Professional Documents
Culture Documents
scurit informatique, permet de raliser des changements progressifs et continus partir dun point ou
objectif de dpart. Celuicipeut tre llment du systme dinformation qui a t dfini, aprs un tat des
lieux, comme le plus
critique ou le plus urgent traiter ou encore le plus facile mettre en oeuvre.
Elle est, loppos des changements brutaux ou pris dans lurgence, toujours dlicate mettre en oeuvre et
parfois
source de dysfonctionnements.
3. La norme ISO 20000
Cette norme, dcompose en ISO 20001,ISO 20002, sappuie sur les bonnes pratiques ITIL (Information
Technology Infrastructure Library) et comprend un ensemble de bonnes pratiques en matire de gestion des
services informatiques. Elle prend comme principe la roue de Deming ou PDCA (PlanDoCheckAct)
et sinscrit dans un processus de formalisation de normes de qualit (ISO 9000) ou de scurit des systmes
dinformation (ISO 27001). Il sagit dun systme de gestion complmentaire avec une architecture identique
compos dun guide de bonnes pratiques (ISO200002). Ce systme complte la norme ISO 20000-1.
4. La norme ISO 27001 et le systme de gestion de la scurit informatique
La srie des normes ISO 27000 est compose des lments suivants :
ISO 27000 Vocabulaire et dfinitions. ISO 27001 La norme principale des besoins en systme de gestion de la
scurit de linformation, plus connue sous la forme BS77992.
Elle correspond au principe de certification des organisations. ISO 27002 (connue sous la forme ISO 17799)
Il sagit de la description des bonnes pratiques dcrivant les principaux objectifs de contrle de lensemble
de la scurit de linformation.ISO 27003 Comprend le guide dimplmentation dtaill relatif ladoption
de la srie complte de la norme ISO 27000. ISO 27004 Contient la norme qui dfinit les principes
dvaluation de ce qui a t implment dans le cadre de la gestion de la
scurit de linformation pour mesurer lefficacit du systme de gestion de la scurit mis en place.
ISO 27005
Contient la norme de gestion du risque dans le cadre de la scurit de linformation. Il remplace la norme BS
77993.
Lobjectif de cette norme consiste tablir un systme de gestion de la scurit de linformation, cestdire
dfinir et
identifier tous les actifs, mettre en place toutes les mesures adquates pour protger les donnes de
lentreprise. Elle
donne une ide sur les bonnes pratiques utiliser par une approche base sur des procdures et des
processus.
Elle constitue un bon moyen dorganiser et de structurer la politique de scurit informatique dans
lentreprise. Elle
formalise :
l lamlioration continue,
l les audits internes,
l lapprciation des risques,
l le traitement des incidents,
l les indicateurs.
Les domaines et normes associs
La mise en oeuvre de solutions de protection et de scurit requiert de prendre des rfrences par rapport des
normes ou des prconisations.
1. Les bonnes pratiques ITIL (Information Technology Infrastructure Library)
ITIL se compose dun ensemble de livres qui liste, condense et prsente les meilleures pratiques utiliser dans le
cadre de lensemble des services informatiques ddis une entreprise. Elle se dcline en plusieurs versions depuis
ses origines. La plus rcente est la version N3.
La mthodologie dcrite en version 2 est compose des processus suivants :
Service Support Support
des Services, il sagit de la gestion oprationnelle des services. Il comprend les thmes
suivants :
l Centre de Services (Service Desk)