Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PEC

Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 1/163 Programme du jour3 Section14: Conception des mesures de sécurité et rédaction des politiques spécifiques et des procédures Section15: Mise en œuvre des mesures de sécurité Section16: Définition du processus de gestion de documents Section17: Plan de communication Section18: Plan de formation et de sensibilisation Section19: Gestion des opérations Section20: Gestion des incidents © 2020 PECB. Tous droits réservés. Version6.0 Numéro de document: ISMSLID3V6.0 Les documents fournis aux participants sont strictement réservés à des fins de formation. Aucune partie de ces documents ne peut être publiée, distribuée, affichée sur Internet ou sur un intranet, extraite ou reproduite sous quelque forme ou par quelque moyen que ce soit, électronique ou mécanique, y compris par photocopie, sans l’autorisation écrite préalable de PECB. Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 2/163 Cette section aidera le participant à acquérir des connaissances sur la conception des mesures de sécurité et la rédaction de politiques et de procédures spécifiques, y compris les procédures de rédaction et la définition des enregistrements. Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 3/163 Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 4/163 Note terminologique: Le document qui contient une procédure peut être appelé «document de procédure». Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 5/163 Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 6/163 Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 7/163 Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 8/163 Note importante: Il n’y a aucune exigence de la norme ISO/IEC27001 qui oblige l’organisme à décrire de façon détaillée chaque mesure de sécurité en place. Un organisme peut fournir une documentation claire et concise décrivant le fonctionnement des processus et des mesures inclus dans le SMSI. Plusieurs organismes incluent la description des mesures de sécurité dans leur déclaration d’applicabilité. Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 9/163 Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 10/163 Les diagrammes de processus ou «logigrammes» permettent de visualiser l’enchaînement des actions. Le processus peut être documenté formellement dans une fiche de données processus comprenant une cartographie complète des processus de l’organisme. Il n’existe pas de norme pour représenter un processus. Il sera cependant nécessaire d’établir une symbolique (formes de base) pour représenter chaque caractéristique, boucle de décision et autres outils existant dans le processus de cartographie. En résumé, la règle d’or: Penser simple et opérationnel et s’assurer que toute représentation demeure intelligible et utilisable par tous. Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 11/163 Une deuxième méthode de documentation des processus et des mesures de sécurité consiste à rédiger des narratifs sur leur fonctionnement. L’objectif d’un processus narratif est de décrire le trajet de l’information et les mesures de sécurité reliées à ce processus. La description devrait permettre au lecteur de comprendre les différentes étapes liées aux opérations, à l’identification des acteurs (par le titre des fonctions) chargés d’exécuter les tâches, les éléments d’entrée et de sortie, la source d’information utilisée, les indicateurs, etc. Conseils pratiques: 1. Éviter d’écrire un processus général de haut niveau, tel que «des sauvegardes sont effectuées périodiquement sur les systèmes d’information en fonction des besoins d’affaires de chaque unité administrative». 2. Utiliser des verbes d’action dans cet exemple: Le responsable du département revoit, approuve, valide, etc. 3. Éviter les tournures de verbe telles que pourrait ou devrait, qui laissent un doute quant à la réalisation de l’action si celle-ci est liée à une exigence de conformité 4. S’assurer de décrire les mesures de sécurité dans le contexte du processus métier lié 5. Décrire les processus et les mesures à partir des réponses aux questions des «6W» 6. Quand il y a une référence à un document, être aussi précis que possible et que nécessaire Note importante: Il convient que la description reflète la réalité actuelle du fonctionnement du processus et des mesures de sécurité et non la situation souhaitée de l’organisme. Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 12/163 Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 13/163 Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 14/163 Exemple de procédures qui peuvent être incluses dans un SMSI documenté: Marquage des informations (A.8.2.2) Manipulation des actifs (A.8.2.3) Gestion des supports amovibles (A.8.3.1) Mise au rebut des supports (A.8.3.2) Sécuriser les procédures de connexion (A.9.4.2) Travail dans les zones sécurisées (A.11.1.5) Procédures d’exploitation documentées (A.12.1.1) Installation de logiciels sur des systèmes en exploitation (A.12.5.1) Politiques et procédures de transfert de l’information (A.13.2.1) Procédures de contrôle des changements de système (A.14.2.2) Gestion des incidents liés à la sécurité de l’information et améliorations (A.16.1) Collecte de preuves (A.16.1.7) Mise en œuvre de la continuité de la sécurité de l’information (A.17.1.2) Droits de propriété intellectuelle (A.18.1.2) Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 15/163 Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 16/163 Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 17/163 La présente section aidera le participant à acquérir des connaissances sur la mise en œuvre des processus et des mesures de sécurité. Elle présente également les mesures de l’Annexe A. Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 18/163 Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 19/163 Un organisme souhaitant se conformer à ISO/IEC27001 doit au moins: Mettre en œuvre les mesures de sécurité détaillées dans le plan de traitement des risques et celles qui ont été déclarées applicables dans la déclaration d’applicabilité. ISO/IEC27003, article 8.1 Planification et contrôle opérationnels Les processus de conformité aux exigences de sécurité de l’information comprennent: a. les processus SMSI (par exemple: revue de direction, audit interne); et b. les processus requis pour la mise en œuvre du plan de traitement des risques liés à la sécurité de l’information. La mise en œuvre des plans entraîne des processus exploités et contrôlés. Ultimement, l’organisme est responsable de la planification et du contrôle de tout processus externalisé afin d’atteindre ses objectifs en matière de sécurité de l’information. Ainsi, l’organisme doit: c.déterminer les processus externalisés en tenant compte des risques de sécurité de l’information liés à la sous-traitance; et d.s’assurer que les processus externalisés sont contrôlés (c’est-à-dire planifiés, surveillés et examinés) de manière à garantir qu’ils fonctionnent comme prévu (en tenant compte des objectifs de sécurité de l’information et du plan de traitement des risques de sécurité de l’information). Si une partie des fonctions ou des processus de l’organisme est externalisée aux fournisseurs, l’organisme devrait: q.déterminer toutes les relations de sous-traitance; r.établir des interfaces appropriées avec les fournisseurs; s.aborder les questions liées a la sécurité de l’information dans les accords avec les fournisseurs; t.surveiller et réviser les services du fournisseur afin de s’assurer qu’ils sont exploités comme prévu et que les risques de sécurité des informations sont en accord avec les critères de l’organisme; et u.gérer les changements apportés aux services du fournisseur si nécessaire. Licensed to Boni Leon KOUADIO (noura.dilan@gmail.com) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2020-07-25 20/163 ISO/IEC27003, article 8.2 Appréciation des risques de sécurité de l’information Lignes directrices Les organismes devraient avoir un plan pour effectuer des appréciations des risques de sécurité de l’information planifiées. Lors de modifications importantes du SMSI (ou de son contexte) ou lors d’incidents de sécurité de l’information, l’organisme devrait déterminer: a. lesquels de ces changements ou incidents nécessitent une appréciation des risques de sécurité de l’information supplémentaire; et b. comment ces appréciations seront générées. Le niveau de détail de l’identification des risques devrait être affiné étape par étape dans d’autres itérations de l’appréciation des risques de sécurité de l’information dans le contexte de l’amélioration continue du SMSI. Une appréciation des risques de sécurité de l’information générale devrait être effectuée au moins une fois par an. ISO/IEC 27003, article8.3 Traitement des risques de sécurité de l’information Explication Afin de traiter les risques de sécurité de l’information, l’organisme doit exécuter le processus uploads/s1/ iso-27001-lead-implementer-fr-v-6-0-day-3.pdf