Les Normes ISO 27000 Version 2013

La nouvelle version 2013 de la

norme.
Diffrences et nouveauts

Stphane Perroud - Georges

Torti ISO 27000 2013
S
O
2
7
Stphane Perroud
0
0
Expriences
0
Consultant en Gouvernance, Audit et Management de la
2 Scurit des SI
0
Formateur en Gouvernance, Scurit et Audit
1
Auditeur informatique
3
12 ans dveloppeur J2EE et Web

Certifications

CISSP

CISA

COBIT Foundation 4.1 & 5

ITIL v3 Foundation

ISO 20000 Foundation

ISO 27001 Lead Auditor

ISO 27005 Risk Manager
S
O
2
7
Georges Torti
0
0
Expriences
0
Responsable scurit informatique (au DEFR)
2
12 ans de direction des systmes dinformation
0
Responsable du dveloppement informatique
1
3

Chef de projet informatique

Support informatique et formation

Prsident ADI (Gouvernance, Projet, Services, Scurit)

Certifications

CISA (Certified Information System Auditor)

CISM (Certified Information Security Manager)

Certificat dAptitude la Protection des Donnes

Cobit Foundation 4.1 & 5

ISO 27001 Foundation
Plan de la confrence

Notions de base

Bref rappel historique sur BSI 17799 et ISO

27001:2005

Les changements dans ISO 27001:2013

Les changements dans ISO 27002 :2013

Impacts pour lentreprise

Questions / Rponses

ISO 27000 2013

La scurit de linformation

Notions de base

ISO 27000 2013

La scurit de linformation
Lhumain

Les processus La technique

ISO 27000 2013

La scurit de linformation
Les quatre piliers de la scurit de linformation :

Scurit de lInformation
Confidentialit

Disponibilit

Rpudiation
Non-
Intgrit

ISO 27000 2013

Vue densemble

Les normes ISO 27000

ISO 27000 2013

Les normes ISO 27000

Famille des normes de scurit de linformation

Recommandation des meilleures pratiques en management de

la scurit de linformation

Sadresse tous les types dorganismes

Sintgrent avec les autres normes internationales

ISO 27000 2013

Les normes 27000

Avantages

description pratique et dtaille de la mise en uvre des objectifs et

mesures de scurit

audit rgulier qui permet le suivi entre les risques initialement identifis,
les mesures prises et les risques nouveaux ou mis jour, afin de mesurer
lefficacit des mesures prises

Processus d'amlioration continue de la scurit, donc le niveau de

scurit a plutt tendance crotre

Meilleure matrise des risques

Une certification qui amliore la confiance avec les parties prenantes

Homognisation : cest un rfrentiel international. Cela facilite les

changes

ISO 27000 2013

Vue densemble des normes ISO 27000

ISO 27001 ISO 27006

Exigences SMSI Audit de SMSI

Guides

ISO 27000 ISO 27002 ISO 27003

Vocabulaire Mesures Implmentation
BSI
17799 Secteurs

ISO 27004 ISO 27005

Mtriques Analyse risques
ISO 27034
Scurit des
Applications

ISO 27000 2013

 Vue densemble des normes ISO 27000
Norme Titre
ISO/IEC 27000 Vue d'ensemble et vocabulaire
ISO/IEC 27001 SMSI - Exigences
ISO/IEC 27002 Code de bonne pratique
ISO/IEC 27003 Lignes directrices pour la mise en uvre du SMSI
ISO/IEC 27004 Mesurage
ISO/IEC 27005 Gestion des risques lis la scurit de linformation
ISO/IEC 27006 Exigences pour les organismes procdant l'audit et la
certification
ISO/IEC 27007 Lignes directrices pour l'audit du SMSI
ISO/IEC 27008 Lignes directrices pour les auditeurs des contrles
ISO/IEC 27010 LD - Communications intersectorielles/interorganisationnelles
ISO/IEC 27011 LD - Organismes de tlcommunications

ISO 27000 2013

 Vue densemble des normes ISO 27000
Norme Titre
ISO/IEC 27013 LD - Mise en uvre intgre d'ISO 27001 et ISO 20000
ISO/IEC 27014 Gouvernance de la scurit de l'information
ISO/IEC 27015 LD - Management de la scurit de l'information pour les services
financiers
ISO/IEC 27031 LD - Prparation des TIC pour la continuit d'activit
ISO/IEC 27032 LD - Cyberscurit
ISO/IEC 27033 LD - Scurit de rseau
ISO/IEC 27034 LD - Scurit des applications
ISO/IEC 27035 LD - Gestion des incidents de scurit
ISO/IEC 27037 LD - Identification, la collecte, l'acquisition et la prservation de
preuves numriques
ISO/IEC 27799 Management de la scurit de l'information relative la sant en
utilisant l'ISO 27002

