ISO 27002      Fil rouge d’INFOSAFEComment la mettre en place avec lanécessaire collaboration des autres  départements de ...
Espérons que votre sécuriténe ressemble jamais à ceci !                        2
 Rappel: ISO est avant tout un recueil de bonnes  pratiques ISO 27002 est le fil rouge d’INFOSAFE Pas de proposition d...
«ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui        sont ...
5
http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/                    images/iso27002.png
http://www.randco.fr/img/iso27002.jpg
http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf
Pour que ca marche ....                10
Les limites d’ISO 27002Elle ne permet pas de définir quelles sont les mesures desécurité à mettre en oeuvre en fonction du...
ASPECTS                                 JURIDIQUES                STRATEGIESITUATION                         ASPECTS      ...
les freinsRésistance au changementcrainte du contrôlecomment l’imposer?positionement du RSIatteinte à l’activité économiqu...
Analyse de risque vue avec Alain HuetC’est la meilleure arme des responsables de sécurité
Un des buts d’infosafe...Et c’est un processus permanent!
Avec qui ?
http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf
8 Sécurité liée aux ressources humaines             8.1 Avant le recrutement             8.1.1 Rôles et responsabilités   ...
LE DRH ET SON PC…                    20
21
VOUS   LA DRH                22
Les employés partagent des informations                                23
LES RH DANS ISO 27002          24
25
26
27
Importance des RH                    28
29
30
LA CULTURE D’ENTREPRISE
Sexe   entreprise                          nationalitéProfession                       Religion                           ...
On peut identifier la partie visible à première                      vue…                                          34
 Un nouvel employé qui arrive? Cinq personnes autour de la machine à café? Un chef qui hurle sur un employé? Une perso...
36
    Aspects principaux de la culture:             La culture est partagée             La culture est intangible        ...
Niveau et fonction de la Culture:
Niveau et fonction de la Culture:        • la Culture existe à deux niveaux:            •Le côté visible et observable    ...
 Rites – cérémonies Histoires Symboles Tabous
 Recrutement Christmas party Discours Pots d’acceuil de départ Réunions…                 40
HISTOIRES
HISTOIRES- basées sur des événements réels qui sontracontées et partagées par les employés etracontées aux nouveaux pour l...
SYMBOLES           42
TABOUS         43
 Horaires Relations avec les autres Dress code Office space Training…                              44
 Cela permet de comprendre ce qui se passe De prendre la « bonne décision » Parfois un frein au changement Perception ...
THOUGH GROWING RAPIDLY, GOOGLE STILL MAINTAINS A SMALL COMPANY FEEL. AT THEGOOGLEPLEX HEADQUARTERS ALMOST EVERYONE EATS IN...
   Microsoft has an innovative corporate culture and a strong product development    focus that is designed to keep us on...
48
49
50
51
   La         52
 Organigramme Place du responsable de sécurité Rôle du responsable de sécurité dans le cadre  des RH La stratégie de r...
54
   Représente la    structure de    l’organisation   Montre les relations    entre les    collaborateurs                55
LATERAL          56
57
Fonctionnel     .              58
COMPLEXE
Hierarchique
61
62
63
OU ?
65
66
67
 Et la sécurité dans  tous ça? Nécessaire à  toutes les étapes Implication  nécessaire du  responsable de  sécurité    ...
 Confidentialité Règlement de  travail Security policy CC 81 et sa  négociation Opportunité!             69
 Les consultants Les sous-traitants Les auditeurs  externes Les comptables Le personnel  d’entretien             70
 Tests divers Interviews Assessment Avantages et inconvénients Et la sécurité dans tout ça? Et les sous traitants, c...
72
73
 Screening des CV Avant engagement Final check Antécédents Quid médias sociaux,  Facebook, googling,  etc? Tout est-...
 Responsabilité des  employés Règles tant pendant  qu’après le contrat  d’emploi ou de sous-  traitant Information vie ...
   8.2.1    responsabilités de    la direction   8.2.2.    Sensibilisation,    qualification et    formation   8.2.3 Pr...
   Procédures   Contrôle   Mise à jour   Rôle du    responsable    de sécurité   Sponsoring       77
Quelle procédure suivre ?                            78
Vous contrôlez quoi ?                        79
RÖLE DU RESPONSABLE DE SECURITE                                  80
81
82
83
84
   Que peut-on contrôler?   Limites?   Correspondance privée   CC81   Saisies sur salaire   Sanctions réelles   Com...
