Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Alexandre Fernandez Toro Comprendre et mettre en œuvre la norme ISO 27001 Conse

Alexandre Fernandez Toro Comprendre et mettre en œuvre la norme ISO 27001 Conseils pratiques d’implémentation Comprendre et mettre en œuvre la norme ISO 27001 Conseils pratiques d’implémentation 2 Du même auteur x Sécurité opérationnelle Conseils pratiques pour sécuriser le SI 2ème édition Editions Eyrolles 2016, 424 pages ISBN : 9 782212 144604 x Management de la sécurité de l’information 3ème édition Editions Eyrolles 2012, 322 pages ISBN : 9 782212 126976 Epuisé. La 4ème édition est en cours de rédaction. © Alexandre Fernandez Toro ISBN : 978-1-539-48040-2 Alexandre Fernandez Toro Comprendre et mettre en œuvre la norme ISO 27001 Conseils pratiques d’implémentation Table des matières Avant-propos……………………………………………………………………….11 Objectif de ce livre ........................................................................................................ 11 Comment lire ce livre .................................................................................................... 11 Version de la norme....................................................................................................... 12 Structure de ce livre ....................................................................................................... 12 Conventions de lecture .................................................................................................. 13 Information importante .................................................................................................. 14 Connaissance de la norme et implémentation Chapitre 1 Introduction............................................................. 17 Les systèmes de management et les SMSI .................................................................... 17 La famille des normes ISO 27000 ................................................................................. 18 Pourquoi implémenter un SMSI .................................................................................... 19 La norme ISO 27001 ..................................................................................................... 20 Certifications ................................................................................................................. 21 Les trois premiers articles de la norme .......................................................................... 22 Chapitre 2 Contexte ................................................................... 25 Exigence ........................................................................................................................ 25 Conseils pratiques pour implémenter l’article 4.1 ......................................................... 29 Conseils pratiques pour implémenter l’article 4.2 ......................................................... 30 Conseils pratiques pour implémenter l’article 4.3 ......................................................... 31 Traces ............................................................................................................................ 35 Chapitre 3 Engagement de la direction .................................... 37 Exigence ........................................................................................................................ 37 Conseils pratiques d’implémentation ............................................................................ 41 Traces ............................................................................................................................ 50 Chapitre 4 Appréciation des risques ......................................... 51 Exigence ........................................................................................................................ 51 6 Conseils pratiques d’implémentation ............................................................................ 58 Traces ............................................................................................................................ 67 Chapitre 5 Objectifs de sécurité ................................................ 69 Exigence ........................................................................................................................ 69 Conseils pratiques d’implémentation ............................................................................ 72 Traces ............................................................................................................................ 75 Chapitre 6 Support .................................................................... 77 Exigence ........................................................................................................................ 77 Conseils pratiques d’implémentation ............................................................................ 80 Traces ............................................................................................................................ 87 Chapitre 7 Documentation ........................................................ 89 Exigence ........................................................................................................................ 89 Conseils pratiques d’implémentation ............................................................................ 92 Traces ............................................................................................................................ 99 Chapitre 8 Fonctionnement ..................................................... 101 Exigence ...................................................................................................................... 101 Conseils pratiques d’implémentation .......................................................................... 104 Traces .......................................................................................................................... 108 Chapitre 9 Indicateurs ............................................................. 109 Exigence ...................................................................................................................... 109 Conseils pratiques d’implémentation .......................................................................... 112 Traces .......................................................................................................................... 118 Chapitre 10 Audits internes..................................................... 119 Exigence ...................................................................................................................... 119 Conseils pratiques d’implémentation .......................................................................... 122 Traces .......................................................................................................................... 129 Chapitre 11 Revue de direction ............................................... 131 Exigence ...................................................................................................................... 131 Conseils pratiques d’implémentation .......................................................................... 134 Traces .......................................................................................................................... 135 Chapitre 12 Amélioration ........................................................ 137 Exigence ...................................................................................................................... 137 Conseils pratiques pour implémenter l’article 10.1 ..................................................... 140 Conseils pratiques pour implémenter l’article 10.2 ..................................................... 141 Traces .......................................................................................................................... 144 7 Mises en perspective Chapitre 13 L’annexe A de la norme ....................................... 147 L’annexe A de la norme .............................................................................................. 