Synthèse de la norme. Exigences vis à vis de la documentation du SMSI. Système de Management de la Sécurité de l'information



Documents pareils
METIERS DE L INFORMATIQUE

Fiche conseil n 16 Audit

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

THEORIE ET CAS PRATIQUES

Rapport d'audit étape 2

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

«Audit Informatique»

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

Mise en œuvre de la certification ISO 27001

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

ISO 27001:2013 Béatrice Joucreau Julien Levrard

D ITIL à D ISO 20000, une démarche complémentaire

«Audit Informatique»

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

plate-forme mondiale de promotion

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

ISO la norme de la sécurité de l'information

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Gestion de parc et qualité de service

L Audit selon la norme ISO27001

Prestations d audit et de conseil 2015

Mise en place d un Système de Management Environnemental sur la base de la Norme ISO SARRAMAGNAN Viviane

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance

SMSI et normes ISO 27001

La conformité et sa dérive par rapport à la gestion des risques

Audit du PCA de la Supply Chain en conformité avec la norme ISO GUIDE ADENIUM BUSINESS CONTINUITY

CONTRAT LOGICIEL CERTIFICATION

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

Audit interne. Audit interne

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Solution globale de gestion et reporting projet

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

RÈGLES DE CERTIFICATION D ENTREPRISE

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

La politique de sécurité

ERP5. Gestion des Services Techniques des Collectivités Locales

Formation «Système de gestion des documents d activité (SGDA)»

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

Manuel de management intégré

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Comité réglementation et simplification du conseil national de l industrie 16 mai 2014

Atelier A N 13. Titre : Gestion des risques, audit interne et contrôle interne

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Brève étude de la norme ISO/IEC 27003

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Modèle Cobit

Réponse standard pour les demandes d'information. Sécurité et Respect de la vie privée

FICHE D IMPACT PROJET DE TEXTE REGLEMENTAIRE

Parmi elles, deux ont accédé à un statut véritablement mondial et sont aujourd hui entièrement intégrées à l économie mondiale :

1 Points du champ d'audit «Documentation des risques selon l'art. 196 et l'art. 97 OS»

asah alpha consulting Prog o ram a m m e e de d e fo f r o mat a i t on o n

Catalogue de services standard Référence : CAT-SERVICES-2010-A

RAPPORT D AUDIT INTERNE

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Pour le Développement d une Relation Durable avec nos Clients

BTS Assistant de gestion de PME-PMI à référentiel commun européen

Panorama général des normes et outils d audit. François VERGEZ AFAI

TUV Certification Maroc

LA QUALITE DU LOGICIEL

PRÉSENTATION PRÉSENTATION!

Excellence. Technicité. Sagesse

Les clauses «sécurité» d'un contrat SaaS

Présentation à la Direction des Santé Achats de la Société Générale. Asurances, soins, biens médicaux

Université du Sud-Toulon Var IUT Toulon Var PROGRAMME DE LA FORMATION. Licence Professionnelle Management des Organisations

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

Annexe sur la maîtrise de la qualité

Certification ISO 9001 de la prise en charge médicamenteuse

Principes de management de la qualité

Lignes directrices européennes (1998)

Catalogue Formation 2015

Groupement ICS eau et William Terry Conseil, représenté par:

Certification ISO 27001

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

Engagement par approche.

Jean- Louis CABROLIER

8) Certification ISO : une démarche utile et efficace

Guide de bonnes pratiques de sécurisation du système d information des cliniques

REGLES DE CERTIFICATION MARQUE NF REACTION AU FEU MANCHONS ET PLAQUES D ISOLATION THERMIQUE EN ELASTOMERE EXPANSE PARTIE 4

Une réponse concrète et adaptée pour valoriser votre engagement pour l environnement.