Peut-on tout contrôler et tout sanctionner ?                                         86
   Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres    t...
 Dans le RT Cohérentes Légales Zone grise Réelles Objectives Syndicats           88
89
 Attention aux mutations internes Maintien de confidentialité Qu’est-ce qui est confidentiel?                          ...
91
92
93
94
95
 On ne sait jamais qui sera derrière le PC Nécessité que le responsable de sécurité soit  informé Attentions aux change...
   Pensez     Aux  vols de données     Aux consultants     Aux étudiants     Aux stagiaires     Aux auditeurs     E...
QUI EST RESPONSABLE DE LA SECURITE DES            INSTALLATIONS?
•   Gestion des incidents
106
107
108
109
110
Bref vous ne pouvez pasaccepter d’êtrecomplètement coincéou…                          111
Sinon votre sécurité ce sera ça…                           112
113
MERCI               de votre attention                     Jacques Folon                   + 32 475 98 21 15              ...
   http://www.slideshare.net/targetseo   http://www.ssi-conseil.com/index.php   http://www.slideshare.net/greg53/5-hiri...
116
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION  RSI ET  AUTRES DEPARTEMENTS
Prochain SlideShare
Chargement dans…5
×

ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS

3 397 vues

Publié le

COURS DONNE A INFOSAFE EN MAI 2011
WWW.INFOSAFE.BE

Publié dans : Formation
1 commentaire
3 j’aime
Statistiques
Remarques
  • Problème de téléchargement
    (format '.key')
    thierry
    (Infosafe)
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
Aucun téléchargement
Vues
Nombre de vues
3 397
Sur SlideShare
0
Issues des intégrations
0
Intégrations
853
Actions
Partages
0
Téléchargements
175
Commentaires
1
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS

    1. 1. ISO 27002 Fil rouge d’INFOSAFEComment la mettre en place avec lanécessaire collaboration des autres départements de l’entreprise? Jacques Folon Chargé de cours ICHEC Professeur Invité Université de Metz 1
    2. 2. Espérons que votre sécuriténe ressemble jamais à ceci ! 2
    3. 3.  Rappel: ISO est avant tout un recueil de bonnes pratiques ISO 27002 est le fil rouge d’INFOSAFE Pas de proposition de solutions technique les autres départements sont concernés Et vous dans tout ça? 3
    4. 4. «ISO 27002 c’est donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir,d’implémenter ou de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base commune de développement de normes de sécuritéorganisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations dans l’entreprise. »
    5. 5. 5
    6. 6. http://jchambon.fr/professionnel/PAF/PME-PMI/s5-diaporama/ images/iso27002.png
    7. 7. http://www.randco.fr/img/iso27002.jpg
    8. 8. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf
    9. 9. Pour que ca marche .... 10
    10. 10. Les limites d’ISO 27002Elle ne permet pas de définir quelles sont les mesures desécurité à mettre en oeuvre en fonction du contexte delentreprise.Ainsi, il est aberrant dimaginer quil faille mettre en œuvrelensemble des mesures de sécurité décrites dans la norme(pour des questions de coût et de besoins réels). Il faut démarrerla démarche par une analyse des enjeux et des risques.Le seconde limite est liée au cycle de normes ISO, en effet uneévolution de norme prend environ 5 ans. Dans le domaine destechnologies de linformation, les menaces potentielles et lesmesures de sécurité liées évoluent plus rapidement que cela.Enfin la troisième limite est son hétérogénéité, certainsdomaines sont trop approfondis, dautres survolés.).
    11. 11. ASPECTS JURIDIQUES STRATEGIESITUATION ASPECTS D’IMPLEMENTATION PLAN D’ACTIONSACTUELLE INFORMATIQUES DE LA NORME ASPECT D’ORGANISATION
    12. 12. les freinsRésistance au changementcrainte du contrôlecomment l’imposer?positionement du RSIatteinte à l’activité économiqueCulture d’entreprise et nationaleBesoins du business
    13. 13. Analyse de risque vue avec Alain HuetC’est la meilleure arme des responsables de sécurité
    14. 14. Un des buts d’infosafe...Et c’est un processus permanent!
