ISO 27001 | Système de Management de la Sécurité de l'Information

  • Posted on: 7 December 2016
  • By: Akram DAKHCH

1- Introduction:

La norme ISO/CEI 27 001 porte sur le management de la sécurité et de l’information:

  • Elle spécifie les exigences relatives à la mise en œuvre, le maintien en condition opérationelle, la mise à jour et l’amélioration continue (processus PDCA ; Plan Do Check Act) d’un SMSI ; Système de Management de la Sécurité de l’Information.
  • Elle définit également une gestion globale et le cadre de contrôle afin de traiter les risques liés à la sécurité de l’information

Du coup, elle est considéré comme facteur de confiance auprès des parties prenantes.

 

2/ Famille ISO 27 0xx:

Les normes ISO 27 0xx Descriptions/Objectifs
27 001 Définit les 114 exigences génériques de la norme.
27 002 et 27 003 Les bonnes pratiques des 114 exigences génériques d’ISO 27001.
27 004 L’élaboration et l’utilisation des mesures (KPI) afin d’évaluer l’éfficacité d’un SMSI.
27 005 La gestion des risques.
27 006 Exigences pour les organismes procédant à l'audit et à la certification ISO 27001.
27 007 Lié aux audits (basé sur l’ISO 19 011), c’est pour remonter les non-conformités et contrôler le développement du SMSI.
27 008 Pour contrôler, avec le temps, l’effcacité des mesures de sécurité.
27 017 Introduit la notion du Cloud.
27 035 Pour la gestion des incidents et des vulnérabilités.
27 037 pour la gestion des preuves (évidences) numériques.

 

3- ISO 27 001:

Parmi les 114 exigences génériques, celles spécifiées aux Articles allant de 4 à 10 sont requises pour la certification:

Articles Objectifs Mots-clés
4: Contexte Analyser le contexte de l’organisation afin d’en définir le domaine d’application du SMSI  
5: Leadership Avoir l’engagement de la direction en s’alignant avec les orientations stratégiques  
6: Planification Définir les objectifs ainsi que les processus pour la gestion des traitements des risques. DDA: Déclaration D’Application;
Ebios Risk Manager.
7: Support Définir : les ressources, les compétences, la sensibilité, la communication et l'information documentées.  
8: Fonctionnement (Run) Définir les processus à satisfaire aux exigences et les plans pour les atteindre avec agilité.  
9: Evaluation des perfomances Définir les KPI du SMSI. Audits internes;
Révues de direction;
10: Amélioration Réagir à une non-conformité et vérifier l’efficacité des actions entreprises. Agilité.

Comments

Akram DAKHCH's picture

Pour plus d'informations, merci de voir un tutoriel pour la norme ISO/CEI 27001.