Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Introduction à la norme ISO 27001 Eric Lachapelle 2 Introduction à ISO 27001 Co

Introduction à la norme ISO 27001 Eric Lachapelle 2 Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 – Implémentation 3. La certification 4. ISO 27001:2014? 3 1990 1995 2000 2007 2014 ISO 27006 Exigences pour les organismes de certification BS7799-1 Code de bonne pratique BS7799-2 Schéma de certification du SMSI Code de bonne pratique (Publié par un groupe d’entreprises) ISO 17799 Code de bonnes pratiques Nouvelle version de ISO 17799 Publication d’ISO 27001 Histoire de la série ISO 27000 Dates importantes 1998 2005 ISO 27001:2014? 4 Famille ISO 27000 Vocabulaire Exigences Guides généraux Guides d‘industrie ISO 27001 Exigences SMSI ISO 27006 Exigences organismes de certification ISO 27005 Gestion du risque ISO 27004 Mesure ISO 27003 Guide de mise en œuvre ISO 27002 Code de pratiques ISO 27007-27008 Guides d‘audit ISO 27011 Télécommunications ISO 27799 Santé ISO 270XX autres ISO 27000 Vocabulaire 5 1. Amélioration de la sécurité 2. Bonne gouvernance 3. Conformité 4. Réduction des coûts 5. Marketing AVANTAGES Avantages d’ISO 27001 6 Système de management de la sécurité de l’information ISO 27001, clause 3.7 Partie du système de management global, basée sur une approche du risque lié à l'activité, visant à établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l'information Note : Le système de management inclut l'organisation, les politiques, les activités de planification, les responsabilités, les pratiques, les procédures, les processus et les ressources 7 L’approche processus ISO 27001, clause 0.2 Maintenir et améliorer le SMSI Mettre en œuvre le SMSI Etablir le SMSI Surveiller et réexaminer le SMSI Parties intéressées Sécurité de l’information gérée Parties intéressées Exigences et attentes de sécurité de l’information Planifier Contrôler Agir Déployer 8 Mise en œuvre du SMSI 1. Planifier 2. Déployer 3. Contrôler 4. Agir 1.1. Compréhension de l'organisme 1.2. Analyse du système existant 1.3. Formalisation du projet 1.4. Domaine d’application 1.5. Politiques de sécurité 1.6. Appréciation du risque 1.7. Traitement et acceptation du risque 1.8. Déclaration d’applicabilité 2.1. Structure organisationnelle 2.2. Processus de gestion documentaire 2.3. Modélisation des processus et mesures 2.4. Politiques spécifiques et procédures 2.5. Formation, sensibilisation et communication 2.6. Mise en œuvre des processus et mesures 2.7. Gestion des incidents 2.8. Gestion des opérations 3.1.Surveillance et réexamen 3.2. Mesure et évaluation de l'efficacité 3.3. Audit interne 3.4. Revue de direction 4.1. Identification des non-conformités 4.2. Traitement des non-conformités 4.3. Amélioration continue 9 Structure de la norme ISO 27001 Annexe A Objectifs de sécurité et mesures de sécurité Clause 4.2.1 Établissement du SMSI Clause 4.2.3 Surveillance et réexamen du SMSI Clause 4.2.4 Mise à jour et amélioration du SMSI Clause 4.2.2 Mise en œuvre et fonctionnement du SMSI Clause 7 Revue managériale Clause 8 Amélioration du SMSI Clause 6 Audits internes du SMSI Clause 5 Responsabilité de la direction 10 Note : Toute exclusion doit être jus1ﬁée Définir le domaine d’application (périmètre) et les exclusions ISO 27001, clause 4.2.1a Un processus clé Un département L’organisme dans son ensemble L’organisme et ses parties prenantes 11 Définir la politique du SMSI ISO 27001, clause 4.2.1b La politique du SMSI doit : 1. Inclure un cadre pour fixer les objectifs et indiquer une orientation générale et des principes d'action concernant la sécurité de l'information 2. Tenir compte des exigences liées à l'activité et des exigences légales ou réglementaires, ainsi que des obligations de sécurité contractuelles 3. S'aligner sur le contexte de gestion du risque stratégique auquel est exposé l'organisme, dans lequel se dérouleront l'établissement et la mise à jour du SMSI 4. Établir les critères d'évaluation future du risque 5. Être approuvée par la direction 12 Note : Il faut s’assurer que l’évaluation des risques produit des résultats comparables et reproductibles . Définir la méthode d’évaluation des risques ISO 27001, clause 4.2.1c Définir l’approche d’évaluation des risques Identifier une méthode Déterminer les critères d’acceptation du risque Identifier les niveaux de risques acceptables 13 Identifier les risques ISO 27001, clause 4.2.1d § Identifier les actifs relevant du domaine d'application du SMSI, ainsi que leurs propriétaires § Identifier les impacts que les pertes de confidentialité, d'intégrité et de disponibilité peuvent avoir sur les actifs § Identifier les menaces auxquelles sont confrontés ces actifs § Identifier les vulnérabilités qui pourraient être exploitées par les menaces Identifier les actifs Identifier les menaces Identifier les vulnérabilités