    15. 15. Avec qui ?
    16. 16. http://www.maury-infosec.com/telecharge/ISO%2017799%20-%20Introduction.pdf
    17. 17. 8 Sécurité liée aux ressources humaines            8.1 Avant le recrutement            8.1.1 Rôles et responsabilités         8.1.2 Sélection         8.1.3 Conditions d’embauche     8.2 Pendant la durée du contrat            8.2.1 Responsabilités de la direction         8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information         8.2.3 Processus disciplinaire     8.3 Fin ou modification de contrat            8.3.1 Responsabilités en fin de contrat         8.3.2 Restitution des biens         8.3.3 Retrait des droits d’accès
    18. 18. LE DRH ET SON PC… 20
    19. 19. 21
    20. 20. VOUS LA DRH 22
    21. 21. Les employés partagent des informations 23
    22. 22. LES RH DANS ISO 27002 24
    23. 23. 25
    24. 24. 26
    25. 25. 27
    26. 26. Importance des RH 28
    27. 27. 29
    28. 28. 30
    29. 29. LA CULTURE D’ENTREPRISE
    30. 30. Sexe entreprise nationalitéProfession Religion 32
    31. 31. On peut identifier la partie visible à première vue… 34
    32. 32.  Un nouvel employé qui arrive? Cinq personnes autour de la machine à café? Un chef qui hurle sur un employé? Une personne qui est licenciée? Un jeune qui veut tout changer? 35
    33. 33. 36
    34. 34.  Aspects principaux de la culture:  La culture est partagée  La culture est intangible  La culture est confirmée par les autresSource http://www.slideshare.net/preciousssa/hofstede-cultural-differences-in-international-management 23 37
    35. 35. Niveau et fonction de la Culture:
    36. 36. Niveau et fonction de la Culture: • la Culture existe à deux niveaux: •Le côté visible et observable immédiatement (habillement, symboles, histoires, etc.) •Le côté invisible qui véhicule les valeurs, les croyances,etc. •Fonctions de la culture •Intégration •Guide de fonctionnement •Guide de communication
    37. 37.  Rites – cérémonies Histoires Symboles Tabous
    38. 38.  Recrutement Christmas party Discours Pots d’acceuil de départ Réunions… 40
    39. 39. HISTOIRES
    40. 40. HISTOIRES- basées sur des événements réels qui sontracontées et partagées par les employés etracontées aux nouveaux pour les informer ausujet de l’organisation- qui rendent vivantes les valeurs del’organisation- qui parlent des “héros”, des légendes -Le post it de 3M -Le CEO d’IBM sans badge -Le CEO de quick
    41. 41. SYMBOLES 42
    42. 42. TABOUS 43
    43. 43.  Horaires Relations avec les autres Dress code Office space Training… 44
    44. 44.  Cela permet de comprendre ce qui se passe De prendre la « bonne décision » Parfois un frein au changement Perception de vivre avec d’autres qui partagent les mêmes valeurs Point essentiel pour le recrutement et la formation 45
    45. 45. THOUGH GROWING RAPIDLY, GOOGLE STILL MAINTAINS A SMALL COMPANY FEEL. AT THEGOOGLEPLEX HEADQUARTERS ALMOST EVERYONE EATS IN THE GOOGLE CAFÉ (KNOWN AS"CHARLIES PLACE"), SITTING AT WHATEVER TABLE HAS AN OPENING AND ENJOYING CONVERSATIONSWITH GOOGLERS FROM ALL DIFFERENT DEPARTMENTS. TOPICS RANGE FROM THE TRIVIAL TO THETECHNICAL, AND WHETHER THE DISCUSSION IS ABOUT COMPUTER GAMES OR ENCRYPTION OR ADSERVING SOFTWARE, ITS NOT SURPRISING TO HEAR SOMEONE SAY, "THATS A PRODUCT I HELPEDDEVELOP BEFORE I CAME TO GOOGLE."GOOGLES EMPHASIS ON INNOVATION AND COMMITMENT TO COST CONTAINMENT MEANS EACHEMPLOYEE IS A HANDS-ON CONTRIBUTOR. THERES LITTLE IN THE WAY OF CORPORATE HIERARCHYAND EVERYONE WEARS SEVERAL HATS. THE INTERNATIONAL WEBMASTER WHO CREATES GOOGLESHOLIDAY LOGOS SPENT A WEEK TRANSLATING THE ENTIRE SITE INTO KOREAN. THE CHIEFOPERATIONS ENGINEER IS ALSO A LICENSED NEUROSURGEON. BECAUSE