Ci07 Iso27 PDF

Confrence "SMSI et normes 27001"
Confrence "SMSI et normes 27001"

21 novembre 2007 21 novembre 2007
SMSI et normes ISO 27001
SMSI et normes ISO 27001
introduction et perspectives
introduction et perspectives
Herv Schauer Herv Schauer
Eric o!en Eric o!en
Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite
2 2 / 30 / 30
Sommaire
Sommaire
Cahiers Oxford (publicit)
Roue de Deming
!O 2"00#
$nsemble des normes !O 2"00#
!O 2"000% !O 2"002% !O 2"003% !O 2"00&
!O 2"00' ( gestion du ris)ue !!
Club 2"00#
*rogramme
"es transparents seront
disponib#es sur
www.club-27001.fr
3 3 / 30 / 30
Cahier O$ford
Cahier O$ford (publi-reportage) (publi-reportage)
Cahiers
Oxford
$tudiant en
+ente lors de
cha)ue
rentre
,la spirale de
l-excellence.
Reproduit avec
l'aimable
autorisation du
roupe Hamelin
#/2
& & / 30 / 30
Cahier O$ford
Cahier O$ford
Rappel aux l/+es de ce )u-est un s0st/me de management
*our tra+ailler intelligemment
Reproduit
avec
l'autorisation
du roupe
Hamelin
2/2
' ' / 30 / 30
%oue de emin&
%oue de emin&
1illiam $d2ards Deming
!cientifi)ue amricain
n+enteur des principes de
la 'ua#it
Reconstructeur du 3apon
par l-application de ces
principes 4 partir de #5'0
1alter 6ndre2 !he2hart
!tatisticien amricain
n+enteur de la roue de
Deming
7ue Deming appellait
roue de !he2hart et )u-il
lui a emprunt en 1(22
Organisation
!0st/me de 8anagement
6ction 6ction
!o
*lanification *lanification
"lan
9rification 9rification
Chec#
Correction Correction
$ct
#/2
: : / 30 / 30
%oue de emin&
%oue de emin&
*rincipes de la 'ua#it
!0st/mes de management (
de la 'ua#it (!87) ( !O 500#(2002
environnementa# (!8$) ( !O #&00#(200&
de la sant et la scurit au travai# (!8!!;) ( O<!6! #=00#(#555
de la scurit de #)information (!8!) ( ISO*IEC 27001+200,
de la scurit a#imentaire (!8!6) ( !O 22000(200'
des services informati'ues des organismes ( !O 20000(200'
ssu d-;>
de la suret pour la cha-ne d)approvisionnement ( !O 2=000(200'
???
2/2
" " / 30 / 30
ISO 27001
ISO 27001
@orme
' chapitres )ui
construisent le
SMSI
6nnexe 6 (
mesures de
scurit
.+ SMSI
/C0
.1212 + Mise en
oeuvre et
fonctionnement
du SMSI
.121. + Mise
2 3our et
am#ioration
du SMSI
.1214 +
Survei##ance et
re$amen du
SMSI
.1211 +
Etab#issement
du SMSI
5 + 0udits
internes du
SMSI
, + %esponsabi#it
de #a direction
7 + %e$amen
du SMSI par #a
direction
6 + 0m#ioration
du SMSI
"lan
$ct
Chec#
!o
.14 + ocumentation
#/3
= = / 30 / 30
ISO 27001
ISO 27001
6pplication de la 'ua#it pour la scurit de #)information
S!st7me de Mana&ement de #a Scurit de #)Information
8SMSI9
Rfrentiel prcis et auditable
6pporte la confiance
Confiance business
2/3
5 5 / 30 / 30
Organisation
ISO 27001
ISO 27001

