Cfssi Iso27 Intro

HERV SCHAUER CONSULTANTS
Cabinet de Consultants en Scurit Informatique depuis 1989

Spcialis sur Unix, Windows, TCP/IP et Internet
Normes ISO 27001

DCSSI/CFSSI
28 mars 2007
Alexandre Fernandez
Herv Schauer
<Herve.Schauer@hsc.fr>
Sommaire
Systme de management
Concept populaire et enseign
SMSI : Systme de Management de la Scurit de
l'Information
Apparition des normes
Ensemble des normes ISO 27001
ISO 27001, ISO 27002, ISO 27000, ISO 27003 ... ISO 27007
Usages des normes

Certification
Conclusion
2 / 48
Les transparents seront

disponibles sur
www.hsc.fr
Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite
Systme de management : dfinition

Dfinition formelle de lISO 9000
Cest un systme permettant :
Dtablir une politique
Dtablir des objectifs
Datteindre ces objectifs
Situation
actuelle
3 / 48
Politique
Objectifs
1/5
Systme de management : dfinition
2/5
Dfinition plus empirique

Ensemble de mesures
Organisationnelles
Techniques
Permettant
Datteindre un objectif
Une fois atteint, dy rester dans la dure
Mesures
techniques
Situation
actuelle
Politique
Objectifs
Mesures
organisationnelles
4 / 48
Systme de management : PDCA
3/5
Organisation
Systme de Management
Plan
Exigences
Satisfaction
Action
Correction
Do
Act
Vrification
Check
5 / 48
Parties prenantes
Parties prenantes
Planification
Systme de management : proprits
4/5
Proprits des systmes de management

Couvrent un large spectre de mtiers et de comptences
Concernent tout le monde
De la direction gnrale
Jusquen bas de lchelle
Se basent sur des rfrentiels prcis

Importance du document crit
Sont auditables
Quelquun peut venir vrifier quil ny a pas dcart entre le systme de
management et les rfrentiels
6 / 48
Systme de management : apports

Apports dun systme de management
Oblige adopter de bonnes pratiques
Minimum
Oblige s'amliorer dans le temps

Augmente donc la fiabilit de lorganisme dans la dure
De faon prenne
Comme un systme de management est auditable

Il apporte la confiance aux parties prenantes
Qui dit confiance dit business
7 / 48
5/5

Exemple :
cahiers
Oxford
Etudiant
la spirale de
l'excellence
Reproduit avec
l'autorisation du
Groupe Hamelin
8 / 48
1/2

Rappell aux lves de manire didactique :
PDCA pour travailler en cours
Reproduit
avec
l'autorisation
du Groupe
Hamelin
9 / 48
2/2
SMSI
SMSI (IS 27001 3.7)
Systme de Management de la Scurit de lInformation
SGSI
Systme de Gestion de la Scurit de lInformation
SGSSI
Systme de Gestion de la Scurit des Systmes d'Information
ISMS (IS 27001 3.7)

Information Security Management System
SGSI (UNE71502)
Sistema de Gestin de la Seguridad de la Informacin
10 / 48
Apparition des normes

Journal officiel de l'Union europenne du 25/03/2005, l'annexe
du rglement (CE) n 1663/95 est modifie comme suit :
http://europa.eu.int/smartapi/cgi/sga_doc?smartapi!celexplus!pro
d!CELEXnumdoc&numdoc=32005R0465&lg=fr
6 vi) la scurit des systmes d'information se fonde sur les critres

tablis dans une version applicable, pour l'exercice financier concern,
de l'une des normes reconnues sur le plan international ci-aprs :
- Norme 17799 de l'ISO / Norme britannique BS7799
- BSI (systme de scurit allemand)
- ISACA COBIT
Appel d'offre du dossier mdical personnel, 28/07/2005,

annexe "Scurit"
http://www.dmp.org/docs/annexes.pdf
La prsente annexe dfini les objectifs de scurit et les exigences

fonctionnelles de scurit que les hbergeurs de DMP devront
respecter. Elle s'appuie en particuliers sur la norme ISO17799:2005 et
la future norme ISO27001 (base sur la BS7799-2:2002).
11 / 48
Ensemble des normes ISO27001

