Professional Documents
Culture Documents
Alexandre Fernandez
Herv Schauer
<Herve.Schauer@hsc.fr>
Sommaire
Systme de management
Concept populaire et enseign
SMSI : Systme de Management de la Scurit de
l'Information
Apparition des normes
Ensemble des normes ISO 27001
ISO 27001, ISO 27002, ISO 27000, ISO 27003 ... ISO 27007
www.hsc.fr
Situation
actuelle
3 / 48
Politique
Objectifs
1/5
2/5
Permettant
Datteindre un objectif
Une fois atteint, dy rester dans la dure
Mesures
techniques
Situation
actuelle
Politique
Objectifs
Mesures
organisationnelles
4 / 48
3/5
Organisation
Systme de Management
Plan
Exigences
Satisfaction
Action
Correction
Do
Act
Vrification
Check
5 / 48
Parties prenantes
Parties prenantes
Planification
4/5
Sont auditables
Quelquun peut venir vrifier quil ny a pas dcart entre le systme de
management et les rfrentiels
6 / 48
7 / 48
5/5
Reproduit avec
l'autorisation du
Groupe Hamelin
8 / 48
1/2
Reproduit
avec
l'autorisation
du Groupe
Hamelin
9 / 48
2/2
SMSI
SMSI (IS 27001 3.7)
Systme de Management de la Scurit de lInformation
SGSI
Systme de Gestion de la Scurit de lInformation
SGSSI
Systme de Gestion de la Scurit des Systmes d'Information
SGSI (UNE71502)
Sistema de Gestin de la Seguridad de la Informacin
10 / 48
2005
ISO 27001
SMSI
2007
ISO 27006
Certification de SMSI
2008 ou 2009
ISO 27000
ISO 27007
Guides
Vocabulaire
Audit de SMSI
usage facultatif
2005
ISO 27002
(17799)
ISO 27001
Mesures de scurit
2008 ou 2009
ISO 27003
Implmentation
12 / 48
2007 ou 2008
ISO 27005
Gestion de risque
2008
ISO 27004
Indicateurs SMSI
ISO 27001
1/10
4 chapitres
introductifs : 0 3
6: Audits
internes du SMSI
5 chapitres
respecter : 4 8
5: Engagement
et responsabilit
de la direction
4: SMSI
PDCA
Annexe A
Mesures de
scurit
Mesures qui sont
dcrites en dtail
dans ISO 27002
13 / 48
7: Rexamen
du SMSI par
la direction
8: Amlioration
du SMSI
ISO 27001
Tout types d'organismes viss (IS 27001 1.1):
Socits commerciales
Agences gouvernementales
Associations, ONG
14 / 48
2/10
ISO 27001
3/10
Un SMSI document
ISO 27001
Ceci doit fournir (1.1):
Une protection des actifs dinformation (information assets)
Patrimoine informationel
Biens sensibles
16 / 48
4/10
ISO 27001
5/10
17 / 48
ISO 27001
Attentes et
exigences
en terme de
scurit
Partenaires
Plan
Pouvoirs
publics
Services
18 / 48
Action
Fournisseurs
Correction
Do
Scurit
effective
fournie
Partenaires
Planification
Fournisseurs
Clients
6/10
Act
Vrification
Check
Clients
Pouvoirs
publics
Services
ISO 27001
7/10
(4.2.1.g)
19 / 48
ISO 27001
8/10
Phase DO (4.2.2)
Allocation et gestion de ressources
ISO 27001
Phase CHECK (4.2.3)
Vrification de routine (4.2.3.b)
Apprendre des autres (4.2.3.b)
Audit du SMSI (4.2.3.e)
Audits rguliers
Sur la base de
Documents
Traces ou enregistrements
Tests techniques
Conduit
Constatation que les mesures de scurit ne rduisent pas de faon
effective les risques pour lesquels elles ont t mises en place
Identification de nouveaux risques non traits
Tout autre type d'inadaptation de ce qui est mis en place
21 / 48
9/10
ISO 27001
10/10
22 / 48
ISO 27002
1/3
11 chapitres
39 objectifs de scurit
(control objectives)
133 mesures de
scurit (security
controls)
5: Politique
du SMSI
6: Scurit
organisationelle
7: Classification et
contrle des actifs 15 Conformit
8: Scurit du personnel
14: Gestion de
la continuit
13: Gestion des
incidents
12: Maintenance et
dveloppement
23 / 48
9: Scurit physique et
environnementale
11: Contrle
d'accs
ISO 27002
2/3
ISO 27002
(anciennement ISO 17799)
Articles
ou Clauses
ET
Mesures de scurit
Controls
(Annexe A)
25 / 48
Description
dtaille
des
mesures de
scurit
3/3
26 / 48
ISO 27004
1/2
ISO 27004
Mesure
Rfrence
Clause ou Mesure de scurit
Type
Mesure de base / drive
Objectif
Formule de calcul
Valeur
Domaine de dfinition
Procdure de production
Personnes concernes
Cycle de vie
Objet concern
0 < X < 0,79 : Non satisfaisant
0,80 < X < 1 : Satisfaisant
Si, la fin de second semestre X < 0,80, alors une action corrective risque d'tre ncessaire et
communique au management du SMSI.
