 |
Avant-propos
ISO 27000 est une norme internationale dédiée à la sécurité
informatique. Tournée résolument vers des entreprises et organisations de taille moyennes
voire petites, Eox Partners ne se situe en aucun cas dans une démarche –toujours lourde- de
certification, mais utilise en revanche ce standard universel comme un référentiel de bonnes
pratiques dont les principes sont adaptés à la taille de nos Clients.
La série ISO 27000
ISO 27xxx représente en faite une famille complète de normes encore en cours
d’élaboration
Sont actuellement publiés :
- ISO 27000 (paru en 2009) Vue d'ensemble et vocabulaire
- ISO 27001 (paru en 2005) définit les exigences de gestion d’un Système de Management de la Sécurité de l’Information (encore abrégé SMSI)
- ISO 27002 (paru en 2005), anciennement 17799) est un guide de bonnes pratiques pour la gestion de la sécurité de l’information C’est sur cette norme que s’appuie notre Audit Flash de Sécurité
- ISO 27003 (paru en 2010), guide d’implémentation du SMSI
- ISO 27004 (paru en 2009), présente les métriques et métrages pour le mesurage d'un SMSI
- ISO 27005 (paru en 2008), est un code de bonnes pratiques pour les objectifs et mesures de sécurité de l’information;
- ISO 27006 (paru en 2007) définit la norme de certification du SMSI mentionné plus haut.
A venir :
- ISO 27007 (2010/2011) audit du SMSI
ISO 27001
La norme s’appuie sur le processus « PDCA » de la roue de Deming ou de Shewhart que
l’on retrouve notamment dans la norme de qualité ISO9001.

Ce schéma illustre bien qu’assurer la Sécurité du Système
d’Information est un processus itératif et indéfini, dont on privilégie
hélas trop souvent le « DO » au détriment des 3 autres phases !
ISO 27002
Anciennement ISO 17799, révisée en 2005, ISO 27002 est un guide de bonnes pratiques pour
la gestion de la sécurité de l’information qui peut représenter un
intérêt pour tout type d’organisation (entreprise, corps gouvernementaux…)
quelque soit sa taille ou son secteur d’activité.
Selon ISO, cette norme a pour objectif de :
« Donner des recommandations pour gérer la sécurité de l’information
à l’intention de ceux qui sont responsables de définir, d’implémenter ou
de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une
base commune de développement de normes de sécurité organisationnelle et de pratiques
efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les
relations interentreprises. » qui peut représenter un intérêt pour
tout type d’organisation (entreprise, corps gouvernementaux…) quelque soit sa taille
ou son secteur d’activité.
Concrètement, ISO 27002 se décline en 11 thèmes :
- La politique de sécurité
- L’organisation de la sécurité de l’information
- La gestion des actifs
- La sécurité des ressources humaines
- La sécurité physique et environnementale
- La gestion de la communication et de l’exploitation
- Les contrôles d’accès
- L’acquisition, le développement et la maintenance des systèmes d’information
- La gestion des incidents de sécurité de l’information
- La gestion de la continuité des affaires
- La conformité
Contrairement à ISO 27001, ISO 27002 ne peut être utilisée pour une certification
formelle, mais constitue en revanche un excellent référentiel pour l’audit et la mise
en conformité.
Qu’est-ce qu’un SMSI ?
Le système de management de la sécurité de l’information (SMSI, SGSI ou ISMS en
Anglais) est une partie du système de gestion global de l’entreprise. Il repose sur une
gestion des risques d’affaires relatifs à l’information.
Le concept phare du SMSI est d’établir, d’implémenter et de maintenir un ensemble
de processus de gestion pour une sécurité de l’information effective.
Le SMSI assure la confidentialité, l’intégrité et la disponibilité
de l’information grâce à des politiques, des objectifs, des processus et des
procédures.
Avant tout enjeu de gestion, avant d’être un enjeu technique ou relatif aux technologies de
l’information, il est préférable que le SMSI soit fortement ancré dans
l’entreprise et dans sa culture.
Enfin, comme tout processus de gestion, il doit, pour rester efficace et efficient sur le long terme,
être évalué et révisé régulièrement. C’est
l’objet du modèle PDCA proposé par ISO 27001.
|
 |