage Sécurité contrôle participe Groupe de Travail dirige oriente participe Direction Générale Propriétaires et acteurs métier RSSI Service Sécurité (RSI) Le RSSI prend la direction du groupe de travail qui rédige la PSSI. Ce dernier est une structure temporaire créé pour la rédaction de la PSSI. Afin d'assurer un maximum de cohérence avec le métier de l'entreprise, le rôle joué par le groupe Propriétaires et acteurs métier est primordial. Ce dernier apporte une vision pragmatique permettant à la PSSI de se détacher d'un modèle potentiellement théorique est inapplicable. Les aspects techniques sont apportés par le RSI (et éventuellement son équipe). Le Comité de pilotage Sécurité a un rôle de relecture et de validation de premier niveau. Il peut, si la structure le permet, participer à la rédaction du document final et est, dans tous les cas, impliqué dans les discussions. Enfin, la Direction Générale a la charge de la validation de la PSSI et en particulier de l'attribution des moyens qui l'accompagne. D. BIGOT, J. VEHENT Etude de cas ASSURAL p. 6/6
Etabli le : 19.12.14 Par : Hervé De Nicola Remplace la version du :
CAHIER DES CHARGES 1. Actualisation Etabli le : 19.12.14 Par : Hervé De Nicola Remplace la version du : Motif d actualisation : Internalisation ressources 2. Identification du poste Département : INFRASTRUCTURES
MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
CATALOGUE DES FORMATIONS
2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.
Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»
Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...
Guide de bonnes pratiques de sécurisation du système d information des cliniques
Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,
Devenir Responsable de la sécurité des systèmes d'information (RSSI)
Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours
Prestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
M2 Miage Processus de la Sécurité des Systèmes d information
M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation
Risques d accès non autorisés : les atouts d une solution IAM
Risques d accès non autorisés : les atouts d une solution IAM Comment l'entreprise peut-elle réduire ses risques informatiques liés aux droits d accès des utilisateurs Livre Blanc Introduction Tous les
Conseil Audit Management Expertise informatique
Votre management informatique sur mesure Conseil Audit Management Expertise informatique La société CAMEX'IN vous propose le management informatique à la demande Pour qui? Professions libérales PME PMI
Auditabilité des SI et Sécurité
Auditabilité des SI et Sécurité Principes et cas pratique Géraldine GICQUEL ggicquel@chi-poissy-st-germain.fr Rémi TILLY remi.tilly@gcsdsisif.fr SOMMAIRE 1 2 3 4 Les leviers d amélioration de la SSI Les
Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :
Annonces internes Sonatrach recherche pour sa DC Informatique et Système d Information : Un Directeur Système d Information Système d Information Gestion Système d Information Métier Décisionnel et Portail
ISO 27002 // Référentiels de la santé
ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en
IAM et habilitations, l'approche par les accès ou la réconciliation globale
IAM et habilitations, l'approche par les accès ou la réconciliation globale 04/12/08 Page 1 Evidian 2008 1 Les couches archéologiques du Système d information: Les systèmes centraux Ventes Employés Employé
Le Workflow comme moteur des projets de conformité
White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre
Référentiel de compétences en système d'information
ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable
Management par les processus les éléments structurants. Lionel Di Maggio Master 1 MIAGE
Management par les processus les éléments structurants Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise en
Les processus d'un SMSI
Les processus d'un SMSI Modèle SMSI et retours d'expérience Julien Levrard Besoin d'un modèle générique Uniformisation s démarches dans les SMSI qu'hsc accompagne Capitalisation
Systèmes d information
11 Systèmes Cette famille rassemble des métiers dont la finalité est de concevoir, développer, exploiter et entretenir des solutions (logicielles et matérielles) répondant aux besoins collectifs et individuels
Principes de base et aspects techniques
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27001 / ISO27002 Principes de base et aspects techniques
MISE EN PLACE D'UN SYSTEME DE MANAGEMENT ENVIRONNEMENTAL ACCOMPAGNEMENT A LA CERTIFICATION ISO 14001.
MISE EN PLACE D'UN SYSTEME DE MANAGEMENT ENVIRONNEMENTAL ACCOMPAGNEMENT A LA CERTIFICATION ISO 14001. Public : Objectif : Direction Membres du comité de direction - Responsable de service Responsables
ISO 17799 la norme de la sécurité de l'information
ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.
