SlideShare une entreprise Scribd logo
1 |
Sommaire
• Introduction à la norme
• Structure de la norme
2 |
Sommaire
• Introduction à la norme
• Les avantage de le norme ISO/IEC 27001:2005
• Quelques chiffres
• Les normes ISO/IEC 27002:2007 et ISO/IEC 27001:2005
• Evolution de la norme
3 |
Introduction à la norme
Les normes ISO/IEC 27001:2005 et ISO/IEC 27002:2007
• La famille des normes ISO/IEC 27000, relative au management de la sécurité des
système de management est composée de plusieurs normes. Ils décrivent des
éxigences et une multitude de méthode et mesures de sécurité.
• ISO/IEC 27001:2005 („Technologies de l'information -Techniques de sécurité -
Systèmes de gestion de la sécurité de l'information“) décrit les exigences pour
la mise en place et documentation d‟unsystème de management de la
sécurité de l‟information. Elle est utilisée comme critère dans le cadre des audit
de certification des Système de Management de la Sécurité de l‟information.
• ISO/IEC 27002:2007 („ Technologies de l'information -Techniques de sécurité -
Lignes directrices pour le management de la sécurité de l‟information“) est une
document de référence qui décrit mesure et recommandation relatives à un
système de management de la sécurité de l‟information(SMSI). Elle intègre
également des instructions pour la mise en place, le contenu de cette norme
correspond au contenu du standard britanique BS 7799-1. Cette norme a été
optimisée et complétée par l‟organisme..
General - scope
4 |
Introduction à la norme
Advantage de l„ISO/IEC 27001:2005
• Evaluation des processus de l‟organisme en tenant compte de la sécurité de
l‟information.
• La sécurité de l‟informationdevient une partie intégrant du management de
l‟entreprise.
• Compréhension et maîtrise des risques, des risques résiduels.
• La sécurité par rapport au maintien de la continuité de fonctionnement devient
prioritaire.
Gestion de la continuité de l‟activité
• La documentation de la structure de l‟informationet des processus de gestion de
l‟information.
• Sensibilisation et implication du personnel
General - scope
5 |
Introduction à la norme
Advantage de l„ISO/IEC 27001:2005
• Avantage compétitif à travers la certification
• Norme à reconnaissance internationnale
• Réduction des frais d‟assurance
• Structure et sécurité bien définie  Réduction des coût!
• ITIL (Management Service Information) Fait référence à l‟ISO27001 (BS 7799).
• Plus de 3500 Certification enregistrée dans le monde(Etat : Juin 2007)
General - scope
6 |
Introduction into the standard
Evolution de la norme
BS 7799 Part One
Fevrier 1995
BS 7799 Part Two
Fevrier 1998
ISO/IEC 17799:2000
BS 7799-2:2002
ISO/IEC 17799:2005
ISO/IEC 27001:2005
ISO/IEC 27002:2007
Implémentation Vérification
7 |
Content
• Introduction à la norme
• Structure de la norme
8 |
Content
• Structure of the standard
• Definitions
• Sommaire
• Differentiation entre Article / Objectifs / mesures
• Comparaison entre l‟IEC27002:2007 et l‟ISO/IEC27001:2005
• Annex A : Objectifs de sécurité et mesures de sécurité
• La famille des normes ISO 27000
• La relation entre l‟ISO/IEC27001:2005 et les autres normes
9 |
Structure de la norme
Definition information
“L‟informationest un actif, comme tout autre actif qui a une valeur pour
l‟organisation, il necessite en conséquence une protection appropriée”.
(ISO/IEC 27002:2007)
10 |
Structure de la norme
Information en tant qu‟avoir
• L‟informationest considérée parmis les actifs de l‟organisation.
• Prise en compte de tout type d‟information:
• Imprimé
• Ecrite à main levée
• Sauvegardé à un niveau electronique
• Transmise par mail ou de manière electronique
• Communiquée par vidéo ou de manière verbale
• etc.
11 |
Structure de la norme
Définition
• Sécurité de l'information
protection de la confidentialité, de l‟intégrité et de la disponibilité de l‟information; en
outre, d‟autres propriétés, telles que l‟authenticité, l‟imputabilité, la non- répudiation et
la fiabilité, peuvent également être concernées
• confidentialité
propriété selon laquelle l'information n'est pas rendue accessible ou divulguée à
