SlideShare une entreprise Scribd logo

ISO 27001

P
Philippe CELLIER

Présentation d'étude de la norme ISO 27001

Technologie
1  sur  27
Télécharger pour lire hors ligne
CELLIER PHILIPPE Promotion ESD6 2016-2017
Présentation
Sommaire  Qu’est-ce que l’ISO ?  Qu’est-ce qu’une norme ?  Délégations  Ne pas confondre avec réglementation
Présentation Acronyme de Organisation Internationale de Normalisation  Organisation internationale non gouvernementale, indépendante, dont le siège se situe à Genève en Suisse. Créée en 1947.  Disponible dans 161 pays membres, chacun comportant un organisme national de normalisation.  Elle produit des normes internationales dans les domaines industriels et commerciaux. L'ISO a publié plus de 22064 normes. Qu’est-ce que l’ISO ?
Présentation  Document qui fournit des exigences, des spécifications, des directives ou caractéristiques.  Les normes garantissent que les produits et services sont sûrs, fiables et de bonne qualité. Elles sont des outils stratégiques qui diminuent les coûts en réduisant les déchets et erreurs. Qu’est-ce qu’une norme ?  La réglementation relève des pouvoirs publics. Elle est l’expression d’une loi, d’un règlement et son application est imposée. GDPR / RGPD  Les normes revêtent un caractère volontaire. S’y conformer n’est pas une obligation. Elles traduisent l’engagement des entreprises à satisfaire un niveau de qualité et sécurité reconnu et approuvé. Ne pas confondre avec réglementation
Présentation Délégations
Découverte de la norme
Sommaire  Informations  Objectifs de la norme  Qu’est-ce qu’un SMSI ?  Vue d’ensemble des normes ISO 27000  Qui se conforme ?  Pourquoi se conformer / Certifier ?  Une fois certifié  Cas de demande de conformité
Découverte de la norme Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information – Exigences  Norme internationale qui succède à la norme BS 7799-2 de BSI (British Standards Institution)  Publiée en 2005 et révisée en 2013.  Fait partie de la suite ISO 27000 - Systèmes de gestion de sécurité de l'information.  Permet de certifier des organisations. Informations
Découverte de la norme Elle définit les exigences de conformité pour la mise en place, la mise en œuvre, le maintien, l’amélioration continue d’un Système de Management de la Sécurité de l‘Information (SMSI). Objectifs de la norme Le SMSI est conçu pour aider à gérer les risques liés à l’IT et à protéger la confidentialité, l’intégrité et la disponibilité de l’information. Qu’est-ce qu’un SMSI ?
Découverte de la norme Vue d’ensemble des normes ISO 27000 ISO 27001 SMSI ISO 27006 Audit de SMSI ISO 27000 Vocabulaire ISO 27002 Mesures ISO 27005 Analyse de risques ISO 27004 Métrique Exigences Guides Secteurs ISO 270034 Sécurité des applications
Découverte de la norme Qui se conformer ?  Toutes les organisations de tout secteurs et de toutes tailles qui tiennent à la confidentialité de leurs informations.  Il n’est pas obligatoire de certifier une entité complète (Site, Direction, Etc …)  Mais les activités périmétriques en bénéficieront.  Une personne qui est certifiée :  ISO 27001 Lead Auditor : certifie que les professionnels possèdent les connaissances et les compétences pour auditer la conformité d’un SMSI.  ISO 27001 Lead Implementer : garantis que les candidats possèdent les connaissances et les compétences nécessaires pour mettre en œuvre un SMSI.
Découverte de la norme Pourquoi se conformer / certifier  On se conforme volontairement à la norme.  Démontre une assurance aux partenaires, clients, fournisseurs = on s’engage à maintenir un niveau de sécurité de l’information.  Se démarquer de la concurrence.  Que l’on maîtrise son SI.  Renouvellement tous les 3 ans.  Avec un audit de renouvellement. Une fois certifié