147 Conseils d’implémentation .......................................................................................... 150 Chapitre 14 Le modèle PDCA .................................................. 161 Principe de base ........................................................................................................... 161 Les deux échelles de la roue de Deming ..................................................................... 163 Implémenter le modèle PDCA dans la vie réelle ......................................................... 165 Les états du modèle PDCA .......................................................................................... 169 Chapitre 15 Apports de l’ISO 27001 pour la sécurité ............. 171 La zone d’humiliation.................................................................................................. 171 Apports de l’ISO 27001 ............................................................................................... 174 Facteurs clé de succès .................................................................................................. 178 Chapitre 16 Erosion du SMSI .................................................. 181 La lente érosion du SMSI ............................................................................................ 181 Domaines soumis à l’érosion ....................................................................................... 182 En conclusion .............................................................................................................. 188 Chapitre 17 L’ancienne et la nouvelle norme ......................... 189 Les améliorations ........................................................................................................ 189 Les relâchements ......................................................................................................... 192 Ce qui ne change pas ................................................................................................... 195 Approche par l’exemple Présentation des exemples ...................................................... 199 Objectif des exemples.................................................................................................. 199 Etude de cas ................................................................................................................. 199 Liste des exemples fournis .......................................................................................... 200 Exemple 1 Description de contexte ......................................... 201 Contexte de la société .................................................................................................. 201 Enjeux externes ........................................................................................................... 202 Enjeux internes ............................................................................................................ 202 Exemple 2 Parties intéressées ................................................. 203 8 Liste des parties intéressées......................................................................................... 203 Attentes des parties intéressées ................................................................................... 204 Exemple 3 Périmètre ............................................................... 205 Domaine d’application du SMSI ................................................................................. 205 Processus concernés .................................................................................................... 205 Unités organisationnelles ............................................................................................ 206 Sites concernés ............................................................................................................ 206 Interfaces et dépendances ............................................................................................ 207 Limites ........................................................................................................................ 207 Exemple 4 Répartition des rôles et des responsabilités .......... 209 1. Introduction ............................................................................................................. 209 2. Fonctions ................................................................................................................. 209 3. Instances .................................................................................................................. 212 Exemple 5 Politique de sécurité du système d’information .... 215 1. Contexte .................................................................................................................. 215 2. Réseau ..................................................................................................................... 216 3. Identités et accès au SI ........................................................................................... 216 4. Cloud ....................................................................................................................... 217 5. Sécurité des locaux et des équipements .................................................................. 217 6. Infrastructures et exploitation .................................................................................. 218 7. Conformité .............................................................................................................. 219 8. Ressources humaines .............................................................................................. 219 9. Equipements confiés au personnel .......................................................................... 219 10. Développements .................................................................................................... 220 11. Incidents de sécurité .............................................................................................. 220 12. Continuité d’activité .............................................................................................. 221 13. Tiers ...................................................................................................................... 221 Exemple 6 Procédure d’appréciation des risques ................... 223 Objectif général de cette procédure ............................................................................. 223 Références ................................................................................................................... 223 Démarche générale ...................................................................................................... 223 Critères ........................................................................................................................ 227 Exemple 7 Appréciation des risques, jalon 1 ........................... 231 Exemple 8 Appréciation des risques, jalon 2 ........................... 233 Exemple 9 Appréciation des risques, jalon 3 ........................... 235 9 Exemple 10 Rapport annuel sur la sécurité ............................ 237 Bilan des actions réalisées ........................................................................................... 237 Evolutions .................................................................................................................... 238 Actions à mener ........................................................................................................... 239 Exemple 11 Liste de documents à produire dans un SMSI ..... 241 Documents relatifs aux exigences des articles 4 à 10 de la norme .............................. 241 Documents relatifs aux mesures de sécurité ................................................................ 244 Exemple 12 Procédure de gestion de la documentation ......... 249 Généralités ................................................................................................................... 249 Procédure ..................................................................................................................... 