des personnes, entités ou processus non autorisés
• Intégrité
propriété de protection de l'exactitude et de l'exhaustivité des actifs
• Disponibilité
propriété d'être accessible et utilisable à la demande par une entité autorisée
• Authenticité
Assurer l‟authenticité de l‟informationtout au long de son cycle de vie.
12 |
Structure de la norme
Définition de la sécurité de l‟information.
La sécurité de l‟informationest définie comme la protection
• de la confidentialité,
• de l‟intégrité et de
• la disponibilité
• de l‟information;
en outre, d‟autres propriétés, telles que
• l‟authenticité,
• l‟imputabilité,
• la non-répudiation et la
• fiabilité,
peuvent également être concernées
(ISO/IEC 27002:2007, 2.5)
13 |
Structure de la norme
Apperçu générale
• Partie Obligatoire
• Definitions
• Modèle de de processus de la sécurité de l‟information
• Modèle PDCA (Etablissement, mise en oeuvre, surveillance, mise à jour et
amélioration)
• Exigences minimales pour la documentation
• Acitivités minimum
• Management risque
• Annexe A: Obligatoire, selection possible
• Articles des mesures / Objectifs de sécurité / Mesures de sécurité
• Description complète des objectifs de sécurité
• La sécurité est optimisé par une sélection des mesures pertinentes.
14 |
Structure de la norme
Differentiation Article / Objectifs / Mesures
• Control Articles
• 11 Articles sont décrites
• Equivalente à des chapitres de la norme
• Exemple: „8 La sécurité dans les ressources humaines “
• Objectifs de sécurité
• 39 Objectifs sont identifiés
• Equivalent a des objectifs de sécurité générique
• Exemple: „8.1 avant recrutement“
• Mesures
• 133 Mesures sont identifiées
• Equivalent à des mesures génériques.
• Exemple: „8.1.1 Roles et responsibilités”
15 |
Structure de la norme
ISO/IEC 27001:2005 Articles de l‟Annexe A
• A.5 Politique de sécurité
• A.6 Organisation de la sécurité de l’information
• A.7 Gestion des actifs
• A.8 Sécurité liée aux ressources humaines
• A.9 Sécurité physique et environnementale
• A.10 Gestion de l’exploitation et des télécommunications
• A.11 Contrôle d'accès
• A.12 Acquisition, développement et maintenance des systèmes d’information
• A.13 Gestion des incidents liés à la sécurité de l’information
• A.14 Gestion de la continuité de l’activité
• A.15 Conformité
16 |
Structure de la norme
Comparaison entre l‟ISO/IEC 17799:2005 et l‟ISO/IEC
27001:2005
ISO/IEC 27002:2007
• 1. Domaine d‟application
• 2. Termes et definitions
• 3. Structure de la norme
• 4. Appréciation et traitement du risque
• 5 Politique de sécurité
• 6 Organisation de la sécurité de l‟information
• 7 Gestion des actifs
• 8 Sécurité liée aux ressources humaines
• 9 Sécurité physique et environnementale
• 10 Gestion de l‟exploitationet des télécommunications
• 11 Contrôle d'accès
• 12 Acquisition, développement et maintenance des
systèmes d‟information
• 14 Gestion de la continuité de l‟activité
• 15 Conformité
ISO/IEC 27001:2005
• 1. Domaine d‟application
• 2. références Normative
• 3. Termes and définitions
• 4. Système de management de la sécurité de l‟Information
• 5. Responsabilité de la direction
• 6. Audit interne du SMSI
• 7. Revue de direction du SMSI
• 8. Amélioration du SMSI
• A.5 Politique de sécurité
• A.6 Organisation de la sécurité de l‟information
• A.7 Gestion des actifs
• A.8 Sécurité liée aux ressources humaines
• A.9 Sécurité physique et environnementale
• A.10 Gestion de l‟exploitationet des télécommunications
• A.11 Contrôle d'accès
• A.12 Acquisition, développement et maintenance des
systèmes d‟information
• 13 Gestion des incidents liés à la sécurité de l‟information • A.13 Gestion des incidents liés à la sécurité de l‟information
• A.14 Gestion de la continuité de l‟activité
• A.15 Conformité
17 |
Structure de la norme
Les SMSI dans l‟organisme (ISO/IEC 27001:2005)
Management - Politiquede sécurité (A.5)
- Organisation de la sécurité de l‟information(A.6)
- Gestion des actifs(A.7)
- Gestion des incidents liés à la sécurité de l‟information(A.13)
