ISO 27001:2013 Béatrice Joucreau Julien Levrard



Documents pareils
La conformité et sa dérive par rapport à la gestion des risques

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Les clauses «sécurité» d'un contrat SaaS

Brève étude de la norme ISO/IEC 27003

Gestion des incidents

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

METIERS DE L INFORMATIQUE

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

SMSI et normes ISO 27001

THEORIE ET CAS PRATIQUES

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Mise en œuvre de la certification ISO 27001

Panorama général des normes et outils d audit. François VERGEZ AFAI

ISO/CEI 27001:2005 ISMS -Information Security Management System

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Sécurité du cloud computing

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Fiche conseil n 16 Audit

Initiation à la sécurité

D ITIL à D ISO 20000, une démarche complémentaire

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

L Audit selon la norme ISO27001

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Les clauses sécurité dans un contrat de cloud

COBIT (v4.1) INTRODUCTION COBIT

Certification ISO 27001

Contractualiser la sécurité du cloud computing

La sécurité applicative

Excellence. Technicité. Sagesse

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Prestations d audit et de conseil 2015

Mise en place d une démarche qualité dans un système d information

L analyse de risques avec MEHARI

Gestion de parc et qualité de service

Retour sur investissement en sécurité

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Les risques HERVE SCHAUER HSC

ISO la norme de la sécurité de l'information

2012 / Excellence. Technicité. Sagesse

Sécurité des Postes Clients

Marquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

Formation en SSI Système de management de la SSI

2 nde édition Octobre 2008 LIVRE BLANC. ISO Le nouveau nirvana de la sécurité?

Recommandations sur le Cloud computing

ISO/CEI Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences

Classification : Non sensible public 2 / 22

JOURNÉE THÉMATIQUE SUR LES RISQUES

L'infonuagique, les opportunités et les risques v.1

Rapport d'audit étape 2

PASSI Un label d exigence et de confiance?

Montrer que la gestion des risques en sécurité de l information est liée au métier

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Maîtriser ses données dans le cloud computing

Parmi elles, deux ont accédé à un statut véritablement mondial et sont aujourd hui entièrement intégrées à l économie mondiale :

ISO conformité, oui. Certification?

5 novembre Cloud, Big Data et sécurité Conseils et solutions

AUDIT CONSEIL CERT FORMATION

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

Analyse des protections et mécanismes de chiffrement fournis par BitLocker

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation


Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Qu est-ce qu un système d Information? 1

La Qualité de SFR Business Team

Symantec Control Compliance Suite 8.6

Menaces et sécurité préventive

Besoin de protéger vos informations? Prenez des mesures grâce à l ISO/IEC de BSI.

Créer un tableau de bord SSI

Aspects juridiques des tests d'intrusion

ISO/IEC TR Première édition Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

2.La bibliothèque ITIL est composé de 2 ouvrages La bibliothèque : Dans sa version actuelle, ITIL est composé de huit ouvrages :

Organisme de certification de personnes et d entreprises. Certification en technologies de l information et monétique.

LA QUALITE, L ASSURANCE DE LA QUALITE ET LA CERTIFICATION ISO 9001

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Mise en sécurité. Choisissez votre système de mise en sécurité. Qu'est-ce qu'un système de mise en securité? Catégorie d'un SMSI

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

ITIL FOUNDATION 2011 & PREPARATION A LA CERTIFICATION

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Sécurité des applications Retour d'expérience

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Béatrice Joucreau Julien Levrard

Sommaire La norme ISO 27001:2013 Qu'est-ce qu'un SMSI? Pourquoi mettre en place un SMSI? Un SMSI selon la norme ISO 27001:2013 Pourquoi un SMSI certifié ISO 27001:2013? Ingrédients du périmètre du SMSI Définition du périmètre du SMSI Gestion des risques de sécurité Lien avec l'iso 27002:2013 2 / 16

La norme ISO 27001:2013 ISO CEI 27001: 2013 Parue le 01/10/2013 ISO 27001 décrit la mise en œuvre et l'exploitation d'un SMSI SMSI : Système de Management de la Sécurité de l Information SM : Système de management SI : Sécurité de l information 3 / 16

Système de management Ensemble de procédures qu une organisation doit suivre pour réaliser ses objectifs Systématisation, par une organisation, de sa manière d opérer Sécurité de l information Confidentialité Intégrité Disponibilité Qu'est-ce qu'un SMSI? Gérer la sécurité / gérer les risques de sécurité 4 / 16 Mesures de sécurité pour Réduire les vulnérabilités des actifs Réduire les impacts des scénarios d'incidents Éventuellement, dissuader ou anticiper les menaces

