ISO 27001
- 1. CELLIER PHILIPPE Promotion ESD6 2016-2017
- 2. Présentation
- 3. Sommaire Qu’est-ce que l’ISO ? Qu’est-ce qu’une norme ? Délégations Ne pas confondre avec réglementation
- 4. Présentation Acronyme de Organisation Internationale de Normalisation Organisation internationale non gouvernementale, indépendante, dont le siège se situe à Genève en Suisse. Créée en 1947. Disponible dans 161 pays membres, chacun comportant un organisme national de normalisation. Elle produit des normes internationales dans les domaines industriels et commerciaux. L'ISO a publié plus de 22064 normes. Qu’est-ce que l’ISO ?
- 5. Présentation Document qui fournit des exigences, des spécifications, des directives ou caractéristiques. Les normes garantissent que les produits et services sont sûrs, fiables et de bonne qualité. Elles sont des outils stratégiques qui diminuent les coûts en réduisant les déchets et erreurs. Qu’est-ce qu’une norme ? La réglementation relève des pouvoirs publics. Elle est l’expression d’une loi, d’un règlement et son application est imposée. GDPR / RGPD Les normes revêtent un caractère volontaire. S’y conformer n’est pas une obligation. Elles traduisent l’engagement des entreprises à satisfaire un niveau de qualité et sécurité reconnu et approuvé. Ne pas confondre avec réglementation
- 7. Découverte de la norme
- 8. Sommaire Informations Objectifs de la norme Qu’est-ce qu’un SMSI ? Vue d’ensemble des normes ISO 27000 Qui se conforme ? Pourquoi se conformer / Certifier ? Une fois certifié Cas de demande de conformité
- 9. Découverte de la norme Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information – Exigences Norme internationale qui succède à la norme BS 7799-2 de BSI (British Standards Institution) Publiée en 2005 et révisée en 2013. Fait partie de la suite ISO 27000 - Systèmes de gestion de sécurité de l'information. Permet de certifier des organisations. Informations
- 10. Découverte de la norme Elle définit les exigences de conformité pour la mise en place, la mise en œuvre, le maintien, l’amélioration continue d’un Système de Management de la Sécurité de l‘Information (SMSI). Objectifs de la norme Le SMSI est conçu pour aider à gérer les risques liés à l’IT et à protéger la confidentialité, l’intégrité et la disponibilité de l’information. Qu’est-ce qu’un SMSI ?
- 11. Découverte de la norme Vue d’ensemble des normes ISO 27000 ISO 27001 SMSI ISO 27006 Audit de SMSI ISO 27000 Vocabulaire ISO 27002 Mesures ISO 27005 Analyse de risques ISO 27004 Métrique Exigences Guides Secteurs ISO 270034 Sécurité des applications
- 12. Découverte de la norme Qui se conformer ? Toutes les organisations de tout secteurs et de toutes tailles qui tiennent à la confidentialité de leurs informations. Il n’est pas obligatoire de certifier une entité complète (Site, Direction, Etc …) Mais les activités périmétriques en bénéficieront. Une personne qui est certifiée : ISO 27001 Lead Auditor : certifie que les professionnels possèdent les connaissances et les compétences pour auditer la conformité d’un SMSI. ISO 27001 Lead Implementer : garantis que les candidats possèdent les connaissances et les compétences nécessaires pour mettre en œuvre un SMSI.
- 13. Découverte de la norme Pourquoi se conformer / certifier On se conforme volontairement à la norme. Démontre une assurance aux partenaires, clients, fournisseurs = on s’engage à maintenir un niveau de sécurité de l’information. Se démarquer de la concurrence. Que l’on maîtrise son SI. Renouvellement tous les 3 ans. Avec un audit de renouvellement. Une fois certifié
- 14. Découverte de la norme Cas de demande de conformité L’entreprise intègre un groupe déjà conforme. L’entreprise fait partie d’un groupe qui se met en conformité. L’entreprise fait partie d’un groupe étranger lui imposant la mise en conformité. Demande imposée par un fournisseur/partenaire pour conserver un marché. L’entreprise doit se mettre en conformité avec la norme pour pouvoir répondre à certains appels d’offres. Demande la direction interne.
- 15. Structure de la norme
- 16. Sommaire Informations Objectifs principaux Phases d'établissements Processus de certification
- 17. Structure de la norme Composé de 10 chapitres et une annexe. Annexe : Composée de 114 mesures réparties en 14 sections. ISO 27002 : Qui permet de donner les bonnes pratiques pour l’implémentation du SMSI. Il n'est pas admis qu'une organisation s'affranchisse de l'une des exigences spécifiées aux chapitres 4 à 10 lorsqu'elle revendique la conformité. Informations
- 18. Structure de la norme Politique de sécurité Organisation de la sécurité de l’information Gestion des biens Sécurité liée aux ressources humaines Sécurité physique et environnementale Gestion des communications et de l'exploitation Contrôles d’accès Acquisition, développement et maintenance des systèmes d'information Gestion des incidents liés à la sécurité de l'information Gestion de la continuité d’activité Conformité légale et réglementaire Objectifs principaux
- 19. Structure de la norme Phases d'établissements • Revue périodique • Audit interne • Test d’intrusions • Maintenance et amélioration • Incidents / Problèmes • Sensibilisation • Projets de sécurité • Analyse • Objectifs • Politique de Sécurité • Définie le traitement des risques PLAN DO CHECKACT
- 20. Structure de la norme • Analyse • Objectifs • Politique de Sécurité • Définie le traitement des risques PLAN Cette phase consiste à fixer les objectifs avec 4 grandes étapes : 1. La politique et le périmètre du SMSI. 2. L’appréciation des risques. 3. Le traitement des risques (en tenant compte des risques résiduels). 4. La sélection des mesures de sécurité présentes dans Annexe A.
- 21. Structure de la norme • Incidents / Problèmes • Sensibilisation • Projets de sécurité DO Cette phase consiste à décrire la mise en œuvre des mesures à travers quatre étapes : 1. Un plan de traitement des risques. 2. Déploiement des mesures de sécurité. 3. Formation et sensibilisation des collaborateurs. 4. Choix des indicateurs : Performance : Vérification de l’efficacité des mesures. Conformité : Pour contrôler la conformité du SMSI.
- 22. Structure de la norme • Revue périodique • Audit interne • Test d’intrusions CHECK Cette phase concerne les moyens de contrôle pour assurer l’efficacité du SMSI et sa conformité : 1. Des contrôles internes. 2. Des audits internes. 3. Les revues : qui garantissent périodiquement l’adéquation du SMSI avec son environnement.
- 23. Structure de la norme • Maintenance et amélioration ACT Mise en place d’actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check 1. Actions correctives 2. Actions préventives 3. Actions d’amélioration
- 24. Structure de la norme Processus de certification Audit porte sur l’ensemble du SMSI. La durée est déterminée dans l’annexe C de la norme ISO/CEI 27006. L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de validation technique, puis par un comité de certification. Après cela que la certification est délivrée pour une durée de trois ans. Dans le cas contraire, un audit complémentaire. L’organisme devra, durant ce délai, corriger les problèmes décelés lors de l’audit initial pour obtenir le certificat.
- 25. Conclusion
- 26. Conclusion Vous avez toutes les informations en mains pour pouvoir : Aider à mettre en place un SMSI. Aider une organisation à se préparer ainsi qu’à se certifier. Vous ou votre organisation.
- 27. Questions ?