Mise en œuvre de la certification ISO 27001

Dimension: px

Commencer à balayer dès la page:

Download "Mise en œuvre de la certification ISO 27001"

Céline Pellerin
il y a 8 ans
Total affichages :

1 Mise en œuvre de la certification ISO

2 Sommaire : 1. Définitions 2. Pourquoi vouloir obtenir une certification? 3. Les étapes pour obtenir l ISO Implémentation 5. Surveillance et audit du SMSI 6. Avantages vs Inconvénients 7. Retours sur la certification SynAApS 2

Les étapes pour obtenir l ISO 27001 4. Implémentation 5.

Définitions Clusir Rhône-Alpes Club SSI, le 29/04/2015 La famille de normes ISO 27000 aide les organisations à assurer la sécurité de leurs informations.

3 Définitions Clusir Rhône-Alpes Club SSI, le 29/04/2015 La famille de normes ISO aide les organisations à assurer la sécurité de leurs informations. Ces normes organisent le management de la sécurité des informations, notamment : Les données financières Les documents soumis à la propriété intellectuelle Les informations relatives au personnel Les données qui vous sont confiées par des tiers L ISO/IEC 27001, expose les exigences relatives aux systèmes de management de la sécurité des informations (SMSI). La suite ISO/CEI comprend les normes de sécurité de l'information publiées conjointement par l'organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI, ou IEC en anglais). 3

personnel Les données qui vous sont confiées par des tiers L ISO/IEC 27001, expose les exigences relatives aux systèmes de management de la sécurité des informations (SMSI).

4 Définitions Clusir Rhône-Alpes Club SSI, le 29/04/2015 Un SMSI désigne l'approche systémique par laquelle une organisation veille à la sécurité des informations sensibles. Construit selon un processus de management du risque, un SMSI englobe : Les personnes Les processus et les systèmes de l IT Cette démarche peut être utile aux organisations de tous secteurs et de toutes tailles qui tiennent à la confidentialité de leurs informations. 4

Construit selon un processus de management du risque, un SMSI englobe : Les personnes Les processus et les

5 Définitions Clusir Rhône-Alpes Club SSI, le 29/04/2015 5

6 Pourquoi vouloir une certification? Comme toutes les autres normes de systèmes de management de l'iso, la certification selon ISO/IEC est une possibilité, mais pas une obligation. Certains utilisateurs (organisations) décident de mettre en œuvre la norme pour les avantages directs que procurent les meilleures pratiques. Bonne gouvernance = réduction des coûts D'autres font le choix de la certification pour prouver à leurs clients qu'ils suivent les recommandations de la norme. 6

7 Les étapes Clusir Rhône-Alpes Club SSI, le 29/04/2015 Etapes INITIALE AUDIT ETUDE DES RISQUES SMSI PLAN D ACTIONS DOCUMENTATION DOSSIER ASIP Désignation Préparation du scope projet ISO 27K Etat des lieux du périmètre Datacenter Méthodologie d étude EBIOS Phases Conception, déploiement, surveillance et amélioration du SMSI Plan d Actions et suivi de la mise en conformité Formalisation de la base documentaire Accompagnement pour la création du dossier de candidature 7

Méthodologie d étude EBIOS Phases Conception, déploiement, surveillance et amélioration du SMSI Plan d Actions et

8 Implémentation de la certification? 8

9 Implémentation de la certification? 9

10 Implémentation de la certification? 10

11 Implémentation de la certification? 11

12 Implémentation de la certification? 12

13 Implémentation de la certification? 13

14 Implémentation de la certification? 14

15 Implémentation de la certification? 15

16 Implémentation de la certification? 16

17 Implémentation de la certification? 17

18 Implémentation de la certification? ISO 27001: mesures de sécurité 18

19 Les différents niveaux de sécurisation à traiter : ACL, Cryptage, Chiffrement, Anonymisation, Sauvegarde. Antivirus, contrôle des développements, Contrôle et tracing des accès Sondes HIDS(1), Authentification, Renforcement de la sécurité du Système d Exploitation Sondes NIDS(2), Authentification, Renforcement de la sécurité du Système d Exploitation Firewall, Vpn Ipsec/ SSL, Vlan, etc Cages, Verrous, vidéosurveillance, Périmètre, Contrôles physiques, Détecteurs biométriques, thermiques, hydrométriques, etc Formation, Accompagnement, Sensibilisation des utilisateurs, Etude des risques, PSSI, Gestion des projets, etc (1) SDIH = Système de Détection d Intrusion au niveau des Hôtes (2) NIDS = Système de Détection d Intrusion au niveau du Réseau 19

Authentification, Renforcement de la sécurité du Système d Exploitation Firewall, Vpn Ipsec/ SSL, Vlan, etc Cages, Verrous, vidéosurveillance, Périmètre, Contrôles physiques, Détecteurs

20 Implémentation de la certification? 20

21 Surveillance et réexamen du SMSI 21

22 Audit interne et externe 22

23 Choix de l organisme de certification? 23

24 Les avantages? 24

25 Les avantages? 25

26 Les contraintes? Temps passé Embauche de plusieurs collaborateurs Des processus contraignants à respecter Des obligations de résultats Audit tous les ans Des documents à maintenir Un temps de formation important pour les nouveaux collaborateurs L obligation de déléguer des responsabilités Une implication obligatoire de la direction 26

27 Notre retour sur la certification SynAApS L implémentation est longue et difficile à gérer avec l activité Cette norme doit vivre dans l organisation à tous les niveaux hiérarchiques Le choix du périmètre est essentiel Embauche de nouvelles ressources Elle évolue et s améliore tous les jours Ne pas faire cette norme par contrainte d un prospect Elle permet de rassurer nos clients. Il retrouve leur zone de confiance. La certification AHDS 27

Documents pareils

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Panorama de l'évolution du cloud et des Datacenters ; La sécurité dans les domaines d'orchestration (cloud et virtualisation) Eric Deronzier (YSOSECURE) Rémi Grivel (SynAApS) 1 L évolution des usages TIC