Les Normes ISO 27000 Version 2013
La nouvelle version 2013 de la norme.
Différences et nouveautés
Stéphane Perroud - Georg...
Stéphane Perroud
 Expériences
 Consultant en Gouvernance, Audit et Management
de la Sécurité des SI
 Formateur en Gouve...
Georges Torti
 Expériences







Responsable sécurité informatique (au DEFR)
12 ans de direction des systèmes d’in...
Plan de la conférence
 Notions de base
 Bref rappel historique sur BSI 17799 et ISO
27001:2005
 Les changements dans IS...
La sécurité de l’information
Notions de base

ISO 27000 2013
La sécurité de l’information
L’humain

Les processus

La technique
ISO 27000 2013
La sécurité de l’information
 Les quatre piliers de la sécurité de l’information :

Sécurité de l’Information
NonRépudiat...
Vue d’ensemble
Les normes ISO 27000

ISO 27000 2013
Les normes ISO 27000
 Famille des normes de sécurité de l’information
 Recommandation des meilleures pratiques en manage...
Les normes 27000
 Avantages
 description pratique et détaillée de la mise en œuvre des objectifs et
mesures de sécurité
...
Vue d’ensemble des normes ISO 27000
Exigences

ISO 27001
SMSI

ISO 27006
Audit de SMSI

Guides
ISO 27000
Vocabulaire
ISO 2...
Vue d’ensemble des normes ISO 27000
Norme

Titre

ISO/IEC 27000

Vue d'ensemble et vocabulaire

ISO/IEC 27001

SMSI - Exig...
Vue d’ensemble des normes ISO 27000
Norme

Titre

ISO/IEC 27013

LD - Mise en œuvre intégrée d'ISO 27001 et ISO 20000

ISO...
Bref historique
BSI 17799
ISO 27001
ISO 27002

ISO 27000 2013
Historique
 En 1995, le standard britannique "BS 7799" créé par BSI
définit des mesures de sécurité détaillées
 En 1998,...
Les changements
ISO 27001:2013

ISO 27000 2013
ISO 27001

ISO 27000 2013
Contrôles obligatoires

ISO 27000 2013
Les changements
ISO 27002:2013

ISO 27000 2013
Les changements ISO27002
 114 mesures dans 14 domaines (Version 2005 : 133 mesures
dans 11 domaines)










...
Les changements ISO27002
 Réorganisation / déplacement de mesures
Mesures

2005

2013

Mobile/Télétravail

Access control...
Nouvelles mesures ISO 27002:2013












Information security in project management
Restrictions on softwar...
Mesures supprimées (1)












Management commitment to information security
Information security coordinat...
Mesures supprimées (2)










Network routing control
Sensitive system isolation
Input data validation
Control...
Impacts pour l’entreprise
Certifications
Implémentation
Formation

ISO 27000 2013
Certification
 Impact sur l’interprétation de la norme et le déploiement du
système de gestion de la sécurité de l’inform...
Implémentation
 Commencer par une analyse d’écart entre le SMSI existant et
la nouvelle version
 Lancer les initiatives ...
Formation
 Digicomp vous propose, à partir de janvier 2014, des cours et
des certifications internationales en phase avec...
Questions / Réponses

ISO 27000 2013
Informations et contacts
 Plus d’informations :

 Retrouvez nous sur :

http://www.digicomp.ch/fr/
securite_informatique...
Merci de votre attention!

Stéphane Perroud - Georges Torti
Digicomp Academy Suisse Romande SA

Tél. 021 321 65 00
E-Mail:...
ISO 27001 Annexe A

ISO 27000 2013
ISO 27002

ISO 27000 2013
Prochain SlideShare
Chargement dans…5
×

Information Security - Les changements de la nouvelle version ISO 27001:2013

3 512 vues

Publié le

Digicomp, forte de son expérience dans le domaine, vous invite à une soirée d'information pour vous permettre de comprendre pourquoi, comment et à quelles fins les changements d’ISO 27001:2013 vont affecter les spécialistes de la sécurité informatique et leur métier et vous présenter les nombreux changements de fonds, telle la structure, comme les plus subtils avec la réduction du nombre de points de contrôles.