Découverte de la norme Cas de demande de conformité  L’entreprise intègre un groupe déjà conforme.  L’entreprise fait partie d’un groupe qui se met en conformité.  L’entreprise fait partie d’un groupe étranger lui imposant la mise en conformité.  Demande imposée par un fournisseur/partenaire pour conserver un marché.  L’entreprise doit se mettre en conformité avec la norme pour pouvoir répondre à certains appels d’offres.  Demande la direction interne.
Structure de la norme
Sommaire  Informations  Objectifs principaux  Phases d'établissements  Processus de certification
Structure de la norme  Composé de 10 chapitres et une annexe.  Annexe : Composée de 114 mesures réparties en 14 sections.  ISO 27002 : Qui permet de donner les bonnes pratiques pour l’implémentation du SMSI.  Il n'est pas admis qu'une organisation s'affranchisse de l'une des exigences spécifiées aux chapitres 4 à 10 lorsqu'elle revendique la conformité. Informations
Structure de la norme  Politique de sécurité  Organisation de la sécurité de l’information  Gestion des biens  Sécurité liée aux ressources humaines  Sécurité physique et environnementale  Gestion des communications et de l'exploitation  Contrôles d’accès  Acquisition, développement et maintenance des systèmes d'information  Gestion des incidents liés à la sécurité de l'information  Gestion de la continuité d’activité  Conformité légale et réglementaire Objectifs principaux
Structure de la norme Phases d'établissements • Revue périodique • Audit interne • Test d’intrusions • Maintenance et amélioration • Incidents / Problèmes • Sensibilisation • Projets de sécurité • Analyse • Objectifs • Politique de Sécurité • Définie le traitement des risques PLAN DO CHECKACT
Structure de la norme • Analyse • Objectifs • Politique de Sécurité • Définie le traitement des risques PLAN Cette phase consiste à fixer les objectifs avec 4 grandes étapes : 1. La politique et le périmètre du SMSI. 2. L’appréciation des risques. 3. Le traitement des risques (en tenant compte des risques résiduels). 4. La sélection des mesures de sécurité présentes dans Annexe A.
Structure de la norme • Incidents / Problèmes • Sensibilisation • Projets de sécurité DO Cette phase consiste à décrire la mise en œuvre des mesures à travers quatre étapes : 1. Un plan de traitement des risques. 2. Déploiement des mesures de sécurité. 3. Formation et sensibilisation des collaborateurs. 4. Choix des indicateurs :  Performance : Vérification de l’efficacité des mesures.  Conformité : Pour contrôler la conformité du SMSI.
Structure de la norme • Revue périodique • Audit interne • Test d’intrusions CHECK Cette phase concerne les moyens de contrôle pour assurer l’efficacité du SMSI et sa conformité : 1. Des contrôles internes. 2. Des audits internes. 3. Les revues : qui garantissent périodiquement l’adéquation du SMSI avec son environnement.
Structure de la norme • Maintenance et amélioration ACT Mise en place d’actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check 1. Actions correctives 2. Actions préventives 3. Actions d’amélioration
Structure de la norme Processus de certification  Audit porte sur l’ensemble du SMSI.  La durée est déterminée dans l’annexe C de la norme ISO/CEI 27006.  L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de validation technique, puis par un comité de certification.  Après cela que la certification est délivrée pour une durée de trois ans.  Dans le cas contraire, un audit complémentaire.  L’organisme devra, durant ce délai, corriger les problèmes décelés lors de l’audit initial pour obtenir le certificat.
Conclusion
Conclusion Vous avez toutes les informations en mains pour pouvoir :  Aider à mettre en place un SMSI.  Aider une organisation à se préparer ainsi qu’à se certifier.  Vous ou votre organisation.
Questions ?