EVERYONE REALIZES THEYARE AN EQUALLY IMPORTANT PART OF GOOGLES SUCCESS, NO ONE HESITATES TO SKATE OVER ACORPORATE OFFICER DURING ROLLER HOCKEY.GOOGLES HIRING POLICY IS AGGRESSIVELY NON-DISCRIMINATORY AND FAVORS ABILITY OVEREXPERIENCE. THE RESULT IS A STAFF THAT REFLECTS THE GLOBAL AUDIENCE THE SEARCH ENGINESERVES. GOOGLE HAS OFFICES AROUND THE GLOBE AND GOOGLE ENGINEERING CENTERS ARERECRUITING LOCAL TALENT IN LOCATIONS FROM ZURICH TO BANGALORE. DOZENS OF LANGUAGESARE SPOKEN BY GOOGLE STAFFERS, FROM TURKISH TO TELUGU. WHEN NOT AT WORK, GOOGLERSPURSUE INTERESTS FROM CROSS-COUNTRY CYCLING TO WINE TASTING, FROM FLYING TO FRISBEE.AS GOOGLE EXPANDS ITS DEVELOPMENT TEAM, IT CONTINUES TO LOOK FOR THOSE WHO SHARE ANOBSESSIVE COMMITMENT TO CREATING SEARCH PERFECTION AND HAVING A GREAT TIME DOING IT. 46
    46. 46.  Microsoft has an innovative corporate culture and a strong product development focus that is designed to keep us on the leading edge of the industry. We believe that our employees are the companys most important asset. They are the source of our creative ingenuity and success so we empower each staff member to take initiative in solving problems, coming up with new ideas and improving the organisation. Microsoft values diversity and respects each persons individuality When you sell software to 180 million people, in 70 countries, speaking 150 languages, you cant afford to have a singular point of view. Microsoft employs people from many nationalities and backgrounds. 47
    47. 47. 48
    48. 48. 49
    49. 49. 50
    50. 50. 51
    51. 51.  La 52
    52. 52.  Organigramme Place du responsable de sécurité Rôle du responsable de sécurité dans le cadre des RH La stratégie de recrutement et le rôle de la sécurité Job description et sécurité Contrats 53
    53. 53. 54
    54. 54.  Représente la structure de l’organisation Montre les relations entre les collaborateurs 55
    55. 55. LATERAL 56
    56. 56. 57
    57. 57. Fonctionnel . 58
    58. 58. COMPLEXE
    59. 59. Hierarchique
    60. 60. 61
    61. 61. 62
    62. 62. 63
    63. 63. OU ?
    64. 64. 65
    65. 65. 66
    66. 66. 67
    67. 67.  Et la sécurité dans tous ça? Nécessaire à toutes les étapes Implication nécessaire du responsable de sécurité 68
    68. 68.  Confidentialité Règlement de travail Security policy CC 81 et sa négociation Opportunité! 69
    69. 69.  Les consultants Les sous-traitants Les auditeurs externes Les comptables Le personnel d’entretien 70
    70. 70.  Tests divers Interviews Assessment Avantages et inconvénients Et la sécurité dans tout ça? Et les sous traitants, consultants, etc. 71
    71. 71. 72
    72. 72. 73
    73. 73.  Screening des CV Avant engagement Final check Antécédents Quid médias sociaux, Facebook, googling, etc? Tout est-il permis? 74
    74. 74.  Responsabilité des employés Règles tant pendant qu’après le contrat d’emploi ou de sous- traitant Information vie privée Portables, gsm,… 75
    75. 75.  8.2.1 responsabilités de la direction 8.2.2. Sensibilisation, qualification et formation 8.2.3 Processus disciplinaire 76
    76. 76.  Procédures Contrôle Mise à jour Rôle du responsable de sécurité Sponsoring 77
    77. 77. Quelle procédure suivre ? 78
    78. 78. Vous contrôlez quoi ? 79
    79. 79. RÖLE DU RESPONSABLE DE SECURITE 80
    80. 80. 81
    81. 81. 82
    82. 82. 83
    83. 83. 84
    84. 84.  Que peut-on contrôler? Limites? Correspondance privée CC81 Saisies sur salaire Sanctions réelles Communiquer les sanctions? 85
    85. 85. Peut-on tout contrôler et tout sanctionner ? 86