- Conformité (A.15)
Processus de gestion - Approche d‟appréciationdu risque (4.2.1 c)
- Gestion de la continuitéde l‟activité(A.14)
Infrastructure /
Environnement
Sécurité physique et
environnementale
(A.9)
Tâches quotidiennes
Gestion de
l‟exploitation et des
télécommunications
(A.10)
Plan / Projets
Acquisition,
développement et
maintenance des
systèmes
d‟information (A.12)
Accès
Contrôle d'accès (A.11)
Ressources humaines
Sécurité liée aux ressources humaines (A.8)
18 |
Structure de la norme
La famille des normes ISO 27000
• ISO 27000 donne un aperçu générale de la famille des normes ISO 27000, non publié
• ISO 27001 décrit les exigences pour un SMSI, cette norme est utilisée comme référentiel
d‟audit
• ISO 27002 décrit les lignes directrice pour la mise en place d‟unSMSI.
• ISO 27003 est un guide pour la mise en place d‟unSMSI, non publié.
• ISO 27004 donne des méthodes pour la mise en place d‟indicateur et méthode de mesure du
SMSI (comment définir et sélectionner des indicateurs et mettre en place des procédures de
surveillance), non publiée
• ISO 27005 explique le processus de management des risques, non publié
• ISO 27006 décrit les exigences applicable au organisme de certification indépendant qui audit
et certifie les systèmes de management de la sécurité de l‟information par rapport à la norme
ISO/IEC 27001:2005. Cette norme est utilisé comme référentiel pour accréditer Organisme de
certification.
• ISO/IEC 17021 est la base de cette norme et l‟ISO/IEC 27006:2007 contient des
exigences additionnelles spécifiques.
• L‟ISO 27006 remplace l‟EA7/03 (Ligne directrice pour l‟accréditations des organisme
de certification opérant dans le domaine du management de la sécurité de
l‟information)
• ISO 27007 décrit les lignes directrices pour l‟audit des Système de Management de la Sécurité
de l‟information), non publié
19 |
Structure of the standard
The relationship between ISO/IEC 27001:2005 and other Standards
• ISO/IEC TR 18044:2004 et la norme qui donne des recommandations pour la
gestion des incidents liés à la sécurité de l‟information, elle donne ainsi des
recommandation pour la mise en œuvre de la mesure décrite au niveau de
l‟annexe A 13 de l
‟ISO/IEC 27001:2005.
• ISO/IEC TR 13335 Technologies de l'information -- Techniques de sécurité --
Gestion de la sécurité des technologies de l'information et des communications --
contenait 5 parties de lignes directrice pour le management de la sécurité IT et a
été développée spécialement pour de larges entreprise.
• ISO/IEC TR 13335:2004 Partie 1: Concepts et modèles pour la gestion de
la sécurité des technologies de l'information et des communications.
• ISO/IEC TR 13335:1997 Partie 2 Management et planning de sécurité IT (norme
Annulée depuis 2008-06-04 )
• ISO/IEC TR 13335:1998 Partie 3: Techniques pour la gestion de sécurité IT (norme
Annulée depuis 2008-06-04 )
• ISO/IEC TR 13335:2000 Partie 4 : Sélection de sauvegardes (norme annulée depuis
le 2008-06-04 )
• ISO/IEC TR 13335:2001 Partie 5: Guide pour la gestion de sécurité du réseau (norme
annulée depuis le 2008-08-19)
Le cadre réglementaire et légale est traité par l‟articleA.15 Conformité.
20 |
Structure de la norme
Déclaration d‟applicabilité
• Définition: déclaration d'applicabilité (DdA) 3.16 ISO 27001
• déclaration documentée décrivant les objectifs de sécurité, ainsi que les mesures
appropriées et applicables au SMSI d'un organisme
• NOTE Les objectifs de sécurité et les mesures de sécurité proprement dites sont
basés sur les résultats et les conclusions des processus de l'appréciation du risque
et de traitement du risque, les exigences légales ou réglementaires, les obligations
contractuelles et les exigences métier de l'organisme, relatives à la sécurité de
l'information devrait être sélectionnées après l‟appréciation du risque et
l‟élaboration du plan de traitement des risques.
• Les mesures ne sont pas exhaustive!
• Un document décrira si une mesure a été sélectionnée ou pas.
• Si une mesure n‟estpas sélectionnée, l‟organisme doit justifier son choix.