Direction d'entreprise, Gestion des risques, continuité

Cours 20411D Examen

2012 / Excellence. Technicité. Sagesse

Tremplins de la Qualité. Tome 2

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

La Qualité de SFR Business Team

ITIL V2. Historique et présentation générale

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

MODALITES D'APPLICATION DE LA KEYMARK. "Refroidisseurs de lait en vrac à la ferme "

ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL

éq studio srl Gestion des informations pour un choix- consommation raisonnée - GUIDE EXPLICATIVE

RÈGLEMENT* CONCERNANT L'AUDIT DE QUALITÉ DANS LE DOMAINE DES SERVICES COMPTABLES

Transcription:

Système de Management de la Sécurité de l'information Date de publication oct 2013 Nombre de pages 10 Nombre de pages 13 (corps du document) (annexes) Traduction en français Oui Synthèse de la norme ISO 27001:2013 est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui définit les conditions pour mettre en oeuvre et documenter un SMSI. La Norme internationale ISO 27001:2013 est décomposée en 6 chapitres principaux (du chapitre 4 au chapitre 10, ce qui représente 10 pages) : - Chapitre 4 : Contexte de l'organisation : périmètre du SMSI, interfaces, domaine d'application - Chapitre 5 : Leadership : Engagement de la Direction Générale et définition des responsabilités vis à vis du SMSI - Chapitre 6 : Planification : Management des risques et définition du portefuille des mesures de sécurité - Chapitre 7 : Ressources : Ressources humaines et compétences, communication (interne & externe), gestion de la documentation (sécurité et SMSI), - Chapitre 8 : Fonctionnement : Contrôle opérationnels, appréciation et traitement des risques - Chapitre 9 : Evaluation des performances : Audit interne, revues de Direction, Surveillance, mesures,.. - Chapitre 10 : Amélioration : Traitement des non-conformités, actions correctives, amélioration continue Exigences vis à vis de la documentation du SMSI 1 / 5

ISO 27001 exige certains documents : - Pour la partie définition du périmètre : - La politique du SMSI qui définit le périmètre du SMSI (business, légal, interfaces...) : ce document de quelques pages était souvent séparé de la PGSI, - Pour la partie Gestion des Risques (voir ISO 27005) : - une description de la méthodologie d'appréciation du risques (attention donc aux méthodes "maison" faites avec 3 feuilles excel) - un rapport d'appréciation du risque - le plan de traitement du risque - Pour la partie déploiement - les procédures documentées, ISO 27001 n'exige pas procédure en particulier : - alors que l'iso 9001:2008 exige qu'il ait des «procédures documentées» pour les six activités suivantes : Maîtrise des documents - Maîtrise des enregistrements - Audit interne - Maîtrise du produit non conforme - Actions correctives - Actions préventives - Pour la partie contrôle : - les enregistrements apportant la preuve que le SMSI est appliqué et fonctionne efficacement - mais également les rapports d'audit interne ou externe - l'ensemble de ces éléments devant être "lisibles, faciles à identifier et accessibles" Evidemment ISO 27001 demande que la documentation soit bien gérée (circuit de validation, versionning, publiés, archivés,..), bref il devient assez vite souhaitable de disposer d'un Wiki d'entreprise pour gérer cette ensemble documentaire. Evolutions de la version ISO 27001:2013 2 / 5

Par rapport à la version 2005, cette évolution de la norme apporte des simplication et des clarifications : - l'élaboration de la politique de sécurité est de la responsabilité du Top Management - diminution du nombre de documents imposés (PGSI, Politique SMSI,..) - possibilité d'utiliser une méthode de gestion des risques non documentée de façon formelle - indication claire que l'annexe A des mesures de scéurité peut être complétée par des mesures de sécurité adaptées aux enjeux Cette évolution peut être vue comme une ouverture pour simplifier la certification (qui en l'état reste facile), notamment pour les PME ou, si on est optimiste, pour oter tout le formalisme abscons des documents imposés que les auditeurs, en général, n'analysaient que rapidement. 3 / 5

Quelques définitions En fait le chapitre des définitions reprend les définitions des différentes normes "référentes" (ISO 73, ISO 9000) mesure de sécurité (en l'anglais control dans la 27002) : moyens de gestion du risque, comprenant les politiques, les procédures, les lignes directrices, les pratiques ou l'organisation, qui peuvent être de nature administrative, technique, manégériale ou juridique SMSI : partie du système de management global, basée sur une approche du risque lié à l'activité, visant à établir, mettre en oeuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l'information. 4 / 5

5 / 5

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back