Approche ISO 27001
Véritable système de management
Mise en œuvre d’une politique sécurité orientée gestion des risques
Fixer des objectifs pertinents
Mobiliser les ressources pour atteindre ces objectifs
A court, moyen ou long terme
Définition de feuilles de route
Le standard 27001 énonce des exigences :
Système de management de la sécurité de l’information
Sécurité
[Link] 1 03-11-20
� Les exigences certifiées de
la norme ISO 27001
En matière de management de la sécurité
Etablir, mettre en place
Opérer
Contrôler
Maintenir
Améliorer
Auditer
En matière de sécurité
Mesures de sécurité
[Link] 2 03-11-20
� Approche ISO 27001
ISO 27001 ISO 27002
Exigences SMSI Clauses
Description
détaillée des
Mesures de mesures de
Exigences SSI sécurité sécurité
[Link] 3 03-11-20
� Approche ISO 27001
Avantages
Un fil conducteur concert
Mise en œuvre dune stratégie
Pilotage sur la base d'indicateurs
Support au RSSI
Une approche processus
Favorisant le décloisonnement
Vision globale du niveau de sécurité
Système auditable et certifiable
Audits internes et tiers
Gages de progrès
[Link] 4 03-11-20
� Principaux Avantages
Modèle de gouvernance maitrisé par les décideurs
Modèle adopté par la qualité et l’environnement
Décideurs rodés à la présentation et à l’exercice
Terrain familier
Arbitrages raisonnés
Gestion du risque
Budgets maitrisés
Responsabilités identifiées
Tableaux de bord – Suivi
Amélioration continue
Moins d'effets tunnel
Mise en place progressive et mesurée
Gestion du risque
[Link] 5 03-11-20
� Principaux Avantages
Une démarche transversale
Mobilisation des équipes
Source de motivation et d’implication
Du personnel
De la Direction
On sait ou l’on va, Pourquoi on y va. Encore plus vrai lorsque la
démarche de certification est engagée
[Link] 6 03-11-20
� Approche ISO 27001
Un niveau de sécurité acceptable
Les risques ont été identifiés, analysés
Traités
n cours de traitement
L’amélioration permanente
Les incidents seront correctement traités et permettront l’amélioration
Les nouveaux risques seront identifiés, analysés et traités
[Link] 7 03-11-20
� SSI et SMSI
Amélioration continue
SSI et SMSI Identifier et analyser les
risques
Proposer un plan traitement
Plan SSI
Etablir
Do le SMSI
Act
Actions Corriger
Implément Corriger et
correctives ou er les et
préventives processus améliorer améliorer
Surveiller
Check
Surveiller et réexaminer
[Link] 03-11-20
8
� La norme ISO 27001
ISO 27001 : 2013 est une norme générique
S’applique à tout secteur d’activité
A tout type de système ou d’organisme
Entreprise industrielle ou commerciale
Administration publique
Association
Quels que soient sa taille, ses produits, ses services,…
Un projet global d’entreprise
Impliquant la Direction Générale : choix stratégique
Impliquant le définition d’une « organisation sécurité»
Qui s’intègre et s’articule avec l’organisation existante
Mobilisant l’ensemble du personnel
[Link] 9 03-11-20
� La norme ISO 27001
Référence internationale en matière de Management de la Sécurité
de l’information
Un système de Management vise avant tout à :
Maitriser les risques SSI
Répondre aux exigences réglementaires applicables
Répondre aux exigences sécurité de ses clients ou partenaires
Améliorer la satisfaction du client
Assurer l’amélioration continue de ses performances
Structurer la démarche sécurité au sein de l’organisme
Un système de Management s’appuie sur :
Une organisation dédiée
Des processus formalisés
[Link] 10 03-11-20
