L Audit selon la norme ISO27001

Transcription

1 L Audit selon la norme ISO ème Rencontre des Experts Auditeurs ANSI Anissa Masmoudi

2 Sommaire 1. La norme ISO La situation internationale 3. L audit selon la norme ISO Audit vs Audit Technique 5. Conclusion 2

3 LA NORME ISO

4 La norme ISO27001 Qu est ce qu une norme? C est un document qui contient des exigences, spécifications, lignes directrices ou des caractéristiques qui peuvent être utilisées systématiquement pour assurer que des matériaux, produits, processus et services sont aptes à leur emploi. C est le fruit d un consensus international d experts C est applicable à tout organisme, petit ou grand, quel que soit le produit ou le service fourni, dans tout secteur d activité. 4

5 La norme ISO27001 Les Normes de systèmes de management Elles fournissent un modèle à suivre dans la mise en place et le fonctionnement d un système de management. Un système de management est un ensemble de procédures qu une organisation doit suivre pour réaliser ses objectifs. 5

6 La norme ISO27001 La norme ISO/CEI : Technologies de l'information -Techniques de sécurité -Systèmes de management de la sécurité de l'information -- Exigences Spécifie les exigences relatives à l'établissement, à la mise en œuvre, au fonctionnement, à la surveillance et au réexamen, à la mise à jour et à l'amélioration d'un SMSI documenté dans le contexte des risques globaux liés à l'activité de l'organisme. est destinée à assurer le choix de mesures de sécurité adéquates et proportionnées qui protègent les actifs et donnent confiance aux parties intéressées. 6

7 La norme ISO27001 Le SMSI dans l organisme (ISO/IEC 27001:2005) Management - Politique de sécurité (A.5) - Organisation de la sécurité de l information (A.6) - Gestion des actifs (A.7) - Gestion des incidents liés à la sécurité de l information (A.13) - Conformité (A.15) Processus de gestion - Approche d appréciation du risque (4.2.1 c) - Gestion de la continuité de l activité (A.14) Infrastructure / Environnement Sécurité physique et environnementale (A.9) Accès Contrôle d'accès (A.11) Tâches quotidiennes Gestion de l exploitation et des télécommunications (A.10) Plan / Projets Acquisition, développement et maintenance des systèmes d information (A.12) Ressources humaines Sécurité liée aux ressources humaines (A.8) 7

8 La norme ISO27001 La famille des normes ISO/IEC qui décrivent des exigences et une multitude de méthodes et mesures de sécurité. 8

9 La norme ISO27001 Pourquoi opter pour une norme internationale? Elle a des avantages sur le plan technique, économique et sociétal : Pour l entreprise : Economies de coûts Renforcement de la satisfaction clientèle Accès à de nouveaux marchés Augmentation des parts de marché Avantages environnementaux Pour le gouvernement : c est une ressource vitale pour établir des réglementations. Pour la société : c est l assurance que les produits et services sont sûrs, fiables et de bonne qualité. 9

10 La norme ISO27001 Les Audits Les audits sont un élément essentiel en matière de systèmes de management. C est un processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits. (ISO 19011:2002, 3.1) 10

11 La norme ISO27001 Les Audits Différents types d audit : 1. Les audits internes : peuvent servir de base à l auto-déclaration de conformité de l organisme. 2. Les audits externes comprennent : - Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l égard de l organisme - Les audits de tierce partie jouent un rôle pour démontrer la conformité à la norme 11

12 La norme ISO27001 Certification Assurance écrite (sous la forme d'un certificat) donnée par une tierce partie qu'un produit, service ou système est conforme à des exigences spécifiques. La certification de conformité aux normes de systèmes de management n est pas une exigence. Différentes raison peuvent pousser une entreprise à vouloir obtenir la certification : exigence contractuelle ou réglementaire; indispensable si c'est un critère décisif pour les clients; dans le cadre d'un programme de gestion des risques; motiver le personnel 12

13 LA SITUATION INTERNATIONALE 13

14 La situation internationale 20,000 ISO/IEC Worldwide total 18,000 16,000 East Asia and Pacific North America Middle East 14,000 Europe 12,000 10, Central and South Asia Central / South America Africa 8,000 6, , ,000,

15 La situation internationale 100% ISO/IEC Regional share 90% 80% 18,4% 18,5% 23,5% 27,5% 30,7% 31,1% Europe 70% North America Middle East 60% East Asia and Pacific Central and South Asia 50% Central / South America Africa 40% 72,6% 71,8% 62,8% 57,2% 56,2% 55,2% 30% 20% 10% 0% 6,6% 6,7% 9,1% 10,1% 8,5% 8,5%

16 La situation internationale 45% ISO/IEC World annual growth (in %) 40% 40% 35% 33% 30% 25% 20% 20% 21% 15% 12% 10% 5% 0%

17 La situation internationale 140 ISO/IEC Number of countries / economies Central and South Asia North America Middle East Europe East Asia and Pacific Central / South America Africa

18 La situation internationale Top 10 countries for ISO27001 certificates : Japan India United Kingdom China Taipei, Chinese Romania Spain Italy Germany United States of America 313 Top 10 countries for ISO27001 growth : Japan Romania China United Kingdom India Italy Germany 67 8 USA 66 9 Slovakia Thailand 37 ISO27001 Newcomers : 2011 Africa Algeria Nigeria Europe Albania San Marino 18

19 La situation internationale Top five industrial sectors for ISO/IEC Information technology Other Services Construction Electrical and optical equipment Wholesale & retail trade; repairs of motor vehicles, motorcycles & personal & household goods