Contenu connexe

Similaire à 1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x

526646650-Functional-Safety-Day-1-Training.pptx
526646650-Functional-Safety-Day-1-Training.pptx526646650-Functional-Safety-Day-1-Training.pptx
526646650-Functional-Safety-Day-1-Training.pptx
Wassim Mansour
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
FootballLovers9
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
presentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacepresentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernace
ssuserc72852
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
InformatiqueL22022
 
ISO 27001
ISO 27001ISO 27001
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
AdemKorani
 
Cobit
Cobit Cobit
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Plaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LIPlaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LI
SERGE ROMARIC BASSOMO
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
Abdeljalil AGNAOU
 
Comment Microsoft gère la sécurité de ses offres de Cloud public
Comment Microsoft gère la sécurité de ses offres de Cloud publicComment Microsoft gère la sécurité de ses offres de Cloud public
Comment Microsoft gère la sécurité de ses offres de Cloud public
Microsoft
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 
SMSSI ITIL
SMSSI  ITILSMSSI  ITIL
SMSSI ITILchammem
 

Similaire à 1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x (20)

526646650-Functional-Safety-Day-1-Training.pptx
526646650-Functional-Safety-Day-1-Training.pptx526646650-Functional-Safety-Day-1-Training.pptx
526646650-Functional-Safety-Day-1-Training.pptx
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
presentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacepresentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernace
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
Cobit
Cobit Cobit
Cobit
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Plaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LIPlaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LI
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
Comment Microsoft gère la sécurité de ses offres de Cloud public
Comment Microsoft gère la sécurité de ses offres de Cloud publicComment Microsoft gère la sécurité de ses offres de Cloud public
Comment Microsoft gère la sécurité de ses offres de Cloud public
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
SMSSI ITIL
SMSSI  ITILSMSSI  ITIL
SMSSI ITIL
 

Dernier

Iris van Herpen. pptx
Iris            van        Herpen.     pptxIris            van        Herpen.     pptx
Iris van Herpen. pptx
Txaruka
 
Burkina Faso library newsletter May 2024
Burkina Faso library newsletter May 2024Burkina Faso library newsletter May 2024
Burkina Faso library newsletter May 2024
Friends of African Village Libraries
 
Edito-B1-francais Manuel to learning.pdf
Edito-B1-francais Manuel to learning.pdfEdito-B1-francais Manuel to learning.pdf
Edito-B1-francais Manuel to learning.pdf
WarlockeTamagafk
 
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...
M2i Formation
 
Cycle de Formation Théâtrale 2024 / 2025
Cycle de Formation Théâtrale 2024 / 2025Cycle de Formation Théâtrale 2024 / 2025
Cycle de Formation Théâtrale 2024 / 2025
Billy DEYLORD
 