Applicable à tout organisme Petit ou grand, quel que soit le produit ou le service fourni, dans tout secteur d activité Applicable à tout l'organisme Tout le monde est concerné au sein du périmètre Se fonde sur des référentiels précis Importance du document écrit Auditable Qu'est-ce qu'un SMSI? Quelqu un peut venir vérifier qu il n y a pas d écart entre l'exigence et la pratique Système documenté : passage de la tradition orale à la tradition écrite 5 / 16

Pourquoi mettre en place un SMSI? Un système de management Oblige à adopter de bonnes pratiques Augmente donc la fiabilité de l'organisme dans la durée Comme un système de management est auditable Il apporte la confiance aux parties intéressées Un SMSI permet D'adopter de bonnes pratiques de sécurité D'adapter les mesures de sécurité aux risques encourus 6 / 16

Parties intéressées Parties intéressées SMSI selon la norme ISO 27001:2013 Amélioration continue Gestion des risques =>Mesures de sécurité 7 / 16

Pourquoi un SMSI certifié ISO 27001:2013? Un système de management selon une norme ISO est un système de management Qui reprend un consensus d'experts mondiaux sur les bonnes pratiques à mettre en œuvre Adapté au contexte, à la culture, à l'environnement et à la taille de l'organisme Un SMSI selon la norme ISO 27001:2013 S'améliore dans la durée (PDCA) Organisation Gestion des risques Niveau de sécurité 8 / 16

Pourquoi un SMSI certifié ISO 27001:2013? Un SMSI selon la norme ISO 27001:2013 Est régulièrement audité Audits internes Prend en compte les attentes des parties intéressées Un SMSI certifié ISO 27001:2013 Est régulièrement audité par un organisme indépendant Audits de certification Fournit la certitude aux parties intéressées que leurs attentes sont prises en compte que le SMSI est conforme à la norme que le niveau de sécurité et sa gestion s'améliorent dans le temps 9 / 16

Ingrédients du périmètre du SMSI 10 / 16 Contexte externe (opportunités et menaces) (ISO 31 000 5.3.2) Environnement social et culturel, politique, légal, réglementaire, financier, technologique, économique, naturel et concurrentiel Facteurs et tendances ayant un impact déterminant sur les objectifs de l'organisme Relations avec les parties prenantes externes, leurs perceptions et leurs valeurs Contexte interne (atouts et faiblesses) Culture, processus, structure, stratégie de l'organisme Comment fonctionnons-nous? Quels sont nos atouts et nos faiblesses? (ISO 31 000 5.3.3) Comment le SMSI devra fonctionner pour s'intégrer à ce contexte? Besoins et attentes des parties intéressées

Définition du périmètre du SMSI Contexte externe et interne Besoins et attentes des parties intéressées Risques sur l'atteinte des résultats attendus Résultats attendus Périmètre du SMSI 11 / 16

Gestion des risques de sécurité Appréciation des risques Processus documenté Critères d'acceptation et d'appréciation des risques Résultats cohérents, valides et comparables Identifier les risques de sécurité de l'information et leur propriétaire Analyser les risques Niveau de risque = f(conséquences : Vraisemblance) Évaluer les risques par rapport aux critères définis et les prioriser pour le traitement Appréciation des risques Traitement des risques Définition des objectifs SSI Gestion des plans d'action Gestion des mesures de sécurité 12 / 16

Gestion des risques de sécurité Traitement des risques Processus documenté Choisir les options de traitement des risques Déterminer les mesures de sécurité nécessaires Rédiger le plan de traitement des risques Obtenir l'approbation du plan de traitement des risques et des risques résiduels par les propriétaires des risques Appréciation des risques Traitement des risques Définition des objectifs SSI Gestion des plans d'action Gestion des mesures de sécurité 13 / 16

Gestion des risques de sécurité Définir les objectifs de sécurité Prenant en compte les exigences de sécurité, l'appréciation des risques et le plan de traitement des risques Cohérents avec la politique de sécurité Mesurables Communiqués Mis à jour de manière adéquate Documentés Et les plans pour les atteindre Déclinaison des objectifs en actions opérationnelles = mesures de sécurité Quoi, qui, quand, avec quelles ressources, comment sont-ils évalués Appréciation des risques Traitement des risques Définition des objectifs SSI Gestion des plans d'action Gestion des mesures de sécurité 14 / 16

Lien avec l'iso 27002:2013 SMSI dans l'iso 27001 Gestion de la sécurité Les clauses sécurité ont disparu de l'iso 27001 Approche par les risques Mesures de sécurité dans l'iso 27002 Utilisées lorsqu'on met en place un SMSI Vérifier que tous les points importants sont traités Peuvent être utilisées telles quelles Approche conformité 15 / 16

Merci Questions? 16 / 16

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back