GBP. «Guide de Bonnes Pratiques» organisationnelles pour les ASR dans les unités de recherche. Groupe de travail RESINFO

Documents pareils
Gestion de parc et qualité de service

Guide des Bonnes Pratiques (GBP) pour les Administrateurs Systèmes et Réseaux (ASR) 09/10/2008 Laurette Chardon Journées Mathrice Rouen

RESINFO Françoise Berthoud, Anne Facq, Gilles Requilé

ISO/CEI 27001:2005 ISMS -Information Security Management System

THEORIE ET CAS PRATIQUES

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Formation en SSI Système de management de la SSI

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Montrer que la gestion des risques en sécurité de l information est liée au métier

SMSI et normes ISO 27001

2.La bibliothèque ITIL est composé de 2 ouvrages La bibliothèque : Dans sa version actuelle, ITIL est composé de huit ouvrages :

ITIL V Préparation à la certification ITIL Foundation V3 (2ième édition)

ITIL V Préparation à la certification ITIL Foundation V3 (3ième édition)

D ITIL à D ISO 20000, une démarche complémentaire

Utilisation des bonnes pratiques ITIL et ISO dans la construction d'un Service Informatique mutualisé d'observatoire

Mise en place d une démarche qualité dans un système d information

De l élaboration d une PSSI d unité de recherche à la PSSI d établissement

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis

CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Brève étude de la norme ISO/IEC 27003

Mise en place d'une démarche qualité et maintien de la certification ISO 9001:2008 dans un système d'information

Prestations d audit et de conseil 2015

ITIL FOUNDATION 2011 & PREPARATION A LA CERTIFICATION

Systèmes et réseaux d information et de communication

curité des TI : Comment accroître votre niveau de curité

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ITIL v3. La clé d une gestion réussie des services informatiques

Les clauses «sécurité» d'un contrat SaaS

2 nde édition Octobre 2008 LIVRE BLANC. ISO Le nouveau nirvana de la sécurité?

Comprendre ITIL 2011

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

METIERS DE L INFORMATIQUE

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

intégration tri ogique Démarches Processus au service des enjeux de la Santé

ITIL 2011 Fondamentaux avec certification - 3 jours (français et anglais)

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

A1 GESTION DE LA RELATION AVEC LA CLIENTELE

Focus méthodologique sur la mise en place d'une veille partenariale L expérience du CD P. Bartoli

CERT! OSIRIS! Présentation du CERT OSIRIS!! Guilhem Borghesi, Magali Daujat, Marc Herrmann!

La sécurité applicative

L analyse de risques avec MEHARI

27 mars Sécurité ECNi. Présentation de la démarche sécurité

ISO la norme de la sécurité de l'information

CATALOGUE Expertise ITIL - ISO Lean IT

Opportunités s de mutualisation ITIL et ISO 27001

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

L Assurance Qualité DOSSIER L ASSURANCE QUALITE

Matrice snapshot Jacquelin Charbonnel ANF RNBM - Marseille, 23 mai 2013

Comprendre ITIL 2011 Normes et meilleures pratiques pour évoluer vers ISO 20000

DPS 14 septembre 06. Bilan de l avancée de la démarche à 6 mois AIPST Caen

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Conception et Réalisation d une Application de Gestion de Sécurité d Information pour la Poste Tunisienne

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

ITIL V3. Exploitation des services : Les fonctions

La conformité et sa dérive par rapport à la gestion des risques

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Le Parc naturel régional des SIG. Restructuration d un SIG et diffusion des données dans le cadre de la directive Inspire

Comprendre ITIL 2011

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

C11.2 Identifier les solutions à mettre en œuvre C11.3 Préparer le cahier des charges

ERP5. Gestion des Services Techniques des Collectivités Locales

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

ITIL V2 Processus : La Gestion des Configurations

Tableau de Bord. Clas 1.1 Conduite d'un projet de communication

Panorama général des normes et outils d audit. François VERGEZ AFAI

Gestion des Incidents SSI

REFERENTIEL DES ACTIVITES PROFESSIONNELLES

Initiation à la sécurité

Vers un nouveau modèle de sécurité

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

La norme ISO 9001, outil d organisation. de laboratoire. Du bon usage des normes SÉCURITÉ S O M M A I R E. ISO 9001 et qualité en recherche

LA CONDUITE DE L ACTION COMMERCIALE

La pratique de l ITSM. Définir un plan d'améliorations ITSM à partir de la situation actuelle

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

ITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Sécurité Sanitaire des Aliments. Saint-Pierre, le 19 novembre Olivier BOUTOU. Les outils de la qualité sanitaire dans les pays du sud

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Mise en œuvre de la certification ISO 27001

Rôle de l Assurance Qualité dans la recherche clinique

Bâtir un système intégré

Recommandations sur les mutualisations ISO ISO & ISO ITIL

L Audit selon la norme ISO27001

Yphise optimise en Coût Valeur Risque l informatique d entreprise

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

REF01 Référentiel de labellisation des laboratoires de recherche_v3

Partie 1 : Introduction

Transcription:

GBP «Guide de Bonnes Pratiques» organisationnelles pour les ASR dans les unités de recherche Groupe de travail RESINFO O. Brand-Foissac, L. Chardon, M. David, M. Libes, G. Requilé, A. Rivet 1

Plan Présentation RESINFO, origine du guide Les objectifs du groupe «GBP» Le contenu du guide Focus sur la SSI Focus sur les aspects juridiques Les évolutions à venir du GBP 2

Présentation de RESINFO (1) Fédération de réseaux métier d' «Administrateurs Systèmes et Réseaux» (ASR) créé en 2005. Les ASR des départements scientifiques sont organisés en réseaux de compétence régionaux, avec des objectifs communs : Faciliter la communication entre les membres Échanger les compétences, mutualiser les expériences But : pallier à l'isolement des ASR, mettre en commun des «savoir faire», améliorer le service rendu aux utilisateurs de l'enseignement supérieur et de la recherche Soutenu par la Mission Ressources et Compétences Technologiques (MRCT) du CNRS. 3

Animation réseaux Listes de diffusion Serveurs Web Réunions thématiques Formations locales (JoSy), nationales (ANGD) Groupes de travail... Présentation de RESINFO (2) 4

Objectifs du groupe GBP (1) Projet initié en 2008... Olivier BRAND FOISSAC (UMR8627, Orsay) Laurette CHARDON (UMR6072, Caen) Marie DAVID (DR Alpes, Grenoble) Maurice LIBES (UMS2196, Marseille) Gilles REQUILE (UMR5508, Montpellier) Alain RIVET (UPR5301, Grenoble) Première version décembre 2009 (JRES) http://www.resinfo.org/spip.php?article41 Seconde version augmentée (décembre 2011) 5

Objectifs du groupe GBP (2) Démarche qualité A l'image des cahiers de laboratoire des chercheurs Référentiels ITIL, ISO 20000, ISO 27000 Mieux structurer et organiser son travail Processus d'amélioration continue Proche de la pratique quotidienne Formaliser des comportements qui font consensus Annexe de fiches techniques Rendre plus lisible notre travail vis à vis des DU et des tutelles 6

Contenu du Guide (1) Fourniture de services (gestion des configurations, des niveaux de service, des dysfonctionnement, de la continuité de service, catalogue de service, documentations, SLA) Gestion de la sécurité Aspects juridiques Contextes personnel et relationnel (la gestion du temps, communication avec les partenaires, compétences et formations) Aspect environnemental (réduire les impacts, optimiser le fonctionnement, sensibiliser, déchets) Fiches de références 7

Contenu du Guide (2) Focus SSI : mise en place d'un Système de Management de la Sécurité de l'information (SMSI) Trois points : Disponibilité Confidentialité Intégrité Les apports de la norme ISO 2700x (référentiel) 11 domaines d'application (objectifs et mesures de sécurité) Amélioration continue (PDCA Roue de Deming) 8

Contenu du Guide (3) Plan (planifier) Définir un périmètre (actifs primordiaux, métier et les actifs de soutien, matériels,...) Analyse de risques Do (faire) Déploiement des mesures de traitement du risque Check (contrôler) Mesurer les écarts Vérifier la couverture des risques Act (Agir) Corrections, redéfinition périmétrique Nouvelles menaces, nouveaux risques 9

Contenu du Guide (4) Risque : Impact * Menace * Vulnérabilité Valeurs des actifs (0 à 4) Importance des impacts Vraissemblance des menaces (42 méthodes d'attaque ISO 27005) Probabilité d'occurrence (1 à 3) Estimation des vulnérabilités Facilité d'exploitation des menaces (1 à 3) Estimation du risque 10

Contenu du Guide (5) Valeur d'estimation du risque : (imenace + ivulnérabilité + iimpact ) 2 Abaque d'appréciation du risque : 5 zones Risques nuls : acceptables Risques négligeables : acceptables Risques significatifs : à traiter au cas par cas (jusqu'à acceptation d'un risque résiduel) Risques graves : à traiter systématiquement Risques vitaux : refusés ISO 27002 : mesures de sécurité à chaque risque identifié 11

Contenu du Guide (6) Traitement du risque : Accepté Refusé Transféré Réduit Déclaration d'applicabilité (DdA, SoA statement of applicability ISO 27001) synthèse des mesures de sécurité 12

Contenu du Guide (7) Aspects juridiques en trois points : Informer Alertes, mises en garde, conseils Par mail ou affichage, chartes, etc. Contrôler Agir Mise en place d'outils Remontées d'informations, consultation de logs Confidentialité Correctifs, Continuité de service Réagir 13

Contenu du Guide (8) Tracer ses actions : de façon à prouver qu'on a informé, contrôlé et agit Risques juridiques (pour les ASR) : Diffuser des informations personnelles Abuser des privilèges (téléchargement,...) Ignorer le droit Négligeance fautive (art. 1383 Code civil)... 14

Evolutions du Guide Elaboration d'un catalogue de services Système de Management de la Sécurité de l'information (SMSI) Mise à jour des aspects juridiques, gestion au niveau personnel et relationnel Les aspects écologiques de l'outil informatique Publication de l'ouvrage aux éditions MRCT http://www.mrct.cnrs.fr/ 15

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back