Iris van Herpen. pptx
Iris         van        Herpen.      pptxIris         van        Herpen.      pptx
Iris van Herpen. pptx
Txaruka
 
Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...
Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...
Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...
cristionobedi
 
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24Newsletter SPW Agriculture en province du Luxembourg du 12-06-24
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24
BenotGeorges3
 
Iris van Herpen. pptx
Iris         van         Herpen.      pptxIris         van         Herpen.      pptx
Iris van Herpen. pptx
Txaruka
 
Procédure consignation Lock Out Tag Out.pptx
Procédure consignation  Lock Out Tag Out.pptxProcédure consignation  Lock Out Tag Out.pptx
Procédure consignation Lock Out Tag Out.pptx
caggoune66
 
Conseils pour Les Jeunes | Conseils de La Vie| Conseil de La Jeunesse
Conseils pour Les Jeunes | Conseils de La Vie| Conseil de La JeunesseConseils pour Les Jeunes | Conseils de La Vie| Conseil de La Jeunesse
Conseils pour Les Jeunes | Conseils de La Vie| Conseil de La Jeunesse
Oscar Smith
 

Dernier (11)

Iris van Herpen. pptx
Iris            van        Herpen.     pptxIris            van        Herpen.     pptx
Iris van Herpen. pptx
 
Burkina Faso library newsletter May 2024
Burkina Faso library newsletter May 2024Burkina Faso library newsletter May 2024
Burkina Faso library newsletter May 2024
 
Edito-B1-francais Manuel to learning.pdf
Edito-B1-francais Manuel to learning.pdfEdito-B1-francais Manuel to learning.pdf
Edito-B1-francais Manuel to learning.pdf
 
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...
Formation M2i - Onboarding réussi - les clés pour intégrer efficacement vos n...
 
Cycle de Formation Théâtrale 2024 / 2025
Cycle de Formation Théâtrale 2024 / 2025Cycle de Formation Théâtrale 2024 / 2025
Cycle de Formation Théâtrale 2024 / 2025
 
Iris van Herpen. pptx
Iris         van        Herpen.      pptxIris         van        Herpen.      pptx
Iris van Herpen. pptx
 
Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...
Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...
Formation Intelligence Artificielle pour dirigeants- IT6-DIGITALIX 24_opt OK_...
 
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24Newsletter SPW Agriculture en province du Luxembourg du 12-06-24
Newsletter SPW Agriculture en province du Luxembourg du 12-06-24
 
Iris van Herpen. pptx
Iris         van         Herpen.      pptxIris         van         Herpen.      pptx
Iris van Herpen. pptx
 
Procédure consignation Lock Out Tag Out.pptx
Procédure consignation  Lock Out Tag Out.pptxProcédure consignation  Lock Out Tag Out.pptx
Procédure consignation Lock Out Tag Out.pptx
 
Conseils pour Les Jeunes | Conseils de La Vie| Conseil de La Jeunesse
Conseils pour Les Jeunes | Conseils de La Vie| Conseil de La JeunesseConseils pour Les Jeunes | Conseils de La Vie| Conseil de La Jeunesse
Conseils pour Les Jeunes | Conseils de La Vie| Conseil de La Jeunesse
 