Critres de dcision
Indicateur
28 / 48
Si, la fin de l'anne X est on satisfaisant, la direction gnrale doit en tre informe et on doit lui
demander son soutien
Effets / Impact
Causes d'cart
Valeurs positives
Format de rapport
Remarques
Non-conformit du SMSI.
Pas de garantie que le processus de revue du SMSI fonctionne bien
Budjet insuffisant
Planification incorrecte
Manque d'engagement du personnel concern
Des valeurs en augmentatin indiquent des valeurs positives
Barres
2/2
ISO 27005
1/10
ISO 27005
ISO 27005
64 pages
28 pages normatives, chap 1 12
36 pages d'annexes A E
29 / 48
ISO 27005
Historique
Managing and
planning IT security
ISO TR 13335-2
2/10
Techniques for the
management IT security
Selection of safeguards
ISO 1335-2
Information security
risk management
ISO TR 1335-3
ISO TR 1335-4
ISO 27005
1998 et 2000
1992 ...1997
2006
1985..1988..1991..1996
PD 3002
BS7799-3
CRAMM
Guide to BS7799
Risk Assessment
EBIOS
fin 2007
ou 2008
ISO 27005
3/10
31 / 48
ISO 27005
4/10
32 / 48
5/10
33 / 48
6/10
Surveiller et rexaminer
les rsultats, l'efficacit et
l'efficience du processus Check
34 / 48
7/10
Apprciation du risque
(risk assessment)
Apprciation
satisfaisante ?
oui
Traitement du risque
(risk treatment)
non
ISO 27005
8/10
Apprciation du risque
(risk assessment)
Apprciation
Incapacit du management de se satisfaisante ?
oui
prononcer sur l'approbation des
risques rsiduels sans connatre
Traitement du
d'abord les cots associs
non
risque
(risk treatment)
ISO 27005
9/10
n 2
Risque acceptable ?
Communication la
hirarchie et aux quipes
oprationnelles chaque
tape
Risque identifi utile
immdiatement la
gestion des incidents
38 / 48
Communication du risque
Etablissement du contexte
Apprciation du risque
Analyse de risque
Identification du risque
Estimation du risque
Evaluation du risque
Apprciation
satisfaisante ?
oui
Traitement du risque
Risque
acceptable ?
oui
non
Traitement du risque
n 1
10/10
39 / 48
1/5
41 / 48
2/5
43 / 48
3/5
44 / 48
4/5
45 / 48
5/5
Processus de certification
t
i
lid cat
a
V rtifi
ce
du
Partie
prenante
du Pu
ce blic
rtif it
ica
t
46 / 48
Organisme
de certification
su
Dlivrance
du
certificat
Organisation
No
mi
SMSI
ts
d'a
ud
na
Demande
de
certification
lta
tio
it
Equipe
d'audit
e
d
t
i on
d
Au icati
rtif
ce
Schma de certification
Autorit
d'accrditation
Accrdite
Organisme
de certification
Certifie
Organisation souhaitant
tre certifie
47 / 48
Conclusion
ISO 27001 : approche adopte universellement
Aucune concurrence
Complmentarit avec les autres rfrentiels
ITIL / ISO 20000 appliqu par les directions informatiques
Questions ?
Herve.Schauer@hsc.fr
www.hsc.fr
48 / 48