Architecte d infrastructures informatiques
Architecte d infrastructures informatiques E1C23 Infrastructures informatiques - IR L architecte d infrastructures informatiques pilote la conception, le déploiement et la mise en oeuvre d'architectures
Utilisation de la méthode EBIOS :
Utilisation de la méthode EBIOS : de l organisation projet aux composants du SMSI (Système de Management de la Sécurité de l Information) Philippe TOURRON Direction Opérationnelle des Systèmes d'information/université
1.1. Qu est ce qu un audit?... 17
Table des matières chapitre 1 Le concept d audit 17 1.1. Qu est ce qu un audit?... 17 1.1.1. Principe général... 17 1.1.2. Historique... 19 1.1.3. Définitions des termes particuliers utilisés en audit...
Les normes de sécurité informatique
Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes
Piloter le contrôle permanent
Piloter le contrôle permanent Un cadre règlementaire en permanente évolution L évolution des réglementations oblige les institutions financières à revoir leur dispositif de contrôle Secteur bancaire CRBF
TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION
Nous adaptons votre système d information à vos besoins LES SEMINAIRES INTERNATIONAUX DE MIWIS TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION Saly, Sénégal : 19-20 21 et 22 Mars 2013 Hôtel Saly
ISO 27001 conformité, oui. Certification?
ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche
Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton
Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton Lyon, le 25 février 2009 Introduction à la gestion des identités et des accès Enjeux et objectifs Les
Améliorer votre approche processus
Améliorer votre approche processus Décrire de manière complète les processus, Mettre en place des tableaux de bord de manière à en surveiller le fonctionnement et à en déterminer l efficacité, Réaliser
Gérer concrètement ses risques avec l'iso 27001
SMSI Oui! Certification? Peut être Gérer concrètement ses risques avec l'iso 27001 «L homme honorable commence par appliquer ce qu il veut enseigner» Confucius 23 octobre 2008 Agenda 1. L'ISO 27001 : pour
PSSI, SMSI : de la théorie au terrain. Journées Informatique IN2P3/IRFU, Le Grau du Roi, Octobre 2014, BARBET JM Subatech
PSSI, SMSI : de la théorie au terrain 1/23 Plan Introduction : nécessité de la SSI Problématiques en SSI Cadre légal, réglementaire, normes Pilotage de la SSI : de la théorie au terrain Expérience SSI
PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION
Audit Informatique PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION UE1 Jean-Louis Bleicher HEURES : 6 1) Systèmes d'information et audit : Les systèmes et technologies de
La gestion de la documentation
La gestion de la documentation Des aspects méthodologiques & organisationnels.vers la mise en œuvre d un outil de GED M S. CLERC JOSY 13 OCTOBRE 2015 PLAN Définition d un projet de gestion de la documentation
FICHE DE POSTE SIGNALETIQUE DU POSTE
Famille : SYSTEMES D INFORMATION Sous-famille : SUPPORT ET EPLOITATION Libellé métier : EPLOITANT(E) RESEAU Code métier : 35L20 INTITULE DU METIER (à partir du RMFPH) Spécificité dans le métier EVENTUELLE
dans un contexte d infogérance J-François MAHE Gie GIPS
Management de la sécurité dans un contexte d infogérance J-François MAHE Gie GIPS Mise en place d une convention de service Traitant les points suivants : L organisation de la sécurité du SI La gestion
Quel audit de Sécurité dans quel contexte?
Emplacement du logo client Quel audit de Sécurité dans quel contexte? Hervé Morizot (herve.morizot@solucom.fr) 09 avril 2002 Agenda Quel audit? Selon quelle démarche et avec quels outils? Une "stratégie
MISE EN PLACE D'UN SYSTEME QUALITE ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001.