1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x

  • 1. 1 | Sommaire • Introduction à la norme • Structure de la norme
  • 2. 2 | Sommaire • Introduction à la norme • Les avantage de le norme ISO/IEC 27001:2005 • Quelques chiffres • Les normes ISO/IEC 27002:2007 et ISO/IEC 27001:2005 • Evolution de la norme
  • 3. 3 | Introduction à la norme Les normes ISO/IEC 27001:2005 et ISO/IEC 27002:2007 • La famille des normes ISO/IEC 27000, relative au management de la sécurité des système de management est composée de plusieurs normes. Ils décrivent des éxigences et une multitude de méthode et mesures de sécurité. • ISO/IEC 27001:2005 („Technologies de l'information -Techniques de sécurité - Systèmes de gestion de la sécurité de l'information“) décrit les exigences pour la mise en place et documentation d‟unsystème de management de la sécurité de l‟information. Elle est utilisée comme critère dans le cadre des audit de certification des Système de Management de la Sécurité de l‟information. • ISO/IEC 27002:2007 („ Technologies de l'information -Techniques de sécurité - Lignes directrices pour le management de la sécurité de l‟information“) est une document de référence qui décrit mesure et recommandation relatives à un système de management de la sécurité de l‟information(SMSI). Elle intègre également des instructions pour la mise en place, le contenu de cette norme correspond au contenu du standard britanique BS 7799-1. Cette norme a été optimisée et complétée par l‟organisme.. General - scope
  • 4. 4 | Introduction à la norme Advantage de l„ISO/IEC 27001:2005 • Evaluation des processus de l‟organisme en tenant compte de la sécurité de l‟information. • La sécurité de l‟informationdevient une partie intégrant du management de l‟entreprise. • Compréhension et maîtrise des risques, des risques résiduels. • La sécurité par rapport au maintien de la continuité de fonctionnement devient prioritaire. Gestion de la continuité de l‟activité • La documentation de la structure de l‟informationet des processus de gestion de l‟information. • Sensibilisation et implication du personnel General - scope
  • 5. 5 | Introduction à la norme Advantage de l„ISO/IEC 27001:2005 • Avantage compétitif à travers la certification • Norme à reconnaissance internationnale • Réduction des frais d‟assurance • Structure et sécurité bien définie  Réduction des coût! • ITIL (Management Service Information) Fait référence à l‟ISO27001 (BS 7799). • Plus de 3500 Certification enregistrée dans le monde(Etat : Juin 2007) General - scope
  • 6. 6 | Introduction into the standard Evolution de la norme BS 7799 Part One Fevrier 1995 BS 7799 Part Two Fevrier 1998 ISO/IEC 17799:2000 BS 7799-2:2002 ISO/IEC 17799:2005 ISO/IEC 27001:2005 ISO/IEC 27002:2007 Implémentation Vérification
  • 7. 7 | Content • Introduction à la norme • Structure de la norme
  • 8. 8 | Content • Structure of the standard • Definitions • Sommaire • Differentiation entre Article / Objectifs / mesures • Comparaison entre l‟IEC27002:2007 et l‟ISO/IEC27001:2005 • Annex A : Objectifs de sécurité et mesures de sécurité • La famille des normes ISO 27000 • La relation entre l‟ISO/IEC27001:2005 et les autres normes
  • 9. 9 | Structure de la norme Definition information “L‟informationest un actif, comme tout autre actif qui a une valeur pour l‟organisation, il necessite en conséquence une protection appropriée”. (ISO/IEC 27002:2007)
  • 10. 10 | Structure de la norme Information en tant qu‟avoir • L‟informationest considérée parmis les actifs de l‟organisation. • Prise en compte de tout type d‟information: • Imprimé • Ecrite à main levée • Sauvegardé à un niveau electronique • Transmise par mail ou de manière electronique • Communiquée par vidéo ou de manière verbale • etc.