Exigences
usage obligatoire
dans la certification
2005
ISO 27001
SMSI
2007
ISO 27006
Certification de SMSI
2008 ou 2009
ISO 27000
ISO 27007
Guides
Vocabulaire
Audit de SMSI
usage facultatif
2005
ISO 27002
(17799)
ISO 27001
Mesures de scurit
2008 ou 2009
ISO 27003
Implmentation
12 / 48
2007 ou 2008
ISO 27005
Gestion de risque
2008
ISO 27004
Indicateurs SMSI
ISO 27001
1/10
4 chapitres
introductifs : 0 3
6: Audits
internes du SMSI
5 chapitres
respecter : 4 8
5: Engagement
et responsabilit
de la direction
4: SMSI
PDCA
Annexe A
Mesures de
scurit
Mesures qui sont
dcrites en dtail
dans ISO 27002
13 / 48
7: Rexamen
du SMSI par
la direction
8: Amlioration
du SMSI
ISO 27001
Tout types d'organismes viss (IS 27001 1.1):
Socits commerciales
Agences gouvernementales
Associations, ONG
Indications de la norme gnriques (1.2):

Applicables tout type dorganisation indpendamment du
Type
Taille
Nature de l'activit
14 / 48
2/10
ISO 27001
3/10
Objectif gnral de la norme (1.1) :

Spcifier les exigences pour
Mettre en place
Exploiter
Amliorer
Un SMSI document
Spcifier les exigences pour la mise en place de mesures de

scurit
Adaptes aux besoins de lorganisation
Adquates
Proportionnes
15 / 48
ISO 27001
Ceci doit fournir (1.1):
Une protection des actifs dinformation (information assets)
Patrimoine informationel
Biens sensibles
La confiance aux parties prenantes (interested parties)

Sous entendu
Clients
Actionnaires
Partenaires
Assureurs
etc
16 / 48
4/10
ISO 27001
5/10
Ceci doit maintenir et amliorer (BS 7799-2:2002 1.1) :

Prcision prsente dans la BS 7799-2:2002 mais a disparu dans
l'ISO 27001:2005
Comptitivit
Trsorerie (cash flow)
Profitabilit
Respect de la rglementation
Image de marque
17 / 48
ISO 27001
Attentes et
exigences
en terme de
scurit
Modle PDCA : Plan-Do-Check-Act
Partenaires
Plan
Pouvoirs
publics
Services
18 / 48
Action
Fournisseurs
Correction
Do
Scurit
effective
fournie
Partenaires
Planification
Fournisseurs
Clients
6/10
Act
Vrification
Check
Clients
Pouvoirs
publics
Services
ISO 27001
7/10
Phase PLAN (4.2.1)

Primtre du SMSI (4.2.1.a)
(4.2.1.b)
Politique de scurit et/ou politique du SMSI

Plan de gestion des risques
Mthodologie d'apprciation des risques (4.2.1.c)

Identification et valuation des risques (4.2.1.d) (4.2.1.e)
Traitement des risques (4.2.1.f)
Rduction des risques un niveau acceptable
Conservation (acceptation) des risques
Refus ou vitement des risques
Transfert
Objectifs de scurit et mesures de scurit
(4.2.1.g)
Dclaration d'applicabilit : DDA (Statement of applicability ou SoA)

(4.2.1.j)
19 / 48
ISO 27001
8/10
Phase DO (4.2.2)
Allocation et gestion de ressources
(4.2.2.a) (4.2.2.b) (4.2.2.g)
Personnes, temps, argent
Rdaction de la documentation et des procdures

Formation du personnel concern (4.2.2.e)
Gestion du risque (4.2.2.a) (4.2.2.b)
Pour les risques rduire :
Implmenter les mesures de scurit identifies dans la phase
prcdente (4.2.2.c)
Assignation des responsabilits (4.2.2.b)
Identifier des risques rsiduels
Pour les risques transfrs : assurance, sous-traitance, etc
Pour les risques accepts et refuss : rien faire
20 / 48
ISO 27001
Phase CHECK (4.2.3)
Vrification de routine (4.2.3.b)
Apprendre des autres (4.2.3.b)
Audit du SMSI (4.2.3.e)
Audits rguliers
Sur la base de
Documents
Traces ou enregistrements
Tests techniques
Conduit
Constatation que les mesures de scurit ne rduisent pas de faon
effective les risques pour lesquels elles ont t mises en place
Identification de nouveaux risques non traits
Tout autre type d'inadaptation de ce qui est mis en place
21 / 48
9/10
ISO 27001
10/10
Phase ACT (4.2.4)