MISE EN PLACE D'UN SYSTEME QUALITE ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001. Public : Objectif : Direction Membres du comité de direction - Responsable de service Responsables qualité Ensemble du personnel
D une PSSI d unité de recherche à la PSSI d établissement. Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302
D une PSSI d unité de recherche à la PSSI d établissement Sylvie Vottier, RMSI, Université de Bourgogne Alain TABARD, ICMUB UMR CNRS 6302 SOMMAIRE 2 1. Eléments de contexte 2. Elaboration d une PSSI d
Politique et charte de l entreprise INTRANET/EXTRANET
Politique et charte de l entreprise INTRANET/EXTRANET INTRANET/EXTRANET LES RESEAUX / 2 DEFINITION DE L INTRANET C est l internet interne à un réseau local (LAN) c'est-à-dire accessibles uniquement à partir
Le modèle de conseil docuteam 3 x 3. Déroulement d un projet en gestion des documents
Le modèle de conseil docuteam 3 x 3 Déroulement d un projet en gestion des documents 1 docuteam 3 x 3 : Le modèle Projet Mise en service V V V Analyse Conception Mise en œuvre Suivi Niveau stratégique
Gestion des risques dans la santé
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des risques dans la santé Illustration avec le DMP1 CNSSIS,
Audit de la Sécurité du Système d'information
Audit de la Sécurité du Système d'information Code : F7 Comment faire évoluer votre politique de sécurité pour réduire les risques en cohérence avec les besoins de votre entreprise? Quelle démarche? Quelles
STATUTS de la Direction de l Informatique et des Systèmes d Information (DISI)
STATUTS de la Direction de l Informatique et des Systèmes d Information (DISI) Article 1 : Préambule. La Direction de l Informatique et des Systèmes d Information est un service général de l Université
Organisation et qualité
12 Organisation Cette famille rassemble des métiers dont la finalité est d améliorer la qualité de service aux clients et l efficience de l entreprise, par la conduite de projets ou de démarches contribuant
2012 / 2013. Excellence. Technicité. Sagesse
2012 / 2013 Excellence Technicité Sagesse Audit Conseil >> Présentation d ATHENA ATHENA est une société de services fondée en 2007 offrant des prestations dans les domaines de la sécurité informatique
Circuit du médicament informatisé
Circuit du médicament informatisé Points de vigilance axe technique SOMMAIRE... 1 FICHE N 1- DISPONIBILITE ET PERFORMANCE... 2 FICHE N 2- ENVIRONNEMENT DE TEST... 4 FICHE N 3- VERSIONNING... 5 FICHE N
La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)
Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception
BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES
BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES 1 FINALITÉ 1 Soutien à la communication et aux relations internes et externes L assistant facilite la communication à tous les niveaux (interpersonnel,
Eric CIOTTI Président du Conseil général des Alpes-Maritimes
A sa création, en 2005, la FORCE 06, rattachée à l ONF, constituait une unité de forestiers-sapeurs dédiée aux travaux d entretien des infrastructures de Défense des Forêts Contre l Incendie (DFCI) et
SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS
SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de
Règlement des administrateurs de ressources informatiques de l'université de Limoges
Règlement des administrateurs de ressources informatiques de l'université de Limoges Approuvé en Conseil d Administration le 19 mars 2012 1 Préambule... 2 1.1 Terminologie... 2 1.2 Complément de définition
Gestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Sommaire 2. Généralités 3. ISO 27001 et SMG ou le pilotage de NC2 4. Approche processus et cartographie 5
Sommaire 2 Généralités 3 ISO 27001 et SMG ou le pilotage de NC2 4 Approche processus et cartographie 5 D une organisation fonctionnelle vers des processus 6 Pilotage des processus et Amélioration continue
Comment choisir les indicateurs ISO 27001
Comment choisir les indicateurs ISO 27001 Alexandre Fernandez Alexandre Fernandez Introduction ISO 27001 Système de Management de la Sécurité de l'information 2 / 24 ISO 17799
Fiche conseil n 5 Structure et responsabilité
STRUCTURE ET RESPONSABILITE 1. Ce qu exigent les référentiels Environnement ISO 14001 4.4.1 : Ressources, rôles, responsabilité et autorité EMAS Annexe I.-A.4.1 Structure et responsabilité SST OHSAS 18001
Sécurité des systèmes d information
