Introduction à l'ISO 27001 - Groupe ESIEA
12.07.2015 Views
Share Embed Flag

Introduction à l'ISO 27001 - Groupe ESIEA

Introduction à l'ISO 27001 - Groupe ESIEA

Introduction à l'ISO 27001 - Groupe ESIEA

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
esiea.fr

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

START NOW

SommaireSystème de managementSécurité de l'informationSystème de management de la sécurité de l'information : SMSIEnsemble des normes ISO 27000HistoriqueISO <strong>27001</strong>ISO 27002 (anciennement ISO 17799)ISO <strong>27001</strong> par rapport à ISO 27002Usages des normes2 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Système de managementDéfinition formelle de l’ISO 9000C’est un système permettant :D’établir une politiqueD’établir des objectifsD’atteindre ces objectifs1/6SituationactuellePolitiqueObjectifs3 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Système de managementDéfinition plus empiriqueEnsemble de mesuresOrganisationnellesTechniquesPermettantD’atteindre un objectifUne fois atteint, d’y rester dans la durée2/6SituationactuellePolitiqueMesurestechniquesMesuresorganisationnellesObjectifs4 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Système de managementOrganisation3/6Parties prenantesSystème de ManagementExigences SatisfactionActionDoPlanificationPlanCorrectionActParties prenantesVérificationCheck5 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Système de management4/6Propriétés des systèmes de managementCouvrent un large spectre de métiers et de compétencesConcernent tout le mondeDe la direction généraleJusqu’en bas de l’échelleSe basent sur des référentiels précisImportance du document écritSont auditablesQuelqu’un peut venir vérifier qu’il n’y a pas d’écart entre le système demanagement et les référentiels6 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Système de management5/6Conséquences de travailler sur un système de managementTravail transversalTout le monde est concernéDe la direction généraleA l’accueilImportance de l’écritPassage de la tradition orale à la tradition écriteDans certains cas un effort culturel importantPeuvent être auditésLes processus seront constamment évalués7 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Système de management6/6Apports d’un système de managementOblige à adopter de bonnes pratiquesAugmente donc la fiabilité de l’organisme dans la duréeDe façon pérenneComme un système de management est auditableIl apporte la confiance aux parties prenantesQui dit confiance dit business8 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Sécurité de l'informationSécurité de l’information (information security)Confidentialité (confidentiality)Intégrité (integrity)Disponibilité (availability)(IS <strong>27001</strong> 3.4)Authenticité (authenticity) = authentification + intégritéImputabilité, auditabilité, traçabilité (accountability)Non répudiation (non-repudiation)Etc.9 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

SMSISMSI(IS <strong>27001</strong> 3.7)SGSISystème de Management de la Sécurité de l’InformationSystème de Gestion de la Sécurité de l’InformationSGSSIISMSSystème de Gestion de la Sécurité des Systèmes d'Information(IS <strong>27001</strong> 3.7)Information Security Management System10 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Ensemble des normes ISO 27000Exigencesusage obligatoiredans la certificationISO <strong>27001</strong>SMSI2005 2006ISO 27006Audit de SMSIISO 27000VocabulaireISO 27002 (17799)ISO <strong>27001</strong>Mesures de sécuritéGuides2005 usage facultatif2007ISO 27007Mesures PCAISO 27003ImplémentationISO 27005Analyse de risque2007 ou 2008ISO 27004Métrage & métriques11 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Historique1/21995 BS7799Dix mesures clé100 mesures détaillées, potentiellement applicables1998 Ajout d’une partie 2Notion de SMSIObjectif : Créer un schéma de certification2000 ISO 17799: 2000Correspond à la BS7799-1Pas de notion de SMSIPas de certification possible2002 BS7799-2: 2002Seconde version de la BS 7799-212 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