http://www.digicomp.ch/fr/securite_informatique

Publié dans : Business

Information Security - Les changements de la nouvelle version ISO 27001:2013

  1. 1. Les Normes ISO 27000 Version 2013 La nouvelle version 2013 de la norme. Différences et nouveautés Stéphane Perroud - Georges Torti Digicomp Romandie SA 14 janvier 2014, Digicomp Lausanne ISO 27000 2013
  2. 2. Stéphane Perroud  Expériences  Consultant en Gouvernance, Audit et Management de la Sécurité des SI  Formateur en Gouvernance, Sécurité et Audit  Auditeur informatique  12 ans développeur J2EE et Web  Certifications        CISSP CISA COBIT Foundation 4.1 & 5 ITIL v3 Foundation ISO 20000 Foundation ISO 27001 Lead Auditor ISO 27005 Risk Manager ISO 27000 2013
  3. 3. Georges Torti  Expériences       Responsable sécurité informatique (au DEFR) 12 ans de direction des systèmes d’information Responsable du développement informatique Chef de projet informatique Support informatique et formation Président ADI (Gouvernance, Projet, Services, Sécurité)  Certifications      CISA (Certified Information System Auditor) CISM (Certified Information Security Manager) Certificat d’Aptitude à la Protection des Données Cobit Foundation 4.1 & 5 ISO 27001 Foundation ISO 27000 2013
  4. 4. Plan de la conférence  Notions de base  Bref rappel historique sur BSI 17799 et ISO 27001:2005  Les changements dans ISO 27001:2013  Les changements dans ISO 27002 :2013  Impacts pour l’entreprise  Questions / Réponses ISO 27000 2013
  5. 5. La sécurité de l’information Notions de base ISO 27000 2013
  6. 6. La sécurité de l’information L’humain Les processus La technique ISO 27000 2013
  7. 7. La sécurité de l’information  Les quatre piliers de la sécurité de l’information : Sécurité de l’Information NonRépudiation Disponibilité Intégrité Confidentialité ISO 27000 2013
  8. 8. Vue d’ensemble Les normes ISO 27000 ISO 27000 2013
  9. 9. Les normes ISO 27000  Famille des normes de sécurité de l’information  Recommandation des meilleures pratiques en management de la sécurité de l’information  S’adresse à tous les types d’organismes  S’intègrent avec les autres normes internationales ISO 27000 2013
  10. 10. Les normes 27000  Avantages  description pratique et détaillée de la mise en œuvre des objectifs et mesures de sécurité  audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises  Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître  Meilleure maîtrise des risques  Une certification qui améliore la confiance avec les parties prenantes  Homogénéisation : c’est un référentiel international. Cela facilite les échanges ISO 27000 2013
  11. 11. Vue d’ensemble des normes ISO 27000 Exigences ISO 27001 SMSI ISO 27006 Audit de SMSI Guides ISO 27000 Vocabulaire ISO 27004 Métriques ISO 27002 Mesures BSI 17799 ISO 27005 Analyse risques ISO 27000 2013 ISO 27003 Implémentation Secteurs ISO 27034 Sécurité des Applications
  12. 12. Vue d’ensemble des normes ISO 27000 Norme Titre ISO/IEC 27000 Vue d'ensemble et vocabulaire ISO/IEC 27001 SMSI - Exigences ISO/IEC 27002 Code de bonne pratique ISO/IEC 27003 Lignes directrices pour la mise en œuvre du SMSI ISO/IEC 27004 Mesurage ISO/IEC 27005 Gestion des risques liés à la sécurité de l’information ISO/IEC 27006 Exigences pour les organismes procédant à l'audit et à la certification ISO/IEC 27007 Lignes directrices pour l'audit du SMSI ISO/IEC 27008 Lignes directrices pour les auditeurs des contrôles ISO/IEC 27010 LD - Communications intersectorielles/interorganisationnelles ISO/IEC 27011 LD - Organismes de télécommunications ISO 27000 2013
  13. 13. Vue d’ensemble des normes ISO 27000 Norme Titre ISO/IEC 27013 LD - Mise en œuvre intégrée d'ISO 27001 et ISO 20000 ISO/IEC 27014 Gouvernance de la sécurité de l'information ISO/IEC 27015 LD - Management de la sécurité de l'information pour les services financiers ISO/IEC 27031 LD - Préparation des TIC pour la continuité d'activité ISO/IEC 27032 LD - Cybersécurité ISO/IEC 27033 LD - Sécurité de réseau ISO/IEC 27034 LD - Sécurité des applications ISO/IEC 27035 LD - Gestion des incidents de sécurité ISO/IEC 27037 LD - Identification, la collecte, l'acquisition et la préservation de preuves numériques ISO/IEC 27799 Management de la sécurité de l'information relative à la santé en utilisant l'ISO 27002 ISO 27000 2013
  14. 14. Bref historique BSI 17799 ISO 27001 ISO 27002 ISO 27000 2013