  • 11. 11 | Structure de la norme Définition • Sécurité de l'information protection de la confidentialité, de l‟intégrité et de la disponibilité de l‟information; en outre, d‟autres propriétés, telles que l‟authenticité, l‟imputabilité, la non- répudiation et la fiabilité, peuvent également être concernées • confidentialité propriété selon laquelle l'information n'est pas rendue accessible ou divulguée à des personnes, entités ou processus non autorisés • Intégrité propriété de protection de l'exactitude et de l'exhaustivité des actifs • Disponibilité propriété d'être accessible et utilisable à la demande par une entité autorisée • Authenticité Assurer l‟authenticité de l‟informationtout au long de son cycle de vie.
  • 12. 12 | Structure de la norme Définition de la sécurité de l‟information. La sécurité de l‟informationest définie comme la protection • de la confidentialité, • de l‟intégrité et de • la disponibilité • de l‟information; en outre, d‟autres propriétés, telles que • l‟authenticité, • l‟imputabilité, • la non-répudiation et la • fiabilité, peuvent également être concernées (ISO/IEC 27002:2007, 2.5)
  • 13. 13 | Structure de la norme Apperçu générale • Partie Obligatoire • Definitions • Modèle de de processus de la sécurité de l‟information • Modèle PDCA (Etablissement, mise en oeuvre, surveillance, mise à jour et amélioration) • Exigences minimales pour la documentation • Acitivités minimum • Management risque • Annexe A: Obligatoire, selection possible • Articles des mesures / Objectifs de sécurité / Mesures de sécurité • Description complète des objectifs de sécurité • La sécurité est optimisé par une sélection des mesures pertinentes.
  • 14. 14 | Structure de la norme Differentiation Article / Objectifs / Mesures • Control Articles • 11 Articles sont décrites • Equivalente à des chapitres de la norme • Exemple: „8 La sécurité dans les ressources humaines “ • Objectifs de sécurité • 39 Objectifs sont identifiés • Equivalent a des objectifs de sécurité générique • Exemple: „8.1 avant recrutement“ • Mesures • 133 Mesures sont identifiées • Equivalent à des mesures génériques. • Exemple: „8.1.1 Roles et responsibilités”
  • 15. 15 | Structure de la norme ISO/IEC 27001:2005 Articles de l‟Annexe A • A.5 Politique de sécurité • A.6 Organisation de la sécurité de l’information • A.7 Gestion des actifs • A.8 Sécurité liée aux ressources humaines • A.9 Sécurité physique et environnementale • A.10 Gestion de l’exploitation et des télécommunications • A.11 Contrôle d'accès • A.12 Acquisition, développement et maintenance des systèmes d’information • A.13 Gestion des incidents liés à la sécurité de l’information • A.14 Gestion de la continuité de l’activité • A.15 Conformité
  • 16. 16 | Structure de la norme Comparaison entre l‟ISO/IEC 17799:2005 et l‟ISO/IEC 27001:2005 ISO/IEC 27002:2007 • 1. Domaine d‟application • 2. Termes et definitions • 3. Structure de la norme • 4. Appréciation et traitement du risque • 5 Politique de sécurité • 6 Organisation de la sécurité de l‟information • 7 Gestion des actifs • 8 Sécurité liée aux ressources humaines • 9 Sécurité physique et environnementale • 10 Gestion de l‟exploitationet des télécommunications • 11 Contrôle d'accès • 12 Acquisition, développement et maintenance des systèmes d‟information • 14 Gestion de la continuité de l‟activité • 15 Conformité ISO/IEC 27001:2005 • 1. Domaine d‟application • 2. références Normative • 3. Termes and définitions • 4. Système de management de la sécurité de l‟Information • 5. Responsabilité de la direction • 6. Audit interne du SMSI • 7. Revue de direction du SMSI • 8. Amélioration du SMSI • A.5 Politique de sécurité • A.6 Organisation de la sécurité de l‟information • A.7 Gestion des actifs • A.8 Sécurité liée aux ressources humaines • A.9 Sécurité physique et environnementale • A.10 Gestion de l‟exploitationet des télécommunications • A.11 Contrôle d'accès • A.12 Acquisition, développement et maintenance des systèmes d‟information • 13 Gestion des incidents liés à la sécurité de l‟information • A.13 Gestion des incidents liés à la sécurité de l‟information • A.14 Gestion de la continuité de l‟activité • A.15 Conformité