6ction 6ction
!o
*lanification *lanification
"lan
9rification 9rification
Chec#
Correction Correction
$ct
*artenaires
Aournisseurs
Clients
*ou+oirs
publics
!er+ices
!0st/me de 8anagement de la
!curit de l-nformation
6ttentes et
exigences
en terme de
scurit
*artenaires
Aournisseurs
Clients
*ou+oirs
publics
!er+ices
!curit
effecti+e
fournie
3/3
#0 #0 / 30 / 30
/our'uoi #)ISO 27001 pour #a SSI :
6mlioration continue
Bestion du temps
Ce )ui n-a cess de man)uer 4 la !! depuis son existence
Cni+ersalit
*as de concurrence
6pplicable 4 tous les mtiers% 4 tous les secteurs d-acti+it
6pplicable 4 toutes les tailles d-entreprises ou de prim/tres
Compltude
8thodologie d-apprciation des ris)ues
8thodologie de construction d-indicateurs
???
#/3
## ## / 30 / 30
Construit un processus
*rocessus d-amlioration continue
pas un niveau de scurit
Donc accessible 4 tous
6pplication de mesures de scurit pertinentes
*our rduire de +rais ris)ues
!ur de +rais actifs
6+ec une +raie +aleur
8Dme si +ous faites une rtro anal0se au dpart
*as des cases 4 cocher bDtement sans sa+oir pour)uoi
2/3
#2 #2 / 30 / 30
Dialogue et communication
Comprhensible par la direction gnrale
Aacilite l-implication des mtiers
*ermet 4 la !! d-entrer dans la gou+ernance comme le reste
>ien a+ec les processus !O 2000E# (;>) pour la production
informati)ue
8eilleure lisibilit de la !! et du rFle du R!!
Comprhentions mutuelles
3/3
#3 #3 / 30 / 30
Srie des normes ISO 27001
Srie des normes ISO 27001
ISO 27001 ISO 27001
SMSI SMSI
ISO 27001 ISO 27001
ISO 27002 8177((9 ISO 27002 8177((9
Mesures de scurit Mesures de scurit
ISO 27000 ISO 27000
;ocabu#aire ;ocabu#aire
ISO 27005 ISO 27005
Certification de SMSI Certification de SMSI
ISO 2700, ISO 2700,
<estion de ris'ue <estion de ris'ue
ISO 2700. ISO 2700.
Mtra&e = mtri'ues Mtra&e = mtri'ues
ISO 27004 ISO 27004
Imp#mentation Imp#mentation
200% 2007
200% 200&
<uides
usage facultatif
E$i&ences
usage obligatoire
dans la certification
200&
ISO 27007 ISO 27007
0udit de SMSI 0udit de SMSI
200'
200'
20(0
#& #& / 30 / 30
ISO 27001 par rapport 2 ISO 27002
ISO 27001 par rapport 2 ISO 27002
ISO 27002 ISO 27002
(anciennement !O #""55) (anciennement !O #""55)
ISO 27001 ISO 27001
escription
dtai##e
des
mesures de
scurit
0rtic#es
ou Clauses
Mesures de scurit
Controls
(6nnexe 6)
$;
#' #' / 30 / 30
ISO 27000 et ISO 27004
ISO 27000 et ISO 27004
!O2"000 ( *rincipes et +ocabulaire
ssu en partie des parties # et 2 de l-!O#333' (anciennement 8C;! partie #)
!O2"003 ( Buide d-implmentation d-un !8!
Document de tra+ail du groupe de normalisation
*rati)ue et dtaill
DG4 utilisable en l-tat% surtout pour la phase plan
#: #: / 30 / 30
ISO 2700.
ISO 2700.
8esurage du 8anagement de la !curit de l-nformation
Security control mesure de scurit donc pour +iter les confusions (
)easurement mesurage
Buide de mise en place du mesurage du !8!
$tat ( CD% publication pr+ue en 200=% dG4 utilisable et tr/s utile
ObGectif ( mesurer l-efficacit du !8! et des mesures de scurit
*rogramme de mesurage et processus de mesurage
RFles et responsabilits
8thodologie de choix des indicateurs
*roduction et exploitation des indicateurs
6nal0se et restitution des indicateurs
6mlioration du processus de mesurage
$xemples d-indicateurs
#/2
#" #" / 30 / 30
ISO 2700.
ISO 2700.
8esure Entrevues archives > /rocessus de revue
Rfrence
Clause ou 8esure de scurit "?# b% "?2 i%
;0pe Conformit
8esure de base / dri+e Hase
ObGectif Dterminer le ni+eau d-implication des managers dans le !8!
Aormule de calcul
9aleur Rapport
Domaine de dfinition $ntre 0 et #
*rocdure de production *E$DI!E92
*ersonnes concernes *ropritaire !8! manager
Client
Collection 7ualit0 manager
Communication !8! 8anagemeJnt committee
R+ision !8! manager
C0cle de +ie Ar)uence ;ous les trimestres
Date Cf calendrier des indicateurs
*rocdure d-enregistrement *E$DI!E92
*riodicit du rapport ;rimestriellement
Dure de +alidit de la mesure
*riode d-anal0se Du #er Gan+ier au 3# Dcembre de l-anne courrante
ObGet concern