  15. 15. Historique  En 1995, le standard britannique "BS 7799" créé par BSI définit des mesures de sécurité détaillées  En 1998, le BSI introduit le SMSI  En 2000, ISO édite la norme ISO/CEI 17799:2000 (codes des bonnes pratiques issues de la BS 7799)  En 2005, deux normes sont éditées :  ISO/CEI 17799:2005 qui remanie les domaines et objectifs  ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la possibilité de certification  En 2007, ISO 27002 remplace ISO/CEI 17799  En 2013, ISO révise les norme ISO/CEI 27001:2013 et ISO/CEI 27002:2013 ISO 27000 2013
  16. 16. Les changements ISO 27001:2013 ISO 27000 2013
  17. 17. ISO 27001 ISO 27000 2013
  18. 18. Contrôles obligatoires ISO 27000 2013
  19. 19. Les changements ISO 27002:2013 ISO 27000 2013
  20. 20. Les changements ISO27002  114 mesures dans 14 domaines (Version 2005 : 133 mesures dans 11 domaines)               A.5: Information security policies A.6: Organization of information security A.7: Human resources security A.8: Asset management A.9: Access control A.10: Cryptography A.11: Physical and environmental security A.12: Operations security A.13: Communication security A.14: System acquisition, development, and maintenance A.15: Supplier relationships A.16: Information security Incident management A.17: Information security aspects of business continuity management A.18: Compliance ISO 27000 2013
  21. 21. Les changements ISO27002  Réorganisation / déplacement de mesures Mesures 2005 2013 Mobile/Télétravail Access control Organization of info sec Gestion médias Communication Asset Gestion clés Cryptography Acquisition/Dev …  Nouvelles mesures  Suppression de mesures ISO 27000 2013
  22. 22. Nouvelles mesures ISO 27002:2013            Information security in project management Restrictions on software installation Secure development policy Secure system engineering principles Secure development environment System security testinging Information security policy for supplier relationships Information and communication technology supply chain Assessment and decision on information security events Response to information security incidents Availability of information processing facilities ISO 27000 2013
  23. 23. Mesures supprimées (1)            Management commitment to information security Information security coordination Authorisation process for information processing facilities Identification of risks related to external parties Addressing security when dealing with customers Security of system documentation Business Information Systems User authentication for external connections Equipment identification in networks Remote Diagnostic and configuration port protection Network Connection control ISO 27000 2013
  24. 24. Mesures supprimées (2)          Network routing control Sensitive system isolation Input data validation Control of internal processing Message integrity Output data validation Information leakage Prevention of misuse of information processing facilities Protection of information systems audit tools ISO 27000 2013
  25. 25. Impacts pour l’entreprise Certifications Implémentation Formation ISO 27000 2013
  26. 26. Certification  Impact sur l’interprétation de la norme et le déploiement du système de gestion de la sécurité de l’information des organisations  Majorité de la norme reste la même. Important de comprendre les changements et d’assurer la conformité du système d’information à la nouvelle norme pour les futurs audits  Période transitoire de 2 ans accordée aux organisations certifiées pour se conformer à la nouvelle version ISO 27000 2013
  27. 27. Implémentation  Commencer par une analyse d’écart entre le SMSI existant et la nouvelle version  Lancer les initiatives de mise à jour du SMSI  Changements significatifs     Politique Appréciation des risques Déclaration d’applicabilité (Annexe A) Identification des problèmes ISO 27000 2013
  28. 28. Formation  Digicomp vous propose, à partir de janvier 2014, des cours et des certifications internationales en phase avec la nouvelle version du standard :  ISO/IEC 27001 Lead Auditor  ISO/IEC 27001 Lead Implementer www.digicomp.ch/fr ISO 27000 2013
  29. 29. Questions / Réponses ISO 27000 2013
  30. 30. Informations et contacts  Plus d’informations :  Retrouvez nous sur : http://www.digicomp.ch/fr/ securite_informatique Facebook Twitter Google + Slideshare ISO 27000 2013
  31. 31. Merci de votre attention! Stéphane Perroud - Georges Torti Digicomp Academy Suisse Romande SA Tél. 021 321 65 00 E-Mail: romandie@digicomp.ch ISO 27000 2013
  32. 32. ISO 27001 Annexe A ISO 27000 2013
  33. 33. ISO 27002 ISO 27000 2013

×