Synthèse de la norme. Exigences vis à vis de la documentation du SMSI. Système de Management de la Sécurité de l'information

Transcription

1 Système de Management de la Sécurité de l'information Date de publication oct 2013 Nombre de pages 10 Nombre de pages 13 (corps du document) (annexes) Traduction en français Oui Synthèse de la norme ISO 27001:2013 est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui définit les conditions pour mettre en oeuvre et documenter un SMSI. La Norme internationale ISO 27001:2013 est décomposée en 6 chapitres principaux (du chapitre 4 au chapitre 10, ce qui représente 10 pages) : - Chapitre 4 : Contexte de l'organisation : périmètre du SMSI, interfaces, domaine d'application - Chapitre 5 : Leadership : Engagement de la Direction Générale et définition des responsabilités vis à vis du SMSI - Chapitre 6 : Planification : Management des risques et définition du portefuille des mesures de sécurité - Chapitre 7 : Ressources : Ressources humaines et compétences, communication (interne & externe), gestion de la documentation (sécurité et SMSI), - Chapitre 8 : Fonctionnement : Contrôle opérationnels, appréciation et traitement des risques - Chapitre 9 : Evaluation des performances : Audit interne, revues de Direction, Surveillance, mesures,.. - Chapitre 10 : Amélioration : Traitement des non-conformités, actions correctives, amélioration continue Exigences vis à vis de la documentation du SMSI 1 / 5

2 ISO exige certains documents : - Pour la partie définition du périmètre : - La politique du SMSI qui définit le périmètre du SMSI (business, légal, interfaces...) : ce document de quelques pages était souvent séparé de la PGSI, - Pour la partie Gestion des Risques (voir ISO 27005) : - une description de la méthodologie d'appréciation du risques (attention donc aux méthodes "maison" faites avec 3 feuilles excel) - un rapport d'appréciation du risque - le plan de traitement du risque - Pour la partie déploiement - les procédures documentées, ISO n'exige pas procédure en particulier : - alors que l'iso 9001:2008 exige qu'il ait des «procédures documentées» pour les six activités suivantes : Maîtrise des documents - Maîtrise des enregistrements - Audit interne - Maîtrise du produit non conforme - Actions correctives - Actions préventives - Pour la partie contrôle : - les enregistrements apportant la preuve que le SMSI est appliqué et fonctionne efficacement - mais également les rapports d'audit interne ou externe - l'ensemble de ces éléments devant être "lisibles, faciles à identifier et accessibles" Evidemment ISO demande que la documentation soit bien gérée (circuit de validation, versionning, publiés, archivés,..), bref il devient assez vite souhaitable de disposer d'un Wiki d'entreprise pour gérer cette ensemble documentaire. Evolutions de la version ISO 27001: / 5

3 Par rapport à la version 2005, cette évolution de la norme apporte des simplication et des clarifications : - l'élaboration de la politique de sécurité est de la responsabilité du Top Management - diminution du nombre de documents imposés (PGSI, Politique SMSI,..) - possibilité d'utiliser une méthode de gestion des risques non documentée de façon formelle - indication claire que l'annexe A des mesures de scéurité peut être complétée par des mesures de sécurité adaptées aux enjeux Cette évolution peut être vue comme une ouverture pour simplifier la certification (qui en l'état reste facile), notamment pour les PME ou, si on est optimiste, pour oter tout le formalisme abscons des documents imposés que les auditeurs, en général, n'analysaient que rapidement. 3 / 5

4 Quelques définitions En fait le chapitre des définitions reprend les définitions des différentes normes "référentes" (ISO 73, ISO 9000) mesure de sécurité (en l'anglais control dans la 27002) : moyens de gestion du risque, comprenant les politiques, les procédures, les lignes directrices, les pratiques ou l'organisation, qui peuvent être de nature administrative, technique, manégériale ou juridique SMSI : partie du système de management global, basée sur une approche du risque lié à l'activité, visant à établir, mettre en oeuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l'information. 4 / 5

5 5 / 5