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 Sandrine.beurthe@ageris-group.com Protection
Active Directory Sommaire :
Active Directory Sommaire : Définition Ce qu'il permet A quoi sert-il? Principe de fonctionnement Structure Hiérarchie Schéma Qu'est ce qu'un service d'annuaire? Qu'elle est son intérêt? L'installation
Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014
Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs
MISE EN PLACE D'UN PROCESSUS "ECOUTE CLIENT" ET D'UN SYSTEME DE MANAGEMENT QUALITE
MISE EN PLACE D'UN PROCESSUS "ECOUTE CLIENT" ET D'UN SYSTEME DE MANAGEMENT QUALITE Public : Direction Membres du comité de direction - Responsables de service Responsable qualité - Ensemble du personnel
COMITE REGIONAL DE SECURITE DES SIS
COMITE REGIONAL DE SECURITE DES SIS RESTITUTION DE L ENQUETE REGIONALE SUR LA SÉCURITÉ DES SYSTEMES D INFORMATION EN SANTÉ CRSSIS Poitou-Charentes Vincent PASCASSIO GCS Esanté Poitou-Charentes Le 16 décembre
Gestion de la sécurité de l information dans une organisation. 14 février 2014
Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité
Systèmes et réseaux d information et de communication
233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques
Introduction à l'iso 27001
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique
Politique de sécurité
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Politique de sécurité cohérente et pragmatique & ISO 27001 Club 27001,,
Sécurité des applications Retour d'expérience
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon
Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011
Certificat de qualification Professionnelle Administrateur des Réseaux Entreprise 2 ans 139 jours Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC
Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :
Annonces internes Sonatrach recherche pour sa DC Informatique et Système d Information : - Support Applicatif. - Réseaux et Télécoms. - Hébergement et Datacenter. - Gestion Documentaire. - Architectures
Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr
Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board
Etabli le : 05.01.14 Par : Pascal Kramer/Monique Losey Remplace la version du :
CAHIER DES CHARGES 1. Actualisation Etabli le : 05.01.14 Par : Pascal Kramer/Monique Losey Remplace la version du : Motif d actualisation : Mise au concours du poste 2. Identification du poste Département
Exonet Go and Run : étude de l outil l'outil GoogleDrive
Exonet Go and Run : étude de l outil l'outil GoogleDrive Description du thème Propriétés Description Intitulé court Exonet Go and Run Intitulé long Exonet Go and Run : l'outil GoogleDrive La société Go
OBJECTIFS et PROGRAMME. Formation Animateur/Coordinateur Qualité, Sécurité, Environnement. Contrat de Professionnalisation
OBJECTIFS et PROGRAMME Formation Animateur/Coordinateur Qualité, Sécurité, Environnement Titre de niveau III enregistré au RNCP - arrêté publié au JO du 22/08/2012 497 heures Contrat de Professionnalisation
Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)
Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,
En savoir plus pour bâtir le Système d'information de votre Entreprise
En savoir plus pour bâtir le Système d'information de votre Entreprise En savoir plus sur : Services en ligne, SaaS, IaaS, Cloud - 201305-2/5 SaaS, IaaS, Cloud, définitions Préambule Services en ligne,
Rapport d'audit étape 2
Rapport d'audit étape 2 Numéro d'affaire: Nom de l'organisme : CMA 76 Type d'audit : audit de renouvellement Remarques sur l'audit Normes de référence : Autres documents ISO 9001 : 2008 Documents du système
PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS
PGSSI-S Guide pratique d une démarche sécurité SI en ES Guide pratique d une démarche sécurité SI en ES pour sensibiliser les directions Cible : les directions des ES les établissements de taille moyenne,
Label sécurité ITrust : ITrust Security Metrics
ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions
DEVENIR ANIMATEUR QUALITÉ
Objectif général : A l issue de la formation, le participant sera capable de : Comprendre le rôle et les missions de l animateur qualité Acquérir les méthodes nécessaires pour mener les missions de l animateur
Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI
Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques
Direction du Service de l informatique