Recommandé

Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 

Recommandé

Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...PECB
 
ISO 27001
ISO 27001ISO 27001
ISO 27001MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risqueseGov Innovation Center
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
Synthese iso 9001 2015
Synthese iso 9001 2015Synthese iso 9001 2015
Synthese iso 9001 2015olec kovalevsky
 
Ebios
EbiosEbios
Ebioskilojolid
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Nouveautés de la norme iso9001 2015
Nouveautés de la norme iso9001 2015Nouveautés de la norme iso9001 2015
Nouveautés de la norme iso9001 2015Abderrahmen Oueslati
 
Qcm iso 9001_v_2015[1]
Qcm iso 9001_v_2015[1]Qcm iso 9001_v_2015[1]
Qcm iso 9001_v_2015[1]Aziza Wahmani
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Fiche technique la norme iso 9001 version 2015 acting consulting
Fiche technique la norme iso 9001 version 2015 acting consultingFiche technique la norme iso 9001 version 2015 acting consulting
Fiche technique la norme iso 9001 version 2015 acting consultingAbdelmajid wahbi
 
audit qualité.pptx
audit qualité.pptxaudit qualité.pptx
audit qualité.pptxKhadidjaMedjahdi1
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Mielabelo
 

Contenu connexe

Tendances

Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...PECB
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Nouveautés de la norme iso9001 2015
Nouveautés de la norme iso9001 2015Nouveautés de la norme iso9001 2015
Nouveautés de la norme iso9001 2015Abderrahmen Oueslati
 
Qcm iso 9001_v_2015[1]
Qcm iso 9001_v_2015[1]Qcm iso 9001_v_2015[1]
Qcm iso 9001_v_2015[1]Aziza Wahmani
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Fiche technique la norme iso 9001 version 2015 acting consulting
Fiche technique la norme iso 9001 version 2015 acting consultingFiche technique la norme iso 9001 version 2015 acting consulting
Fiche technique la norme iso 9001 version 2015 acting consultingAbdelmajid wahbi
 

Tendances (20)

Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...Impact de la certification ISO 22301 sur la performance durable des organisat...
Impact de la certification ISO 22301 sur la performance durable des organisat...
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
EBIOS
EBIOSEBIOS
EBIOS
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Synthese iso 9001 2015
Synthese iso 9001 2015Synthese iso 9001 2015
Synthese iso 9001 2015
 
Ebios
EbiosEbios
Ebios
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Nouveautés de la norme iso9001 2015
Nouveautés de la norme iso9001 2015Nouveautés de la norme iso9001 2015
Nouveautés de la norme iso9001 2015
 
Qcm iso 9001_v_2015[1]
Qcm iso 9001_v_2015[1]Qcm iso 9001_v_2015[1]
Qcm iso 9001_v_2015[1]
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Fiche technique la norme iso 9001 version 2015 acting consulting
Fiche technique la norme iso 9001 version 2015 acting consultingFiche technique la norme iso 9001 version 2015 acting consulting
Fiche technique la norme iso 9001 version 2015 acting consulting
 
audit qualité.pptx
audit qualité.pptxaudit qualité.pptx
audit qualité.pptx
 

Similaire à ISO 27001

Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Mielabelo
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorCERTyou Formation
 
Les certifications QHSE
Les certifications QHSELes certifications QHSE
Les certifications QHSENeedeo
 
Risk Based thinking - une nouvelle démarche pour un système de management de ...
Risk Based thinking - une nouvelle démarche pour un système de management de ...Risk Based thinking - une nouvelle démarche pour un système de management de ...
Risk Based thinking - une nouvelle démarche pour un système de management de ...PECB
 
Certification qualité
Certification qualitéCertification qualité
Certification qualitéfattahrma
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptKhouloud Errachedi
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB
 
Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Résistante Risk Solutions
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptxAdemKorani
 

Similaire à ISO 27001 (20)

Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
Les certifications QHSE
Les certifications QHSELes certifications QHSE
Les certifications QHSE
 
Risk Based thinking - une nouvelle démarche pour un système de management de ...
Risk Based thinking - une nouvelle démarche pour un système de management de ...Risk Based thinking - une nouvelle démarche pour un système de management de ...
Risk Based thinking - une nouvelle démarche pour un système de management de ...
 