Prendre les mesures rsultant des constatations faites lors de la phase
de vrification
Actions possibles
Passage la phase de planification
Si de nouveaux risques ont t identifis
Passage la phase d'action
Si la phase de vrification en montre le besoin
Si constatation de non conformit
Actions correctives ou prventives
Actions entreprises immdiatement
Planification d'actions sur le moyen et long terme
22 / 48
ISO 27002
1/3
11 chapitres
39 objectifs de scurit
(control objectives)
133 mesures de
scurit (security
controls)
5: Politique
du SMSI
6: Scurit
organisationelle
7: Classification et
contrle des actifs 15 Conformit
8: Scurit du personnel
14: Gestion de
la continuit
13: Gestion des
incidents
12: Maintenance et
dveloppement
23 / 48
9: Scurit physique et
environnementale
10: Gestion des

communications
et de lexploitation
11: Contrle
d'accs
ISO 27002
2/3
Anciennement ISO 17799

Recommandations ou exigences en scurit
Reprennent les recommandations classiques des experts en
scurit
Certaines mesures de scurit sont trs gnrales, d'autres trs
prcises
Certaines mesures sont applicables tout l'organisme, d'autres un
serveur ou une application particulire
Donnent des recommandations parfois trs larges pouvant inclure
d'autres mesures de scurit
Slectionnes pour rduire un risque un niveau acceptable

l'issue d'une apprciation des risques
24 / 48
ISO 27002 par rapport ISO 27001

ISO 27001
ISO 27002
(anciennement ISO 17799)
Articles
ou Clauses
ET
Mesures de scurit
Controls
(Annexe A)
25 / 48
Description
dtaille
des
mesures de
scurit
3/3
ISO 27000 et ISO 27003

ISO27000 : Principes et vocabulaire
Issu en partie des parties 1 et 2 de l'ISO13335
(anciennement MICTS partie 1)
ISO27003 : Guide d'implmentation d'un SMSI

Document de travail du groupe de normalisation
Pratique et dtaill
Dj utilisable en l'tat, surtout pour la phase plan
26 / 48
ISO 27004
1/2
Mesurage du Management de la Scurit de l'Information

Security control mesure de scurit donc pour viter les confusions :
Measurement mesurage
Guide de mise en place du mesurage du SMSI
Etat : CD, publication prvue en 2008, dj utilisable et trs utile
Objectif : mesurer l'efficacit du SMSI et des mesures de scurit

Programme de mesurage et processus de mesurage
Rles et responsabilits
Mthodologie de choix des indicateurs
Production et exploitation des indicateurs
Analyse et restitution des indicateurs
Amlioration du processus de mesurage
Exemples d'indicateurs
27 / 48
ISO 27004
Mesure
Rfrence
Clause ou Mesure de scurit
Type
Mesure de base / drive
Objectif
Entrevues archives - Processus de revue

7.1 b, 7.2 i,
Conformit
Base
Dterminer le niveau d'implication des managers dans le SMSI
X=(A/B)
Formule de calcul
Valeur
Domaine de dfinition
Procdure de production
Personnes concernes
Cycle de vie
A = Somme des entevues programmes ayant t tenues en temps et en heure