Crit/res de dcision
ndicateur $ffets / mpact
Causes d-cart
9aleurs positi+es Des +aleurs en augmentatin indi)uent des +aleurs positi+es
Aormat de rapport Harres
Remar)ues
K L ( 6 / H )
6 L !omme des ente+ues programmes a0ant t tenues en temps et en heure
H L !ommes de entrebues programmes
!8! management committe
!8! manager
7ualit0 !0stem 8anager
0 M K M 0%"5 ( @on satisfaisant
0%=0 M K M # ( !atisfaisant
!i% 4 la fin de second semestre K M 0%=0% alors une action correcti+e ris)ue d-Dtre ncessaire et
communi)ue au management du !8!?
!i% 4 la fin de l-anne K est on satisfaisant% la direction gnrale doit en Dtre informe et on doit lui
demander son soutien
@onEconformit du !8!?
*as de garantie )ue le processus de re+ue du !8! fonctionne bien
HudGet insuffisant
*lanification incorrecte
8an)ue d-engagement du personnel concern
2/2
#= #= / 30 / 30
ISO 2700,
ISO 2700,
Buide de mise en oeu+re de la partie apprciation des ris)ues
de la scurit de l-information de l-!O 2"00#
!O 2"00# &?2?# c) 4 &?2?# f) &)% plus &?2?3?d)
soit # page N 3 ou & lignes
$tat ( ACD% publication pr+ue
dbut 200=
!O 2"00'
:& pages
2= pages normati+es% chap # 4 #2
3: pages d-annexes 6 4 $
ISO 27001 .1211 c9 ISO 27001 .1211 c9 .1211 f9 .1211 f9
ISO 2700, ISO 2700,
#/#0
#5 #5 / 30 / 30
ISO 2700,
ISO 2700,
CR688
ISO 2700, !O ;R #333'E2
H!""55E3
*D 3002
*D 300'
CC*$ Ris# $ssessment
and )anagement )ethod
uide to +S77''
Ris# $ssessment
uidelines ,or in,ormation
security Ris# $ssessment
!O ;R #333'E3
!O ;R #333'E&
*echni-ues ,or the
management I* security
Selection o, sa,eguards
)anaging and
planning I* security
(''& et 2000
200&
In,ormation
security
ris#
management
200.
(''2 ///(''7
(''& puis 2002
('&%//('&&//(''(//(''.
!O #333'E#
$t d-autres influences di+erses
(''%//('''//2000
6!/@O! &3:0
$xpression des Hesoins et
dentification des ObGectifs de !curit
(''7 puis 2000
$HO!
Ris# )anagement
20 20 / 30 / 30
ISO 2700,
ISO 2700,
@orme consensus entre les acteurs du march
!O 2"00'
@e peut Dtre plus complet )ue toutes les mthodes )ui l-ont prcd
Reprsente le no0au commun accept par tous
*eut Dtre complt en allant rechercher ailleurs
8thodes d-apprciation des ris)ues existantes pourront
Continuer 4 +oluer et inno+er
Contribuer 4 l-amlioration de la norme !O 2"00'
Complter la norme
!e )ualifier de Pconformes 4 la norme !O 2"00'P
2# 2# / 30 / 30
ISO 2700,
ISO 2700,
!O 2"00' L 8thodologie compl/te
!tructure sa dmarche
6utonome
Correspond strictement au respect de l-!O 2"00#
@cessaire pour la mise en place d-un !8!
@cessaire pour une certification
$ntrera dans la gestion de ris)ue en gnral
@ormalisation !O 3#000 de tous les t0pes de ris)ues ( financiers%
industriels% routiers% sant% ???
9ocabulaire
Comprhensible et plutFt proche du langage courant
22 22 / 30 / 30
0na#!se de ris'ue*0pprciation du ris'ue
0na#!se de ris'ue*0pprciation du ris'ue
Choix de traduction dans l-!O 2"00#
Ris# $nalysis 6nal0se du ris)ue
Ris# 1stimation
(3?&)
$stimation du ris)ue
Ris# 1valuation
(3?')
$+aluation du ris)ue
Ris# $ssessment
(!2"00# 3?#2)
6pprciation du ris)ue
>angage courant
6nal0se de ris)ue Ris# $ssessment
Csage impossib#e 4 garder sans confusions
*as d-autre traduction possible )ue Ris# $nalysis 6nal0se du ris)ue
Confusion a+ec Ris# $ssessment
Donc ( Risk Assessment 0pprciation du ris'ue
*rocessus dans son ensemble
23 23 / 30 / 30
ISO 2700,
ISO 2700,
Dfinition d-un processus
Continu et )ui s-amliore% donc *DC6
*rincipe de la reproduction du *DC6 gnral du !8! 4 cha)ue
processus dans le !8!
*rocessus de &estion de ris'ue de #a scurit de
#)information
(in,ormation security ris# management process)
*rocessus applicable 4 tous le !8! ou 4 un sousEensemble
nclus une tape pour prendre en compte les coQts et mettre la
direction de+ant ses responsabilits
'/#0
2& 2& / 30 / 30
ISO 2700,
ISO 2700,
!ur+eiller et rexaminer
les rsultats% l-efficacit et
l-efficience du processus
dentifier les ris)ues
7uantifier cha)ue ris)ue par rapport
aux cons)uences )ue sa matrialisation

pourrait a+oir sur le business
4 sa probabilit d-occurrence (li#elihood)
dentifier les actions appropries pour rduire

les ris)ues identifis 4 un ni+eau acceptable
mplmenter les actions

pour rduire les ris)ues
$du)uer la direction et le
personnel sur les ris)ues et les
actions prises pour les attnuer
Rectifier le traintement du ris)ue 4

la lumi/re des +/nements et des
changements de circonstances
6mliorer le processus de
gestion du ris)ue
"lan
!o
$ct
Chec#
:/#0
2' 2' / 30 / 30
ISO 2700,
ISO 2700,
6pproche itrati+e
6mliore la finesse de l-anal0se 4
cha)ue itration
Barantie une apprciation des
ris)ues le+s
8inimise le temps et l-effort
consenti dans l-identification des
mesures de scurit
6pprciation des ris)ues
satisfaisante R
Ris)ues acceptables R
(ris# assessment)
;raitement du ris)ue
(ris# treatment)
oui
non
non
6pprciation
satisfaisante R
Ris)ues rsiduels
4 un ni+eau
acceptable R
*rocessus de gestion de ris)ues dcompos en
deux acti+its s)uentielles et itratives
2: 2: / 30 / 30
nS #
6sseJ d-lments pour
dterminer les actions
ncessaires 4 la
rduction des ris)ues 4
un ni+eau acceptable R
nS 2
Ris)ue acceptable R
Communication 4 la
hirarchie et aux )uipes
oprationnelles 4 cha)ue
tape
Ris)ue identifi utile
immdiatement 4 la
gestion des incidents
oui
non
6pprciation
satisfaisante R
dentification du ris)ue
$stimation du ris)ue
6nal0se de ris)ue
Ris)ue
acceptable R
6pprciation
satisfaisante R
;raitement du ris)ue
6cceptation du ris)ue
oui
$tablissement du contexte
C
o
m
m
u
n
i
c
a
t
i
o
n

d
u

r
i
s
)
u
e
!
u
r
+
e
i
l
l
a
n
c
e

e
t

r
e
x
a
m
e
n

d
u

r
i
s
)
u
e
ISO 2700,
ISO 2700,
$+aluation du ris)ue
2" 2" / 30 / 30
ISO 27005
ISO 27005
$xigences pour l-accrditation des organismes de certification
des !8!
!-appuie sur la norme !O #"02# (et remplace $6 "/03)
7uel)ues exigences pour les audits de certification !O 2"00#
*roduction par l-apprciation des ris)ues de rsultats comparables et
reproductibles
(5?2?3?2?2 a)
6nal0se de la scurit par rapport aux menaces pertinente
(5?2?3?3?a)
*rocdures d-identification% d-examen et d-+aluation reliant les menaces
aux actifs% +ulnrabilits et impacts cohrentes a+ec la politi)ue% les
obGectifs et les cibles de scurit
(5?2?3?3?b)
9rifications concr/tes pour les mesures de scurit techni)ues
Calcul du nombre de Gours d-audit adapds aux !8!
!8! doit a+oir +cu au minimum pour etre certifi (
(5?2?')
# audit interne complet du !8!
# re+ue de direction
2= 2= / 30 / 30
C#ub 27001
C#ub 27001
Reflexions et changes autour des normes
Ou+ert 4 tous
;rois groupes (
*aris
;oulouse
8utualisation ;>/!O20000E# et !O 2"00#
25 25 / 30 / 30
/ro&ramme matin
/ro&ramme matin
5h00 ( !8! et normes !O 2"00#% introduction et perspecti+es par
les membres du Club 2"00#
5<&' ( Retour d-exprience d-un certifi
? Odile Houch0% responsable scurit% Bemalto
? Christine >au+ernier% chef de proGet scurit% Bemalto
#0h30 ( *ause
##h00 ( Retour d-exprience sur la mise en oeu+re d-un !8!
? >uc *etitpr% R!!% Crdit 8utuel @ord $urope
##h&' ( >-approche !O 2"00# au sein du Bie !0stalians de Runica
Ha0ard?
? $mmanuel Barnier% R!!% !0stalians (RunicaEHa0ard)
#2h30 ( Repas

30 30 / 30 / 30
/ro&ramme apr7s>midi
/ro&ramme apr7s>midi
#&h00 ( 8ise en place d-une mthode d-apprciation des ris)ues ! 4
partir des normes !O 2"00# et 2"002 et des mthodes
$HO! et 8hari
? Rene Ihanh% Responsables 8thodes 4 la D!% 6R$96
#&h&' ( !O 2"00# ( conformit oui% certification R
? $ric 1iatro2Tsi% OrangeEA;
#'h30 ( *ause
#:h00 ( Retour d-exprience d-audit !O 20000E# et !O 2"00# cheJ
H8 nfogrance
? Berard Brelou% responsable )ualit% H8
? 8uriel Collignon% consultant scurit% H8
#:h&' ( ;ableEronde P6pport de l-!O2"00# 4 la dmarche !! en
entrepriseP% anime par 6lexandre AernandeJ% a+ec
Aabrice Hru% $ric Do0en% 3eanEAranUois >ouapre
>aJaro *eGsacho2icJ et les inter+enants de la Gourne
#"h30 ( Ain

Ci07 Iso27 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ci07 Iso27 PDF

Uploaded by

Copyright:

Available Formats

Confrence "SMSI et normes 27001"

Confrence "SMSI et normes 27001"

dentifier les ris)ues

7uantifier cha)ue ris)ue par rapport

aux cons)uences )ue sa matrialisation

4 sa probabilit d-occurrence (li#elihood)

dentifier les actions appropries pour rduire

mplmenter les actions

Rectifier le traintement du ris)ue 4

You might also like