Identifier les impacts 14 Analyser et évaluer les risques ISO 27001, clause 4.2.1e § Évaluer l'impact sur l'activité de l'organisme qui pourrait découler d'une défaillance de la sécurité, en tenant compte des conséquences d'une perte de confidentialité, intégrité ou disponibilité des actifs § Déterminer si les risques sont acceptables ou nécessitent un traitement, en utilisant les critères d'acceptation des risques établis en 4.2.1c § Évaluer la probabilité réaliste d'une défaillance de sécurité de cette nature au vu des menaces et des vulnérabilités prédominantes, des impacts associés à ces actifs et des mesures actuellement mises en œuvre § Estimer les niveaux des risques Évaluer les impacts Calculer la probabilité d’occurence Estimer les niveaux de risques Déterminer si le risque est acceptable 15 Évaluation des options de traitement ISO 27001, clause 4.2.1f Traiter le risque Mesures de sécurité sélectionnées pour diminuer le risque Accepter le risque La direction décide d’assumer le risque Transférer le risque Décision de partager certains risques avec des parties externes: assurance ou infogérance Éviter le risque Annulation ou modification d’une activité ou d’un ensemble d'activités reliées au risque Traiter le risque Transférer le risque Accepter le risque Éviter le risque 16 133 mesures de sécurité ISO 27001, annexe A A 5 La politique de sécurité A 6 L’organisation de la sécurité de l’information A 7 La gestion des actifs A 8 La sécurité des ressources humaines A 9 La sécurité physique et environnementale A 10 La gestion des communications et des opérations A 11 Le contrôle d’accès A 12 L’acquisition, le développement et l’entretien des systèmes d’information A 13 La gestion des incidents de sécurité de l’information A 14 La gestion de la continuité de l’activité A 15 La conformité 17 Approbation des risques résiduels ISO 27001, clause 4.2.1h 2. Risque traité Risque supprimé par les mesures de sécurité 1. Risque résiduel Risque subsistant après le traitement du risque La direction doit être consciente des risques résiduels et en accepter la responsabilité Risque inhérent Ensemble des risques sans prise en compte des mesures de sécurité 2 1 18 2. Réexamen régulier de l’efficacité du SMSI en tenant compte des propositions et rétroactions des parties prenantes 4. Réexamen de l’appréciation des risques 1. Surveillance et réexamen des procédures de détection et de prévention des événements de sécurité 3. Évaluation de l’efficacité des mesures de sécurité 6. Revue de direction et mise à jour des plans de sécurité 5. Réalisation des audits internes Surveillance et réexamen du SMSI Surveillance et réexamen du SMSI ISO 27001, clause 4.2.3 Note: Chacune de ces actions doit être documentée et enregistrée 19 Liste des activités Processus de certification Mise en place du SMSI 1. Choix de l’organisme de certification 3. Audit d’étape 1 2. Préparation à l’audit 5. Audit de suivi (s’il y a lieu) 6. Décision de certification 4. Audit d’étape 2 (visite sur site) Amélioration continue et audit de surveillance Avant l’audit Audit initial Suite à l’audit Audit interne et revue du SMSI 20 1. Choix de l’organisme de certification Principaux critères 1. Notoriété et crédibilité 2. Présence géographique 3. Expériences dans votre industrie 4. Possibilité d’audit combiné 5. Qualification et expérience de l’équipe d’audit 6. Prix 21 Combien de temps dure un audit ? ISO 27006, annexe C (extrait) Nombre d’employés Temps d’audit (jour/ homme) ISO 9001 Temps d’audit (jour/homme) ISO 27001 1 à 10 2 5 26 à 45 4 8,5 66 à 85 6 11 176 à 275 9 14 876 à 1175 13 18,5 2026 à 2675 16 22 4351 à 5450 19 25 8501 à 10700 22 28 22 2. Préparation du personnel 3. Audit à blanc 1. Auto- évaluation Préparation à l’audit 2. Préparation à l’audit de certification Recommandations 23 3. Audit d’étape 1 1. Visite des lieux 2. Entretiens avec les acteurs clés 3. Revue des documents § Validation du domaine d’application ainsi que des contraintes légales, réglementaires et contractuelles applicables § Vérification que les audits internes et la revue de direction ont été réalisés § Préparation de l’étape 2 de l’audit § Compréhension globale du fonctionnement du système de management § Évaluation du design du système de management ainsi que des processus et mesures de sécurité reliées § Vérification que les audits internes et la revue de direction ont été réalisés § Évaluation des lieux et les conditions spécifiques des sites à auditer § Prise de contact avec le personnel de l’audité § Observation des technologies utilisées § Observation générale des opérations du SMSI Note: La revue des documents est la principale activité de l’étape 1 24 4. Audit d’étape 2 Audit sur site OBJECTIFS DE L’AUDIT D’ÉTAPE 2 Évaluer que le SMSI déclaré est : – Conforme à toutes les exigences de ISO 27001 – Effectivement en uploads/S4/ asiq-201302.pdf