B = Sommes de entrebues programmes
Rapport
Entre 0 et 1
P-EDKS-V2
Propritaire
ISMS manager
ISMS management committe
ISMS manager
Client
Quality System Manager
Collection
Quality manager
Communication
ISMS Managemeznt committee
Rvision
ISMS manager
Frquence
Tous les trimestres
Date
Cf calendrier des indicateurs
Procdure d'enregistrement
P-EDKS-V2
Priodicit du rapport
Trimestriellement
Dure de validit de la mesure
Priode d'analyse
Du 1er janvier au 31 Dcembre de l'anne courrante
Objet concern
0 < X < 0,79 : Non satisfaisant
0,80 < X < 1 : Satisfaisant
Si, la fin de second semestre X < 0,80, alors une action corrective risque d'tre ncessaire et
communique au management du SMSI.
Critres de dcision
Indicateur
28 / 48
Si, la fin de l'anne X est on satisfaisant, la direction gnrale doit en tre informe et on doit lui
demander son soutien
Effets / Impact
Causes d'cart
Valeurs positives
Format de rapport
Remarques
Non-conformit du SMSI.
Pas de garantie que le processus de revue du SMSI fonctionne bien
Budjet insuffisant
Planification incorrecte
Manque d'engagement du personnel concern
Des valeurs en augmentatin indiquent des valeurs positives
Barres
2/2
ISO 27005
1/10
Guide de mise en oeuvre de la partie apprciation des risques

de la scurit de l'information de l'ISO 27001
ISO 27001 4.2.1 c) 4.2.1 f) 4), plus 4.2.3.d)
soit 1 page + 3 ou 4 lignes
Etat : FCD, publication prvue

en 2007 ou 2008
ISO 27001 4.2.1 c) 4.2.1 f)
ISO 27005
ISO 27005
64 pages
28 pages normatives, chap 1 12
36 pages d'annexes A E
29 / 48
ISO 27005
Historique
Managing and
planning IT security
ISO TR 13335-2
2/10
Techniques for the
management IT security
Selection of safeguards
ISO 1335-2
Information security
risk management
ISO TR 1335-3
ISO TR 1335-4
ISO 27005
1998 et 2000
1992 ...1997
1998 puis 2002
2006
1985..1988..1991..1996
PD 3002
BS7799-3
CRAMM
Guide to BS7799
Risk Assessment
Guidelines for information

security Risk Assessment
CCTA Risk Assessment

and Management Method
1997 puis 2004
EBIOS
Et d'autres influences diverses
CCTA est devenu l'OGC, le mme organisme gouvernemental

brittannique qui a fait et est propritaire d'ITIL
Attention : CRAMM a t privatis en 1996
30 / 48
fin 2007
ou 2008
ISO 27005
3/10
Rappel : norme = consensus entre les acteurs du march

Ne peut tre plus complet que toutes les mthodes qui l'on prcd
Reprsente le noyau commun accept par tous
Peut tre complt en allant rechercher ailleurs
Mthodes d'analyse de risques existantes

Continuent voluer et innover
Contribuent l'amlioration de la norme ISO 27005
A terme certaines mthodes se diront "conformes la norme ISO
27005"
31 / 48
ISO 27005
4/10
Est cependant suffisante dans la majorit des cas

Oblige dj beaucoup structurer sa pense et sa dmarche
Correspond strictement au respect de l'ISO 27001
Ncessaire pour la mise en place d'un SMSI
Ncessaire pour une certification
32 / 48
ISO 27005 (6) p7
5/10
Dfinition d'un processus

Continu et qui s'amliore, donc PDCA
Processus de gestion de risque de la scurit de

l'information
(information security risk management process)
Processus applicable tous le SMSI ou un sous-ensemble
33 / 48
ISO 27005 (6) p7
6/10
Identifier les risques

Plan
Quantifier chaque risque par rapport
aux consquences que sa matrialisation
pourrait avoir sur le business
sa probabilit d'occurrence (likelihood)
Identifier les actions appropries pour rduire
les risques identifis un niveau acceptable
Implmenter les actions Do

pour rduire les risques
Eduquer la direction et le
personnel sur les risques et les
actions prises pour les attnuer
Rectifier le traintement du risque

la lumire des vnements et des
changements de circonstances
Amliorer le processus de
Act
gestion du risque
Surveiller et rexaminer
les rsultats, l'efficacit et
l'efficience du processus Check
34 / 48
ISO 27005 (6) p8
7/10
Dcompos en deux activits

squencielles et itratives
Approche itrative
Amliore la finesse de l'analyse
chaque itration
Garanti une apprciation des
risques levs
Minimise le temps et l'effort
consenti dans l'identification des
mesures de scurit
Apprciation du risque
(risk assessment)
Apprciation
satisfaisante ?
oui
Traitement du risque
(risk treatment)
Apprciation des risques

satisfaisante ?
Passer au traitement du risque
35 / 48
non
ISO 27005
8/10
Approche itrative ou cyclique