Plan de travail 2007-2008 Direction du Service de l informatique Document rédigé par : Richard Lacombe Directeur du Service de l informatique Septembre 2007 Illustration de la page fronticipice: Imagezoo.com
Certification PCI-DSS. Janvier 2016
Certification PCI-DSS Janvier 2016 Définitions La certification PCI DSS (Payment Card Industry Data Security Standard) est destinée aux entités appelées à transmettre, manipuler et/ou stocker des données
Introduction à la norme ISO 27001. Eric Lachapelle
Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2
Connaissances et savoirs faire DSIO RSIO
Connaissances et savoirs faire DSIO RSIO 2015 Van Kemmel Jerome 05/06/2015 Ce document reprend les connaissances et savoirs faire, ainsi que le niveau acquis à ce jour. Grille de lecture : Nature des compétences
Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :
Bourse de l emploi Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION : Deux (02) Ingénieurs Sécurité Système d Information Direction Qualité, Méthodes
PSSI générique et management de la sécurité
PSSI générique et management de la sécurité Dominique Launay Pôle SSI RENATER Séminaire des correspondants Sécurité 13 juin 2012, Strasbourg agenda introduction au projet PSSI générique introduction aux
INDICATEURS SECURITE. Guide pratique pour un tableau de bord sécurité stratégique et opérationnel
2007 INDICATEURS SECURITE Guide pratique pour un tableau de bord sécurité stratégique et opérationnel «Promouvoir l'usage des systèmes d'information comme facteur de création de valeur et source d'innovation
LA QUALITE DU LOGICIEL
LA QUALITE DU LOGICIEL I INTRODUCTION L'information est aujourd'hui une ressource stratégique pour la plupart des entreprises, dans lesquelles de très nombreuses activités reposent sur l'exploitation d'applications
CQP Inter-branches Technicien de la Qualité
CQP Inter-branches Technicien de la Qualité Référentiels d activités et de compétences Référentiel de certification OBSERVATOIRE DES INDUSTRIES CHIMIQUES Désignation du métier ou des composantes du métier
ITIL Mise en oeuvre de la démarche ITIL en entreprise
Introduction 1. Préambule 21 2. Approfondir ITIL V3 22 2.1 Introduction 22 2.2 La cartographie 23 2.2.1 La cartographie de la démarche ITIL V3 23 2.2.2 La cartographie des processus dans les phases du
Présentation des missions réalisées
Présentation des missions réalisées treprise : AXIANS Limousin Jérémie BARRIER Table des matières I DE L ENTREPRISE : AXIANS LIMOUSIN.. page 4 II LES MISSIONS REALISEES.. page 5 Ø Mise en place de postes
INGENIEUR SPECIALITE GESTION ET PREVENTION DES RISQUES DIPLOMÉ DE ARTS ET METIERS PARISTECH EN PARTENARIAT AVEC ITII 2 SAVOIES
INGENIEUR SPECIALITE GESTION ET PREVENTION DES RISQUES DIPLOMÉ DE ARTS ET METIERS PARISTECH EN PARTENARIAT AVEC ITII 2 SAVOIES RÉFÉRENTIEL D ACTIVITÉS ET RÉFÉRENTIEL DE CERTIFICATION ACTIVITE et TACHES
Management. des processus
Management des processus 1 Sommaire Introduction I Cartographie * ISO 9001 : 2000 * Cartographie - définition * Processus - définition * Identification des processus II Processus * Définitions * Objectifs
Excellence. Technicité. Sagesse
2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA
PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION
Audit Informatique PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION UE1 Jean-Louis Bleicher HEURES : 6 1) Systèmes d'information et audit : Les systèmes et technologies de
MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous Direction des Opérations Bureau Conseil Élaboration de tableaux de bord SSI
Date : 29/10/2015 Version : v 0.4 IDENTIFICATION DU POSTE. Intégrateur d applications Administrateur d outils A ou contractuel de droit public
FICHE DE DESCRIPTION DE POSTE DIRECTION DE L INFORMATION LEGALE ET ADMINISTRATIVE TITULAIRE DU POSTE Nom : Prénom : RESPONSABLE HIERARCHIQUE DIRECT Nom : Aziz Prénom : Bénédicte Visa : Visa : Date : 29/10/2015
Enjeux de la sécurité des réseaux
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Enjeux de la sécurité des réseaux Séminaire Inkra Networks 14 octobre
des référentiels r rentiels Jean-Louis Bleicher Régis Delayat
L évolution récente r des référentiels r rentiels Jean-Louis Bleicher Régis Delayat 7 Avril 2009 Plan COBIT V4.1 COBIT Quickstart V2 Guide d audit informatique COBIT Val IT Risk IT Le Guide pratique CIGREF/
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique