ISO 27001 | Système de Management de la Sécurité de l'Information
1- Introduction:
La norme ISO/CEI 27 001 porte sur le management de la sécurité et de l’information:
- Elle spécifie les exigences relatives à la mise en œuvre, le maintien en condition opérationelle, la mise à jour et l’amélioration continue (processus PDCA ; Plan Do Check Act) d’un SMSI ; Système de Management de la Sécurité de l’Information.
- Elle définit également une gestion globale et le cadre de contrôle afin de traiter les risques liés à la sécurité de l’information
Du coup, elle est considéré comme facteur de confiance auprès des parties prenantes.
2/ Famille ISO 27 0xx:
| Les normes ISO 27 0xx | Descriptions/Objectifs |
| 27 001 | Définit les 114 exigences génériques de la norme. |
| 27 002 et 27 003 | Les bonnes pratiques des 114 exigences génériques d’ISO 27001. |
| 27 004 | L’élaboration et l’utilisation des mesures (KPI) afin d’évaluer l’éfficacité d’un SMSI. |
| 27 005 | La gestion des risques. |
| 27 006 | Exigences pour les organismes procédant à l'audit et à la certification ISO 27001. |
| 27 007 | Lié aux audits (basé sur l’ISO 19 011), c’est pour remonter les non-conformités et contrôler le développement du SMSI. |
| 27 008 | Pour contrôler, avec le temps, l’effcacité des mesures de sécurité. |
| 27 017 | Introduit la notion du Cloud. |
| 27 035 | Pour la gestion des incidents et des vulnérabilités. |
| 27 037 | pour la gestion des preuves (évidences) numériques. |
3- ISO 27 001:
Parmi les 114 exigences génériques, celles spécifiées aux Articles allant de 4 à 10 sont requises pour la certification:
| Articles | Objectifs | Mots-clés |
| 4: Contexte | Analyser le contexte de l’organisation afin d’en définir le domaine d’application du SMSI | |
| 5: Leadership | Avoir l’engagement de la direction en s’alignant avec les orientations stratégiques | |
| 6: Planification | Définir les objectifs ainsi que les processus pour la gestion des traitements des risques. | DDA: Déclaration D’Application; Ebios Risk Manager. |
| 7: Support | Définir : les ressources, les compétences, la sensibilité, la communication et l'information documentées. | |
| 8: Fonctionnement (Run) | Définir les processus à satisfaire aux exigences et les plans pour les atteindre avec agilité. | |
| 9: Evaluation des perfomances | Définir les KPI du SMSI. | Audits internes; Révues de direction; |
| 10: Amélioration | Réagir à une non-conformité et vérifier l’efficacité des actions entreprises. | Agilité. |
Comments
Akram DAKHCH
Sat, 03/04/2017 - 10:36
Permalink
Tutoriel pour la norme ISO/CEI 27001
Pour plus d'informations, merci de voir un tutoriel pour la norme ISO/CEI 27001.