  • 17. 17 | Structure de la norme Les SMSI dans l‟organisme (ISO/IEC 27001:2005) Management - Politiquede sécurité (A.5) - Organisation de la sécurité de l‟information(A.6) - Gestion des actifs(A.7) - Gestion des incidents liés à la sécurité de l‟information(A.13) - Conformité (A.15) Processus de gestion - Approche d‟appréciationdu risque (4.2.1 c) - Gestion de la continuitéde l‟activité(A.14) Infrastructure / Environnement Sécurité physique et environnementale (A.9) Tâches quotidiennes Gestion de l‟exploitation et des télécommunications (A.10) Plan / Projets Acquisition, développement et maintenance des systèmes d‟information (A.12) Accès Contrôle d'accès (A.11) Ressources humaines Sécurité liée aux ressources humaines (A.8)
  • 18. 18 | Structure de la norme La famille des normes ISO 27000 • ISO 27000 donne un aperçu générale de la famille des normes ISO 27000, non publié • ISO 27001 décrit les exigences pour un SMSI, cette norme est utilisée comme référentiel d‟audit • ISO 27002 décrit les lignes directrice pour la mise en place d‟unSMSI. • ISO 27003 est un guide pour la mise en place d‟unSMSI, non publié. • ISO 27004 donne des méthodes pour la mise en place d‟indicateur et méthode de mesure du SMSI (comment définir et sélectionner des indicateurs et mettre en place des procédures de surveillance), non publiée • ISO 27005 explique le processus de management des risques, non publié • ISO 27006 décrit les exigences applicable au organisme de certification indépendant qui audit et certifie les systèmes de management de la sécurité de l‟information par rapport à la norme ISO/IEC 27001:2005. Cette norme est utilisé comme référentiel pour accréditer Organisme de certification. • ISO/IEC 17021 est la base de cette norme et l‟ISO/IEC 27006:2007 contient des exigences additionnelles spécifiques. • L‟ISO 27006 remplace l‟EA7/03 (Ligne directrice pour l‟accréditations des organisme de certification opérant dans le domaine du management de la sécurité de l‟information) • ISO 27007 décrit les lignes directrices pour l‟audit des Système de Management de la Sécurité de l‟information), non publié
  • 19. 19 | Structure of the standard The relationship between ISO/IEC 27001:2005 and other Standards • ISO/IEC TR 18044:2004 et la norme qui donne des recommandations pour la gestion des incidents liés à la sécurité de l‟information, elle donne ainsi des recommandation pour la mise en œuvre de la mesure décrite au niveau de l‟annexe A 13 de l ‟ISO/IEC 27001:2005. • ISO/IEC TR 13335 Technologies de l'information -- Techniques de sécurité -- Gestion de la sécurité des technologies de l'information et des communications -- contenait 5 parties de lignes directrice pour le management de la sécurité IT et a été développée spécialement pour de larges entreprise. • ISO/IEC TR 13335:2004 Partie 1: Concepts et modèles pour la gestion de la sécurité des technologies de l'information et des communications. • ISO/IEC TR 13335:1997 Partie 2 Management et planning de sécurité IT (norme Annulée depuis 2008-06-04 ) • ISO/IEC TR 13335:1998 Partie 3: Techniques pour la gestion de sécurité IT (norme Annulée depuis 2008-06-04 ) • ISO/IEC TR 13335:2000 Partie 4 : Sélection de sauvegardes (norme annulée depuis le 2008-06-04 ) • ISO/IEC TR 13335:2001 Partie 5: Guide pour la gestion de sécurité du réseau (norme annulée depuis le 2008-08-19) Le cadre réglementaire et légale est traité par l‟articleA.15 Conformité.
  • 20. 20 | Structure de la norme Déclaration d‟applicabilité • Définition: déclaration d'applicabilité (DdA) 3.16 ISO 27001 • déclaration documentée décrivant les objectifs de sécurité, ainsi que les mesures appropriées et applicables au SMSI d'un organisme • NOTE Les objectifs de sécurité et les mesures de sécurité proprement dites sont basés sur les résultats et les conclusions des processus de l'appréciation du risque et de traitement du risque, les exigences légales ou réglementaires, les obligations contractuelles et les exigences métier de l'organisme, relatives à la sécurité de l'information devrait être sélectionnées après l‟appréciation du risque et l‟élaboration du plan de traitement des risques. • Les mesures ne sont pas exhaustive! • Un document décrira si une mesure a été sélectionnée ou pas. • Si une mesure n‟estpas sélectionnée, l‟organisme doit justifier son choix.