    86. 86.  Diffuser vers des tiers des informations confidentielles relatives XXX, à ses partenaires commerciaux, aux autres travailleurs, aux sociétés liées ou à ses procédés techniques ; Diffuser à des tiers toute donnée personnelle dont XXXest responsable de traitement, sauf autorisation formelle de XXX ; Copier, diffuser, télécharger, vendre, distribuer des oeuvres protégées par le droit de la propriété intellectuelle, sans avoir obtenu toutes les autorisations des ayants droit; Copier ou télécharger des programmes informatiques sans en avoir reçu l’autorisation préalable du département informatique ; Participer à tout jeu, concours, loterie, tombola, jeu de casino, ainsi que transmettre les adresses des sites concernés, tout comme participer à toute action de marketing, de marketing viral, ou à toute enquête quelle qu’elle soit, avec ou sans possibilité de gain ; Transmettre des messages non professionnels reçus de tiers à d’autres travailleurs, transmettre tout message non professionnel reçu d’un autre travailleur soit à des tiers soit à d’autres travailleurs, transmettre tout message professionnel à des tiers ou à d’autres travailleurs dans le but de nuire à XXX ou à un autre travailleur ; Transmettre à un tiers ou à un autre travailleur tout message ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ou comprenant un hyperlien vers un site proposant ce type de contenu ; Consulter des sites Internet ayant un contenu pornographique, érotique, raciste, révisionniste, pédophile, discriminatoire, sexiste, ou plus généralement contraire aux bonnes mœurs ou à toute réglementation ou législation belge ; Participer à des chaînes de lettres, quel qu’en soit le contenu ; Participer à des forums de discussion, des chat, des newsgroup, des mailing-list non professionnels ; Participer directement ou indirectement à des envois d’emails non sollicités ; Utiliser l’adresse email d’un autre travailleur pour envoyer un message professionnel ou privé ; Effectuer toute activité considérée par la loi belge comme relevant de la criminalité informatique, ou contraire à la législation concernant la protection des données personnelles et en particulier, à titre d’exemples, tenter d’avoir accès à des données dont l’accès n’est pas autorisé ou copier des données personnelles pour les transmettre à 87
    87. 87.  Dans le RT Cohérentes Légales Zone grise Réelles Objectives Syndicats 88
    88. 88. 89
    89. 89.  Attention aux mutations internes Maintien de confidentialité Qu’est-ce qui est confidentiel? 90
    90. 90. 91
    91. 91. 92
    92. 92. 93
    93. 93. 94
    94. 94. 95
    95. 95.  On ne sait jamais qui sera derrière le PC Nécessité que le responsable de sécurité soit informé Attentions aux changements de profils 96
    96. 96.  Pensez  Aux vols de données  Aux consultants  Aux étudiants  Aux stagiaires  Aux auditeurs  Etc. 97
    97. 97. QUI EST RESPONSABLE DE LA SECURITE DES INSTALLATIONS?
    98. 98. • Gestion des incidents
    99. 99. 106
    100. 100. 107
    101. 101. 108
    102. 102. 109
    103. 103. 110
    104. 104. Bref vous ne pouvez pasaccepter d’êtrecomplètement coincéou… 111
    105. 105. Sinon votre sécurité ce sera ça… 112
    106. 106. 113
    107. 107. MERCI de votre attention Jacques Folon + 32 475 98 21 15 ICHEC ebiz c/o I.Choquet, Rue au Bois, 365 A 1150 Bruxelles Jacques.folon@ichec.be www.ichec-ebiz.be www.ichec.beFévrier 2008 www.jitm.be 114
    108. 108.  http://www.slideshare.net/targetseo http://www.ssi-conseil.com/index.php http://www.slideshare.net/greg53/5-hiring-mistakes-vl-presentation www.flickr.com www.explorehr.org http://www.slideshare.net/frostinel/end-user-security-awareness- presentation-presentation http://www.slideshare.net/jorges http://www.slideshare.net/michaelmarlatt 115
    109. 109. 116

    ×