249 Formalisation ............................................................................................................... 252 Enregistrements et archivage ....................................................................................... 253 Exemple 13 Procédure de gestion des tiers ............................ 255 Généralités ................................................................................................................... 255 Procédure ..................................................................................................................... 256 Formalisation ............................................................................................................... 258 Enregistrements et archivage ....................................................................................... 258 Exemple 14 Fiches de tiers sensibles pour le SI ..................... 259 Hébergeur d’infrastructure .......................................................................................... 259 Administrateur système en régie ................................................................................. 261 Partenaire de maintenance téléphonique ..................................................................... 262 Exemple 15 Procédure de gestion des indicateurs ................. 263 Généralités ................................................................................................................... 263 Procédure ..................................................................................................................... 263 Formalisation ............................................................................................................... 266 Enregistrements et archivage ....................................................................................... 267 Exemple 16 Indicateurs du SMSI ............................................ 269 Incidents ...................................................................................................................... 269 Formation & sensibilisation à la sécurité ..................................................................... 271 Contrôle général .......................................................................................................... 273 Exemple 17 Indicateurs sécurité ............................................. 275 Correctifs de sécurité ................................................................................................... 275 Protection des postes ................................................................................................... 277 Administrateurs de leur poste ...................................................................................... 278 Exemple 18 Procédure de gestion des audits.......................... 279 10 Généralités .................................................................................................................. 279 Procédure .................................................................................................................... 279 Formalisation .............................................................................................................. 283 Enregistrements et archivage ...................................................................................... 284 Exemple 19 Programme d’audit .............................................. 285 Introduction ................................................................................................................. 285 Audits .......................................................................................................................... 285 Exemple 20 Plan d’audit .......................................................... 289 Introduction ................................................................................................................. 289 Eléments de cadrage .................................................................................................... 289 Plan détaillé de l’audit ................................................................................................. 290 Exemple 21 Rapport d’audit interne ....................................... 293 Introduction ................................................................................................................. 293 Rappel du contexte de l’audit ...................................................................................... 293 Conclusions de l’audit interne ..................................................................................... 294 Détail des constats ....................................................................................................... 294 Détail des personnes rencontrées ................................................................................ 296 Documents consultés ................................................................................................... 297 Fiches de constat ......................................................................................................... 298 Exemple 22 Compte-rendu de revue de direction ................... 303 Introduction ................................................................................................................. 303 Sujets abordés ............................................................................................................. 303 Décisions ..................................................................................................................... 307 Avant-propos Objectif de ce livre Ce livre a pour objectif d’aider le lecteur à implémenter un système de mangement de la sécurité de l’information (SMSI) conforme à la norme ISO 27001. Il adopte pour cela une démarche résolument pratique. Le lecteur trouvera dans cet ouvrage : x Une explication détaillée de chacun des articles de la norme. x Des conseils pratiques d’implémentation pour chaque article. x Des focus détaillant certains aspects liés au fonctionnement des SMSI. x Un corpus complet de documents destinés à servir d’exemples pour implémenter un SMSI. Comment lire ce livre Ce livre est conçu pour être lu de deux façons différentes. Selon l’objectif du lecteur, il pourra être lu séquentiellement ou accédé thématiquement. x Lecture séquentielle : cette approche permet d’obtenir une vue complète du projet d’implémentation, depuis les étapes de conception, jusqu’à la phase de fonctionnement. x Accès thématique direct : de par sa construction volontairement structurée, ce livre permet aussi une consultation thématique. Le but est d’apporter rapidement des réponses précises aux questions pratiques que l’implémenteur pourrait se poser. Il est conseillé de commencer par une lecture séquentielle avant d’entamer la mise en place d’un SMSI. Une fois le projet en cours, un accès thématique sera plus approprié. 12 Version de la norme Ce livre se base sur la norme ISO 27001 dans sa version de 2013, qui est en vigueur aujourd’hui. Structure de ce livre Ce livre est composé de trois parties, adoptant chacune un focus particulier. Ensemble, ces trois focus apportent un éclairage complet sur la norme. Premier focus : connaissance de la norme et implémentation Les chapitres de cette partie étudient en détail les articles de la norme ISO 27001. Afin de faciliter la lecture, chaque chapitre contient systématiquement trois sections : x Objectif fondamental de l’article étudié : l’intention de cette première section est de livrer, en une ou deux phrases, le sens fondamental de l’article dont il est question. En effet, l’objet des articles n’est pas toujours clairement exprimé dans le texte. Or, il est très important de le connaître pour faire les bons choix d’implémentation. x Synthèse : certaines exigences de la norme sont très précises, alors que d’autres restent assez ouvertes aux interprétations. Un travail d’exégèse (au sens propre du terme) s’impose, c’est à dire qu’il faut expliquer clairement et en détail chacun des articles de la norme. C’est le but uploads/s1/ comprendre-iso-27001.pdf