Permet d'avancer avec des
Interlocuteurs absents ou
incapables de savoir ou qui
refusent de rpondre
Livrables incomplets
(risk assessment)
Apprciation
Incapacit du management de se satisfaisante ?
oui
prononcer sur l'approbation des
risques rsiduels sans connatre
Traitement du
d'abord les cots associs
Facilite la gestion des

susceptibilits et des aspects
politiques entre
Interviewvs
Actifs et processus mtier
36 / 48
non
risque
(risk treatment)
Facilite les liens entre les

risques et les impacts sur les
processus mtier
ISO 27005
9/10
Apprciation du risque (8)

Analyse des risques
Mise en vidence des composantes des risques
Estimation de leur importance : mthode de calcul laisse libre
Evaluation des risques

Analyse d'ensemble et prise de dcision sur les risques
Traitement du risque (9)

Slection des objectifs et mesures de scurit pour rduire le risque
Refus, transfert ou conservation du risque
Acceptation du risque (10)

Approbation par la direction des choix effectus lors du traitement du
risque
Communication du risque (11)

37 / 48
ISO 27005 (6) p8-9

Assez d'lments pour
dterminer les actions
ncessaires la
rduction des risques
un niveau acceptable ?
n 2
Risque acceptable ?
Communication la
hirarchie et aux quipes
oprationnelles chaque
tape
Risque identifi utile
immdiatement la
gestion des incidents
38 / 48
Communication du risque
Etablissement du contexte
Analyse de risque
Identification du risque
Estimation du risque
Evaluation du risque
Apprciation
satisfaisante ?
oui
Risque
acceptable ?
oui
non
Surveillance et rexamen du risque
n 1
10/10
ISO 27006 et ISO 27007

Exigences pour l'accrditation des organismes de certification
des SMSI
Remplace la norme EA 7/03
S'appuie sur la norme ISO 17021
Apporte des prcisions pour les audits de certification ISO 27001
Classement des mesures de scurit : organisationelles / techniques
Vrifications faire ou pas pour les mesures de scurit techniques
ISO27007 : Guide d'audit de SMSI

Etait l'origine dans l'ISO 27006, spar pour ne pas tre obligatoire
39 / 48
Application en normes sectorielles

Normes ISO 2703X
Ajoutent ou modifient l'application de l'ISO27002 pour un
secteur d'activit
Oprateurs de tlcommunications
Secteur financier
Industrie des jeux
Industrie automobile
Sant : ISO 27799:2006

Fait dans la normalisation de la sant
Adaptation de l'ISO27001 et ISO27002 en un seul document pour le secteur
de la sant
Caractre d'application des mesures de scurit obligatoires dans certains
cas
Sera sans doute renumrot en ISO 2703X dans une prochaine version
40 / 48
Utilisations des normes
1/5
Pour adopter les bonnes pratiques en SSI

ISO 27001 + ISO 27002 (anciennement ISO17799)
Constat objectif que vous adoptez les bonnes pratiques en matire de
SSI
Processus d'amlioration continue, donc le niveau de scurit a plutt
tendance crotre
Meilleure matrise des risques
Mthodologie d'apprciation des risques (mthode d'analyse de risque)
Diminution de l'usage des mesures de scurit qui ne servent pas
Peut permettre d'voluer, le moment venu, vers une certification
41 / 48
Utilisations des normes

Pour homogniser
ISO27001 + ISO27002 (ISO17799)
Rfrentiel universel, international, sans concurrence
Permet des comparaisons entre entits, sites, pays
Facilite les changes d'exprience et la communication interne
Facilite les liens avec les autres mtiers et les autres rfrentiels
Facilite la communication aux auditeurs hors de la SSI
Pour les tableaux de bord

ISO27001 + ISO27002 (ISO 17799) + ISO27004
ISO27001 pour le SMSI ncssaire l'lboration de mtriques
ISO27002 pour les mesures de scurit mesurer
ISO27004 pour le mesurage d'un SMSI
42 / 48
2/5
Utilisation des normes

Pour les audits conseils en scurit
ISO 27002 (ISO 17799)
Conclusions font rfrence aux mesures de scurit de la norme
Espranto de la scurit
Pour donner une image de srieux aux partenaires