Certification qualité
Certification qualitéCertification qualité
Certification qualité
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
 
36 sms-et-mase1
36 sms-et-mase136 sms-et-mase1
36 sms-et-mase1
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
Iso QSE 2016
Iso QSE 2016Iso QSE 2016
Iso QSE 2016
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
 
Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527Présentation résistante directeurs experts 20140527
Présentation résistante directeurs experts 20140527
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 

ISO 27001

  • 3. Sommaire  Qu’est-ce que l’ISO ?  Qu’est-ce qu’une norme ?  Délégations  Ne pas confondre avec réglementation
  • 4. Présentation Acronyme de Organisation Internationale de Normalisation  Organisation internationale non gouvernementale, indépendante, dont le siège se situe à Genève en Suisse. Créée en 1947.  Disponible dans 161 pays membres, chacun comportant un organisme national de normalisation.  Elle produit des normes internationales dans les domaines industriels et commerciaux. L'ISO a publié plus de 22064 normes. Qu’est-ce que l’ISO ?
  • 5. Présentation  Document qui fournit des exigences, des spécifications, des directives ou caractéristiques.  Les normes garantissent que les produits et services sont sûrs, fiables et de bonne qualité. Elles sont des outils stratégiques qui diminuent les coûts en réduisant les déchets et erreurs. Qu’est-ce qu’une norme ?  La réglementation relève des pouvoirs publics. Elle est l’expression d’une loi, d’un règlement et son application est imposée. GDPR / RGPD  Les normes revêtent un caractère volontaire. S’y conformer n’est pas une obligation. Elles traduisent l’engagement des entreprises à satisfaire un niveau de qualité et sécurité reconnu et approuvé. Ne pas confondre avec réglementation
  • 8. Sommaire  Informations  Objectifs de la norme  Qu’est-ce qu’un SMSI ?  Vue d’ensemble des normes ISO 27000  Qui se conforme ?  Pourquoi se conformer / Certifier ?  Une fois certifié  Cas de demande de conformité
  • 9. Découverte de la norme Technologies de l'information -- Techniques de sécurité -- Systèmes de management de la sécurité de l'information – Exigences  Norme internationale qui succède à la norme BS 7799-2 de BSI (British Standards Institution)  Publiée en 2005 et révisée en 2013.  Fait partie de la suite ISO 27000 - Systèmes de gestion de sécurité de l'information.  Permet de certifier des organisations. Informations
  • 10. Découverte de la norme Elle définit les exigences de conformité pour la mise en place, la mise en œuvre, le maintien, l’amélioration continue d’un Système de Management de la Sécurité de l‘Information (SMSI). Objectifs de la norme Le SMSI est conçu pour aider à gérer les risques liés à l’IT et à protéger la confidentialité, l’intégrité et la disponibilité de l’information. Qu’est-ce qu’un SMSI ?
  • 11. Découverte de la norme Vue d’ensemble des normes ISO 27000 ISO 27001 SMSI ISO 27006 Audit de SMSI ISO 27000 Vocabulaire ISO 27002 Mesures ISO 27005 Analyse de risques ISO 27004 Métrique Exigences Guides Secteurs ISO 270034 Sécurité des applications
  • 12. Découverte de la norme Qui se conformer ?  Toutes les organisations de tout secteurs et de toutes tailles qui tiennent à la confidentialité de leurs informations.  Il n’est pas obligatoire de certifier une entité complète (Site, Direction, Etc …)  Mais les activités périmétriques en bénéficieront.  Une personne qui est certifiée :  ISO 27001 Lead Auditor : certifie que les professionnels possèdent les connaissances et les compétences pour auditer la conformité d’un SMSI.  ISO 27001 Lead Implementer : garantis que les candidats possèdent les connaissances et les compétences nécessaires pour mettre en œuvre un SMSI.
  • 13. Découverte de la norme Pourquoi se conformer / certifier  On se conforme volontairement à la norme.  Démontre une assurance aux partenaires, clients, fournisseurs = on s’engage à maintenir un niveau de sécurité de l’information.  Se démarquer de la concurrence.  Que l’on maîtrise son SI.  Renouvellement tous les 3 ans.  Avec un audit de renouvellement. Une fois certifié