HistoriqueJuin 2005 ISO 17799:2005Nouvelle version de l’ISO 17799: 2000Octobre 2005 ISO <strong>27001</strong>:2005Adoption par l’ISO de la BS 7799-2:2002 avec des améliorationsNotion de SMSIPossibilité de certificationFin 2006 / début 2007ISO 27006 : audit de certificationAvril 2007 : ISO 27002ISO 17799:2005 est renommée ISO 27002Rentre dans la terminologie de la série ISO 27000 sans changement2/213 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO <strong>27001</strong>4 chapitresintroductifs : 0 à 31/95 articles àrespecter : 4 à 8Annexe AMesures desécurité décritesdans ISO 270025: Engagement etresponsabilité dela direction6: Auditsinternes du SMSI4: SMSI PDCA8: Améliorationdu SMSI7: Réexamendu SMSI parla direction14 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO <strong>27001</strong>2/9Tout types d'organismes visés (IS <strong>27001</strong> 1.1) :Sociétés commercialesAgences gouvernementalesAssociations, ONGIndications de la norme génériques (1.2) :Applicables à tout type d’organisation indépendamment duTypeTailleNature de l'activité15 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO <strong>27001</strong>3/9Objectif général de la norme (1.1) :Spécifier les exigences pourMettre en placeExploiterAméliorerUn SMSI documentéSpécifier les exigences pour la mise en place de mesures desécuritéAdaptées aux besoins de l’organisationAdéquatesProportionnées16 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Attentes etexigencesen terme desécuritéPartenairesFournisseursISO <strong>27001</strong>Modèle PDCA : Plan-Do-Check-ActPlanificationPlan5/9SécuritéeffectivefourniePartenairesFournisseursClientsPouvoirspublicsActionDoCorrectionActClientsPouvoirspublicsServicesVérificationCheckServices18 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO <strong>27001</strong>6/9Phase PLANPérimètre du SMSI (4.2.1.a)Politique de sécurité et/ou politique du SMSI (4.2.1.b)Identification et évaluation des risques (4.2.1.c)Plan de gestion des risquesMéthodologie ou méthode choisie pour analyser les risques(4.2.1.d) (4.2.1.e)Traitement du risque (4.2.1.f)Réduction du risque à un niveau acceptableAcceptation des risquesTransfertRefus ou évitement des risquesObjectifs de sécurité et mesures de sécurité (4.2.1.g) Déclaration d'applicabilité : DDA (Statement of applicability ou SoA)(4.2.1.j)19 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO <strong>27001</strong>7/9Phase DOAllocation et gestion de ressources(4.2.2.a) (4.2.2.b) (4.2.2.g)Personnes, temps, argentRédaction de la documentation et des procéduresFormation du personnel concerné (4.2.2.e)Gestion du risque(4.2.2.a) (4.2.2.b)Pour les risques à réduire :Implémenter les mesures de sécurité identifiées dans la phaseprécédente (4.2.2.c)Assignation des responsabilités (4.2.2.b)Identifier des risques résiduelsPour les risques transférés : assurance, sous-traitance, etcPour les risques acceptés et refusés : rien à faire20 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO <strong>27001</strong>8/9Phase CHECKVérification de routine (4.2.3.b)Apprendre des autres (4.2.3.b)Audit du SMSI (4.2.3.e)Audits réguliersSur la base deDocumentsTraces ou enregistrementsTests techniquesConduit àConstatation que les mesures de sécurité ne réduisent pas de façoneffective les risques pour lesquels elles ont été mises en placeIdentification de nouveaux risques non traitésTout autre type d'inadaptation de ce qui est mis en place21 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO <strong>27001</strong>9/9Phase ACTPrendre les mesures résultant des constatations faites lors de la phasede vérificationActions possiblesPassage à la phase de planificationSi de nouveaux risques ont été identifiésPassage à la phase d'actionSi la phase de vérification en montre le besoinSi constatation de non conformitéActions correctives ou préventives22 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO 270021/711 chapitres39 objectifs de sécurité(control objectives)5: Politiquedu SMSI133 mesures desécurité (securitycontrols)12: Maintenance etdéveloppement6: Sécuritéorganisationelle7: Classification etcontrôle des actifs14: Gestion dela continuité13: Gestion desincidents15 Conformité8: Sécurité du personnel9: Sécurité physique etenvironnementale10: Gestion descommunicationset de l’exploitation11: Contrôled'accès23 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO 27002Recommandations ou exigences en sécuritéReprennent les recommandations classiques des experts ensécuritéCertaines mesures de sécurité sont très générales, d'autres trèsprécisesCertaines mesures sont applicables à tout l'organisme, d'autres à unserveur ou une application particulièreDonnent des recommandations parfois très larges pouvant inclured'autres mesures de sécurité3/7Sélectionnées pour réduire un risque à un niveau acceptable àl'issue d'une analyse de risque25 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO 27002Définition de la mesure desécurité pour satisfairel'objectif de sécuritéDétails afin d'aider àl'implémentation de la mesurede sécuritéPas toujours applicablesExplications complémentairessur le guide d'implémentationAspects complémentairesAutres facteurs à prendre encompteMesure de sécuritéGuide d'implémentationAutres informations4/726 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO 27002Pas de classement des mesures de sécurité dans ISO 27002Mesures de sécurité classées dans ISO 27006 (A.4)OrganisationnellesOrganisationnelles et techniquesTechniquesAudit différent5/727 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO 27002Mesures de sécurité organisationnelles plutôt dans :5 : politique de sécurité6 : organisation de la sécurité7 : gestion des actifs8 : ressources humaines9 : sécurité physique13 : gestion des incidents14 : gestion de la continuité d'activité15 : conformitéAuditées par :(IS 27006 A 4.2)Revue de la documentation des processus, interviews, observation etinspection physique6/728 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO 270027/7Mesures de sécurité techniques ou en partie techniques plutôtdans les chapitres :10 : gestion de l'exploitation11 : contrôle d'accès12 : acquisition, développement et maintenance du systèmed'informationAuditées par :(IS 27006 A 4.2)Idem que les procédures organisationnellesVérification par des tests réels sur les systèmes :PossiblesConseillésObligatoires} mesures de sécurité à étudier plus particulièrement29 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO <strong>27001</strong> par rapport à ISO 270021/3ISO <strong>27001</strong>ISO 27002(anciennement ISO 17799)Articlesou ClausesETMesures de sécuritéControls(Annexe A)Descriptiondétailléedesmesures desécurité30 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO <strong>27001</strong> par rapport à ISO 270022/3ISO <strong>27001</strong>Traite des systèmes demanagementVolumétrieNombre total de pages33ArticlesAnnexes 10 pages 23 pagesISO 27002 (ISO 17799)Ne traite pas des systèmes demanagementVolumétrieNombre total de pages115Notes préliminaires 6 pagesListe des mesures de sécurité109 pages31 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