ISO 27001 + ventuellement certification, au moins terme
Constat extrieur, objectif et terme officiel que "vous adoptez les
bonnes pratiques en matire de SSI"
Un minimum de base
Une amlioration continue
43 / 48
3/5

Pour communiquer formellement aux parties prenantes
Ou au moins une partie prenante le demande
ISO 27001 + certification
Constat impartial, objectif et officiel que "vous adoptez les bonnes
pratique en matire de SSI"
Engagement dans la dure
44 / 48
4/5

Pour rduire les cots
D'aprs ceux qui ont mis en oeuvre...
Mutualisation des audits

Diminution d'usage de mesures de scurit inutiles
Processus en lui-mme plutt moins coteux que d'autres en SSI
45 / 48
5/5
Processus de certification
t
i
lid cat
a
V rtifi
ce
du
Partie
prenante
du Pu
ce blic
rtif it
ica
t
46 / 48
Organisme
de certification
su
Dlivrance
du
certificat
Organisation
No
mi
SMSI
ts
d'a
ud
na
Demande
de
certification
lta
tio
it
Equipe
d'audit
e
d
t
i on
d
Au icati
rtif
ce
Schma de certification
Autorit
d'accrditation
Accrdite
Organisme
de certification
Certifie
Organisation souhaitant
tre certifie
47 / 48
Schma commun toutes les

certifications
Autorit d'accrditation
Une seule par pays
Organisme d'tat
Organisme de certification (IS 17021 1)

Nombreux
Gnralement des socits prives
Peut tre un organisme
gouvernemental
Avec ou sans pouvoir rglementaire
Conclusion
ISO 27001 : approche adopte universellement
Aucune concurrence
Complmentarit avec les autres rfrentiels
ITIL / ISO 20000 appliqu par les directions informatiques
Permet ou permettra de dmontrer la conformit en SSI tous

les autres rfrentiels ou rglements
SoX et SAS70, Commission bancaire, Cour des comptes
France : seul pays d'europe n'ayant pas (ou si peu) de

certificats ISO 27001
Questions ?
Herve.Schauer@hsc.fr
www.hsc.fr
48 / 48

Cfssi Iso27 Intro

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cfssi Iso27 Intro

Uploaded by

Copyright:

Available Formats

HERV SCHAUER CONSULTANTS

Cabinet de Consultants en Scurit Informatique depuis 1989

Normes ISO 27001

Usages des normes

Les transparents seront

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Systme de management : dfinition

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Systme de management : dfinition

Dfinition plus empirique

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Systme de management : PDCA

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Systme de management : proprits

Proprits des systmes de management

Se basent sur des rfrentiels prcis

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Systme de management : apports

Oblige s'amliorer dans le temps

Comme un systme de management est auditable

Qui dit confiance dit business

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Concept populaire et enseign

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Concept populaire et enseign

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

ISMS (IS 27001 3.7)

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Apparition des normes

6 vi) la scurit des systmes d'information se fonde sur les critres

Appel d'offre du dossier mdical personnel, 28/07/2005,

La prsente annexe dfini les objectifs de scurit et les exigences

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Ensemble des normes ISO27001

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Indications de la norme gnriques (1.2):

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Objectif gnral de la norme (1.1) :

Spcifier les exigences pour la mise en place de mesures de

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

La confiance aux parties prenantes (interested parties)

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Ceci doit maintenir et amliorer (BS 7799-2:2002 1.1) :

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Modle PDCA : Plan-Do-Check-Act

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Phase PLAN (4.2.1)

Politique de scurit et/ou politique du SMSI

Mthodologie d'apprciation des risques (4.2.1.c)

Objectifs de scurit et mesures de scurit

Dclaration d'applicabilit : DDA (Statement of applicability ou SoA)

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

(4.2.2.a) (4.2.2.b) (4.2.2.g)

Personnes, temps, argent

Rdaction de la documentation et des procdures

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Phase ACT (4.2.4)

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

10: Gestion des

Copyright Herv Schauer Consultants 2000-2007 - Reproduction Interdite

Anciennement ISO 17799

Slectionnes pour rduire un risque un niveau acceptable