  • 14. Découverte de la norme Cas de demande de conformité  L’entreprise intègre un groupe déjà conforme.  L’entreprise fait partie d’un groupe qui se met en conformité.  L’entreprise fait partie d’un groupe étranger lui imposant la mise en conformité.  Demande imposée par un fournisseur/partenaire pour conserver un marché.  L’entreprise doit se mettre en conformité avec la norme pour pouvoir répondre à certains appels d’offres.  Demande la direction interne.
  • 16. Sommaire  Informations  Objectifs principaux  Phases d'établissements  Processus de certification
  • 17. Structure de la norme  Composé de 10 chapitres et une annexe.  Annexe : Composée de 114 mesures réparties en 14 sections.  ISO 27002 : Qui permet de donner les bonnes pratiques pour l’implémentation du SMSI.  Il n'est pas admis qu'une organisation s'affranchisse de l'une des exigences spécifiées aux chapitres 4 à 10 lorsqu'elle revendique la conformité. Informations
  • 18. Structure de la norme  Politique de sécurité  Organisation de la sécurité de l’information  Gestion des biens  Sécurité liée aux ressources humaines  Sécurité physique et environnementale  Gestion des communications et de l'exploitation  Contrôles d’accès  Acquisition, développement et maintenance des systèmes d'information  Gestion des incidents liés à la sécurité de l'information  Gestion de la continuité d’activité  Conformité légale et réglementaire Objectifs principaux
  • 19. Structure de la norme Phases d'établissements • Revue périodique • Audit interne • Test d’intrusions • Maintenance et amélioration • Incidents / Problèmes • Sensibilisation • Projets de sécurité • Analyse • Objectifs • Politique de Sécurité • Définie le traitement des risques PLAN DO CHECKACT
  • 20. Structure de la norme • Analyse • Objectifs • Politique de Sécurité • Définie le traitement des risques PLAN Cette phase consiste à fixer les objectifs avec 4 grandes étapes : 1. La politique et le périmètre du SMSI. 2. L’appréciation des risques. 3. Le traitement des risques (en tenant compte des risques résiduels). 4. La sélection des mesures de sécurité présentes dans Annexe A.
  • 21. Structure de la norme • Incidents / Problèmes • Sensibilisation • Projets de sécurité DO Cette phase consiste à décrire la mise en œuvre des mesures à travers quatre étapes : 1. Un plan de traitement des risques. 2. Déploiement des mesures de sécurité. 3. Formation et sensibilisation des collaborateurs. 4. Choix des indicateurs :  Performance : Vérification de l’efficacité des mesures.  Conformité : Pour contrôler la conformité du SMSI.
  • 22. Structure de la norme • Revue périodique • Audit interne • Test d’intrusions CHECK Cette phase concerne les moyens de contrôle pour assurer l’efficacité du SMSI et sa conformité : 1. Des contrôles internes. 2. Des audits internes. 3. Les revues : qui garantissent périodiquement l’adéquation du SMSI avec son environnement.
  • 23. Structure de la norme • Maintenance et amélioration ACT Mise en place d’actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check 1. Actions correctives 2. Actions préventives 3. Actions d’amélioration
  • 24. Structure de la norme Processus de certification  Audit porte sur l’ensemble du SMSI.  La durée est déterminée dans l’annexe C de la norme ISO/CEI 27006.  L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de validation technique, puis par un comité de certification.  Après cela que la certification est délivrée pour une durée de trois ans.  Dans le cas contraire, un audit complémentaire.  L’organisme devra, durant ce délai, corriger les problèmes décelés lors de l’audit initial pour obtenir le certificat.
  • 26. Conclusion Vous avez toutes les informations en mains pour pouvoir :  Aider à mettre en place un SMSI.  Aider une organisation à se préparer ainsi qu’à se certifier.  Vous ou votre organisation.