20 L AUDIT SELON LA NORME ISO27001 PAR TUVM 20

21 L audit selon la norme ISO27001 Nous œuvrons pour promouvoir la Sécurité, la Qualité et l Ecologie dans votre spectre de Compétitivité. Nos Services Contrôle Inspection Certification Qualification Formation Produits Systèmes Procédés Compétences 21

22 L audit selon la norme ISO27001 Notre réseau est partout pour vous servir 490 Représentations dans 62 Pays. 22

23 L audit selon la norme ISO27001 Dèjà 15 ans à votre service 1998 Création de TUV Maghreb, la société représente TÜV Rheinland au Maghreb Certificats délivrés dont 10 au Maroc 2003 Accréditation TUNAC pour la certification des SMQ en Tunisie Certificats délivrés en Libye 2010 Création de TUV Certification Algérie 2001 Académie: agrément de centre de formation continue 1999 Signature de la convention de coopération avec l INNORPI Certificats délivrés en Algérie 2005 Création de TUV Certification Maroc 2011 Accréditation du comité local par le TUNAC Auditeurs IRCA formés par l Académie 23

24 Permanent Staff External Auditors and Experts L audit selon la norme ISO27001 Notre Expertise pour garantir votre Succès

25 L audit selon la norme ISO27001 (Certificats par standards valides 2010 MAGHREB) ISO 9001 ( 80%) ISO ISO OHSAS ISO/TS ISO

26 L audit selon la norme ISO27001 L audit mené par TUVM se base sur la norme ISO19011 qui décrit les lignes directrices pour : les principes de l audit la gestion d un programme la réalisation d un audit et la gestion d une équipe d audit la gestion des compétences d un auditeur 26

27 L audit selon la norme ISO27001 Objectifs d un audit Evaluation de la conformité du SMSI par rapport aux critères d audit Evaluation de la capacité du SMSI à se conformer aux exigences légales et règlementaires, clauses contractuelles Evaluation de l efficacité du SMSI à atteindre ses objectifs Détection de potentiel d amélioration 27

28 L audit selon la norme ISO27001 Principales exigences de la norme: Etablissement et maintient selon le modèle PDCA d un système de management de la sécurité de l information (SMSI) documenté Définition d une politique de sécurité adaptée aux besoins, tout comme à la situation organisationnelle, aux actifs et à la technologie utilisée. Systématique de l analyse et du management du risque Détermination et mise en place des objectifs et mesures de sécurité applicables ( 11 Articles, 39 objectifs,133 mesures) 28

29 L audit selon la norme ISO27001 Faisabilité d un audit dépend de la disponibilité : Des informations appropriées et suffisantes pour la planification de l audit De la collaboration appropriée avec les audités Des ressources et du temps alloués 29

30 L audit selon la norme ISO27001 L audit de certification est composé de 2 phases: Type d audit Objectif de l audit Documents principaux Audit Phase 1 Audit Phase 2 Processus L audit phase 2 est focalisé sur : définis? (Disponibilité, Exhaustivité) Processus Mis en œuvre de manière efficace? (vue générale) Description de processus L analyse des risque de l entreprise auditée Les documents exigés par le chapitre de ISO/IEC 27001:2005 Les objectifs et mesures sélectionnés par l entreprise (DdA) La revue de l efficacité du SMSI, la surveillance de l application des procédures. enregistrement résultat des Processus Les résultats des audits internes et revue de direction La responsabilité pour l application des politiques de sécurité. Preuves tangible L implémentation des mesures Et d autre éléments pertinents 30

31 L audit selon la norme ISO27001 Résultats de l audit : Les résultats de l'évaluation des preuves d audit collectées sont comparés aux critères d'audit convenus 31

32 L audit selon la norme ISO27001 Conclusion de l audit Réalisée par le responsable de l audit sous forme d un rapport verbal qui : - Classe les non-conformités dans leur ordre d'importance - Identifie en particulier les points forts et les potentialités d amélioration éventuelles 32

33 L audit selon la norme ISO27001 L audit de surveillance pour vérifier : l amélioration continue du système de management de sécurité de l information de l entreprise le progrès accompli en mettant en application : -des actions préventives - des améliorations la bonne application des contrats (cas des audits secondes parties) Le premier audit de surveillance peut être réalisé après 6 mois Mais la plupart des organismes de certification respecte une échéance annuelle 33

34 AUDIT VS AUDIT TECHNIQUE 34

35 Audit vs Audit Technique Exigences normatives Est un choix de l organisme Audit selon ISO27001 Le management de l information dans tous types d organismes et applicable à tous les secteurs d activité Revue documentaire et audit sur site L audit est réalisé selon un processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits Exigences réglementaires Obligatoire Audit Technique Système informatique et réseaux de certains organismes publics et privés (voir décret n du 25 mai 2004) Sur site L audit est réalisé en 3 phases: -la prise de connaissance du réseau et du système informatique -L analyse des vulnérabilités -Les tests intrusifs Rapport d audit avec des recommandations d amélioration et des non conformités éventuelles Assurer le suivi de l audit et vérifier la planification des actions correctives Equipe d auditeurs dirigée par un responsable d audit Rapport d évaluation de la sécurité du système informatique et la proposition d un plan d action Suivre la mise en œuvre des recommandations Equipe d auditeurs experts dirigée par un chef de projet 35

36 CONCLUSION 36

37 Conclusion La norme ISO IEC est d application volontaire, mais le gouvernement peut en faire une exigence réglementaire, ce qui présente un certain nombre d avantages : Consolidation d expertise Ouverture des marchés mondiaux Réduction des coûts Merci pour votre attention 37