ISO <strong>27001</strong> par rapport à ISO 270023/3ISO <strong>27001</strong>Traite des systèmes demanagementModèle PDCAUsage du verbeSHALLCertification possibleApplication de tous lesarticles 4, 5, 6, 7 et 8obligatoire (1.2)ISO 27002 (ISO 17799)Ne traite pas des systèmes demanagementPas de modèle PDCAUsage du verbeSHOULDAucune obligation d’applicationPas de certification32 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Pour les auditsUtilisation des normesISO 27002 (ISO 17799)Les conclusions font référence à la normeEspéranto de la sécurité1/3Pour les tableaux de bordISO 27002 (ISO 17799)Approche pragmatique33 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Utilisations des normesPour adopter les bonnes pratiquesISO <strong>27001</strong> + ISO 27002Constat objectif que vous adoptez les bonnes pratiques en matière deSSIPermet d'évoluer, le moment venu, vers une certificationRisque : non-conformité avec la normePour donner une image de sérieux aux partenairesISO <strong>27001</strong>Constat, extérieur et objectif que vous adoptez les bonnes pratiques enmatière de SSIPermet d'évoluer, le moment venu, vers une certification2/334 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

Pour être certifiéISO <strong>27001</strong>Utilisation des normesConstat impartial, objectif et officiel que "vous adoptez les bonnespratique en matière de SSI"Engagement dans la durée3/3Questions ?Herve.Schauer@hsc.frwww.hsc.fr35 / 35Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite

logo

Produits

Ressources

Entreprises

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!