GROUPE PIN. Réunion du 21 janvier 2010. Certification des systèmes d'archivage numérique. Jean-Louis Pascon Vice-Président de FEDISA



Documents pareils
FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

Conférence EDIFICAS. Le document électronique et sa valeur probante

PROGRAMME DE FORMATION

DEMATERIALISATION & ARCHIVAGE ELECTRONIQUE

La politique de sécurité

THEORIE ET CAS PRATIQUES

Organisme de certification de personnes et d entreprises. Certification en technologies de l information et monétique.

Introduction à l ISO/IEC 17025:2005

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

REFERENTIEL DE CERTIFICATION

METIERS DE L INFORMATIQUE

Université de Lausanne

CIMAIL SOLUTION: EASYFOLDER SAE

FedISA (Fédération ILM Stockage et Archivage) est une association professionnelle qui s'est fixée pour principales missions :

Catalogue de Formations

Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.

Au-delà de la "Gestion Électronique des Documents" le "Records Management"

LA VERSION ELECTRONIQUE FAIT FOI

HACCP Évolutions réglementaires et normatives

Les normes de certification des archives numériques En préparation. C. Huc. La Pérennisation des Informations numériques

Mode d emploi. La certification. des produits industriels et des services. en 7 questions

Rapport d'audit étape 2

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

AUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre?

PASSI Un label d exigence et de confiance?

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

La certification «sans gluten»

Tiers de Confiance : importance pour le marché du SaaS et aspects légaux

JOURNÉE THÉMATIQUE SUR LES RISQUES

L archivage dans votre entreprise

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

pour des structures en toute sécurité

Audit interne. Audit interne

CONTRAT LOGICIEL CERTIFICATION

Dossier de presse L'archivage électronique

Qu'est-ce que la normalisation?

PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Organisme Notifié N 1826 REFERENTIEL POUR LA CERTIFICATION DE CONFORMITE CE DES PLOTS RETROREFLECHISSANTS

Conditions générales pour la certification de systèmes de

Une réponse concrète et adaptée pour valoriser votre engagement pour l environnement.

When Recognition Matters

Audit COFRAC sur site : un examen détaillé pour la réussite de votre accréditation!

GUIDE sur le bon usage

REGLEMENT DE CERTIFICATION

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

2012 / Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse

CHAÎNE DE TRACABILITÉ GLOSSAIRE DES TERMES ET DÉFINITIONS

Club toulousain

Modèle Cobit

Rencontres ERFA Records Management

Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE

ISO la norme de la sécurité de l'information

CATALOGUE DE FORMATIONS

ARCHIVISTIQUE ET INGÉNIERIE DOCUMENTAIRE

"Le Référentiel des Métadonnées Documentaires" ou "le MDM appliqué au Records Management"

CobiT une expérience pratique

REFERENTIEL DE CERTIFICATION APPLICABLE AUX SEMENCES :

«Audit Informatique»

Table des matières. Intro SQF BRC. Conclusion. - Introduction et historique du référentiel - Différence version 6 et 7

Parmi elles, deux ont accédé à un statut véritablement mondial et sont aujourd hui entièrement intégrées à l économie mondiale :

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

IT Gouvernance. Plan. Définition. IT gouvernance pourquoi? But et enjeux. Les bonnes pratiques et composantes d une IT gouvernance

Règles de certification

REFERENTIEL DE CERTIFICATION DE CONFORMITE CE DES DISPOSITIFS DE RETENUE

Club ISO Juin 2009

Fiche conseil n 16 Audit

ISO 2700x : une famille de normes pour la gouvernance sécurité

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

ISO 27001:2013 Béatrice Joucreau Julien Levrard

CERTIFICATION CERTIPHYTO

ITIL v3. La clé d une gestion réussie des services informatiques

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

ISO/CEI 27001:2005 ISMS -Information Security Management System

Certification ISO 27001

CHARTE R.S.E. Responsabilité Sociétale d'entreprise

Accréditation des laboratoires de ais

Table des matières détaillée

TUV Certification Maroc

Document de Base sur la Conservation des Données

Les archives de l entreprise à l ère du numérique. Présentée par: HAMMA Mustapha

Groupe AFNOR au service de votre performance

Food Safety System Certification fssc 22000

! "! #! $%& '( )* &#* +,

L Assurance Qualité DOSSIER L ASSURANCE QUALITE

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

ARCHIVAGE DES BASES DE

A009 Maîtrise des enregistrements

Symantec Control Compliance Suite 8.6

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

TABLE DE MATIERES. Pourquoi les Organisations doivent-elles être accréditées?...

Marquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD

LA VERSION ELECTRONIQUE FAIT FOI

Présentation aux entreprises du numérique

Transcription:

GROUPE PIN Réunion du 21 janvier 2010 Certification des systèmes d'archivage numérique Jean-Louis Pascon Vice-Président de FEDISA

Les constats Des besoins en matière de validation de fonctionnement des services d'archivage pour les entreprises (Banques, Assurances, Opérateurs de télécommunication, etc.) Pouvoir certifier au sens de Loi Ne pas remettre en question les investissements déjà réalisés - notamment en matière de sécurité Être reconnu en France et hors de France Avoir une procédure disponible rapidement Reposer sur une méthodologie adaptée et rigoureuse 21 Janvier 2010 Groupe PIN 2

Certification/Label Certification : La certification est une procédure par laquelle une tierce partie, l organisme certificateur, donne une assurance écrite qu un système d organisation, un processus, une personne, un produit ou un service est conforme à des exigences spécifiées dans une norme ou un référentiel. Label : On peut rencontrer des démarches de type «label» (hors du domaine agricole ou alimentaire) ou «contrôlé par un organisme indépendant». Elles ne constituent pas des certifications. Ces pratiques ne sont pas encadrées par des dispositions réglementaires mais sont licites tant qu elles n induisent pas de confusion avec une véritable certification dans l esprit du public. 21 Janvier 2010 Groupe PIN 3

Référentiel Un référentiel est un document technique définissant les caractéristiques que doit présenter un produit industriel ou un service et les modalités du contrôle de la conformité à ces caractéristiques Un référentiel est élaboré et validé en concertation avec des représentants des diverses parties intéressées : professionnels, consommateurs ou utilisateurs, administrations concernées, etc. 21 Janvier 2010 Groupe PIN 4

Organismes certificateurs Déclaration d activité : Déclaration auprès du Ministère chargé de l Industrie de leur activité. Elle fait l objet d une publication au Journal Officiel Impartialité et Compétence : Appréciées au regard des normes en vigueur (Norme NF EN 45011) Validation concertée des référentiels : L'organisme certificateur élabore et valide chaque référentiel en concertation avec les représentants des diverses parties intéressées Transparence : Les caractéristiques essentielles contrôlées des référentiels sont publiées sous la forme d un avis au JO 21 Janvier 2010 Groupe PIN 5

Organismes certificateurs Les organismes certificateurs peuvent demander à être accrédités par le Comité français d accréditation (COFRAC). Il s agit d une démarche volontaire dont le but est de donner confiance au marché en attestant que l organisme certificateur est compétent, impartial et indépendant au regard des normes européennes ou internationales pertinentes (par exemple, la norme NF EN 45011 pour les organismes certificateurs de produits industriels et de services). Le Comité français d accréditation (COFRAC), créé en 1994, est une association loi 1901 à but non lucratif dont les membres représentent l ensemble des partenaires concernés : pouvoirs publics, professionnels, laboratoires et organismes accrédités, groupements de consommateurs et utilisateurs, acheteurs publics. 21 Janvier 2010 Groupe PIN 6

Référentiels Archives Il existe des référentiels : OAIS : Conceptuel, utile, mais pas d'éléments directement exploitables pour un audit MOREQ 2 : Complet mais complexe et ne concerne que le logiciel FNTC : Spécialisé tiers archiveurs axé principalement sur un format assurant l'interopérabilité entre les opérateurs d'archivage AFNOR NF Z 42-013 : Orienté conception et exploitation mais incomplet (sécurité, gestion des personnels, développement des systèmes, etc.) 21 Janvier 2010 Groupe PIN 7

Méthodes d'audit TRAC : Trustworthy Repositories Audit and Certification Nestor : Network of Expertise in Long-term STOrage of Digital Resources CobiT : Control Objectives for Information and Related Technology ISO 27001 : Information security management systems 21 Janvier 2010 Groupe PIN 8

Utiliser l'iso 27001 Souple grâce au SOA (Statement Of Applicability) Famille complète de normes (ISO 27002, ISO 27005, ISO 2701X, etc.) Certification reconnue mondialement (6037 sociétés certifiées dans le monde en décembre 2009) 21 Janvier 2010 Groupe PIN 9

Utiliser l'iso 27001 Organismes de certification déjà existants (exemple LSTI en France) Grande expérience des auditeurs Utilisation de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) pour la conception du SOA recommandée par l'anssi (Agence Nationale pour la Sécurité des Systèmes d'information) 21 Janvier 2010 Groupe PIN 10

Complet - Souple Pas de conflits avec les autres méthodes car pas les mêmes cibles Intégration possible de modèles et de normes différentes (42-013, MOREQ2, OAIS, etc.) synthétisés dans le SOA Convient à des structures différentes (tiers archiveurs ou structure interne à une entreprise) Introduction d'une métrique d'évaluation 21 Janvier 2010 Groupe PIN 11

Le travail de FedISA Création d'un groupe de travail regroupant experts en sécurité informatique et archivage, grands utilisateurs, opérateurs d'archivage, records managers... Simulation d'un audit ISO 27001 adapté à l'archivage : Imaginer un archiveur type Analyse EBIOS de ses risques Conception du SOA de cet archiveur 21 Janvier 2010 Groupe PIN 12

Le résultat Un business plan réduit d'un tiers archiveur La définition des biens et services à protéger L'analyse DICT (Disponibilité, Intégrité, Confidentialité et Traçabilité) Des scénarios type d'attaques Un SOA pour ce tiers archiveur Un document d'aide à l'utilisation de la norme ISO 27002 dans le contexte de l'archivage numérique 21 Janvier 2010 Groupe PIN 13

Des Questions? 21 Janvier 2010 Groupe PIN 14

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back