ISO 27000 2013

Bref historique

BSI 17799
ISO 27001
ISO 27002

ISO 27000 2013

Historique

En 1995, le standard britannique "BS 7799" cr par BSI

dfinit des mesures de scurit dtailles

En 1998, le BSI introduit le SMSI

En 2000, ISO dite la norme ISO/CEI 17799:2000 (codes

des bonnes pratiques issues de la BS 7799)

En 2005, deux normes sont dites :

ISO/CEI 17799:2005 qui remanie les domaines et objectifs

ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la

possibilit de certification

En 2007, ISO 27002 remplace ISO/CEI 17799

En 2013, ISO rvise les norme ISO/CEI 27001:2013 et

ISO/CEI 27002:2013
ISO 27000 2013
Les changements

ISO 27001:2013

ISO 27000 2013

ISO 27001

ISO 27000 2013

Contrles obligatoires

ISO 27000 2013

Les changements

ISO 27002:2013

ISO 27000 2013

Les changements ISO27002

114 mesures dans 14 domaines (Version 2005 : 133 mesures

dans 11 domaines)
A.5: Information security policies
A.6: Organization of information security
A.7: Human resources security
A.8: Asset management
A.9: Access control
A.10: Cryptography
A.11: Physical and environmental security
A.12: Operations security
A.13: Communication security
A.14: System acquisition, development, and maintenance
A.15: Supplier relationships
A.16: Information security Incident management
A.17: Information security aspects of business continuity management
A.18: Compliance

ISO 27000 2013

Les changements ISO27002

Rorganisation / dplacement de mesures

Mesures 2005 2013

Mobile/Tltravail Access control Organization of info
sec
Gestion mdias Communication Asset
Gestion cls Cryptography Acquisition/Dev

Nouvelles mesures

Suppression de mesures

ISO 27000 2013

Nouvelles mesures ISO 27002:2013

Information security in project management

Restrictions on software installation

Secure development policy

Secure system engineering principles

Secure development environment

System security testinging

Information security policy for supplier relationships

Information and communication technology supply chain

Assessment and decision on information security events

Response to information security incidents

Availability of information processing facilities

ISO 27000 2013
Mesures supprimes (1)

Management commitment to information security

Information security coordination

Authorisation process for information processing facilities

Identification of risks related to external parties

Addressing security when dealing with customers

Security of system documentation

Business Information Systems

User authentication for external connections

Equipment identification in networks

Remote Diagnostic and configuration port protection

Network Connection control

ISO 27000 2013

Mesures supprimes (2)

Network routing control

Sensitive system isolation

Input data validation

Control of internal processing

Message integrity

Output data validation

Information leakage

Prevention of misuse of information processing facilities

Protection of information systems audit tools

ISO 27000 2013

Impacts pour lentreprise

Certifications
Implmentation
Formation

ISO 27000 2013

Certification
Impact sur linterprtation de la norme et le dploiement du

systme de gestion de la scurit de linformation des

organisations

Majorit de la norme reste la mme. Important de comprendre les

changements et dassurer la conformit du systme dinformation la
nouvelle norme pour les futurs audits

Priode transitoire de 2 ans accorde aux organisations certifies pour

se conformer la nouvelle version

ISO 27000 2013

Implmentation

Commencer par une analyse dcart entre le SMSI existant et la

nouvelle version

Lancer les initiatives de mise jour du SMSI

Changements significatifs

Politique

Apprciation des risques

Dclaration dapplicabilit (Annexe A)

Identification des problmes

ISO 27000 2013

Formation
Digicomp vous propose, partir de janvier 2014, des cours et

des certifications internationales en phase avec la nouvelle

version du standard :

ISO/IEC 27001 Lead Auditor

ISO/IEC 27001 Lead Implementer

www.digicomp.ch/fr

ISO 27000 2013

Questions / Rponses

ISO 27000 2013

Informations et contacts
Plus dinformations :

Retrouvez nous sur :

http://www.digicomp.ch/fr/se Fa
curite_informatique ce
bo
ok

Tw
it
te
r

Go
og
ISO 27000 2013 le
Merci de votre attention!

Stphane Perroud - Georges Torti

Digicomp Academy Suisse Romande SA

Tl. 021 321 65 00

E-Mail: romandie@digicomp.ch

ISO 27000 2013

ISO 27001 Annexe A

ISO 27000 2013

ISO 27002

ISO 27000 2013