Certification ISO 27001 Certification ISO 27001 Hervé Schauer Hervé Schauer Sém

Certification ISO 27001 Certification ISO 27001 Hervé Schauer Hervé Schauer Séminaire sur la Sécurité Informatique Séminaire sur la Sécurité Informatique Casablanca, 1 novembre 2007 Casablanca, 1 novembre 2007 L'EMIAE L'EMIAE Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 2 2 / 47 / 47 Sommaire Sommaire ISO 27001 : PDCA Certification d'un système de management Processus de certification Schéma de certification Accréditation Autorités d'accréditation Certifications Certifications en sécurité des systèmes d'information Certifications des systèmes de management 1/3 Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 3 3 / 47 / 47 Sommaire Sommaire Certification ISO 27001 Schéma de certification ISO 27001 Normes utilisées Norme d'audit Normes d'accréditation Règlement de certification Organismes de certification en France Accréditation pour la certification de SMSI Auditeurs de certification 2/3 Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 4 4 / 47 / 47 Sommaire Sommaire Processus de certification ISO 27001 Limites de la certification ISO 27001 Intérêts de la certification ISO 27001 Organisations certifiées Certificats ISO 27001 publics Certification des auditeurs Conclusion Annexe : acronymes 3/3 Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 5 5 / 47 / 47 ISO 27001 : PDCA ISO 27001 : PDCA Organisation Système de Management de la Sécurité de l'Information (SMSI) Exigences Satisfaction Parties prenantes Parties prenantes Action Action Faire/Do Planification Planification Planifier/Plan Vérification Vérification Vérifier/Check Correction Correction Agir/Act Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 6 6 / 47 / 47 Certification d'un Système de Mgmt Certification d'un Système de Mgmt Assurance par une démonstration indépendante que le système de management est : IS 17021:2006 Conforme aux exigences spécifiées Capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés Mis en oeuvre de manière efficace Apporte une plue-value À l'organisme, à ses clients, aux parties interessées Certification comprend : Audit du système de management Délivrance d'un certificat Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 7 7 / 47 / 47 Processus de certification Processus de certification Organisation SMSI Equipe d'audit Organisme de certification Partie prenante  Nomination  Résultats d'audit  Demande de certification  Délivrance du certificat  Publicité du certificat  Validité du certificat  Audit de certification Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 8 8 / 47 / 47 Schéma de certification Schéma de certification Organisation souhaitant être certifiée Autorité d'accréditation Organisme de certification Accrédite Certifie Schéma commun à toutes les certifications Autorité d'accréditation Une seule par pays Organisme d'état Organisme de certification (ISO17021 1) Nombreux Généralement des sociétés privées Peut être un organisme gouvernemental Avec ou sans pouvoir règlementaire Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 9 9 / 47 / 47 Accréditation Accréditation CNAB COFRAC ... ENAC UKAS SWEDAC RvA KAB JIPDEC JAS-ANS DAR-TGA JAB Reconnaissance mutuelle internationale des organismes de certifications accrédités MoU : Memorandum of Understanding Même valeur des certificats dans tous les pays Certificat indien même valeur qu'un certificat français Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 10 10 / 47 / 47 Autorités d'accréditation Autorités d'accréditation France : COFRAC (Comité Français d'Accréditation) Registre des organismes accrédités : http://www.cofrac.fr/ LSTI pour les SMSI (ISO 27001) et la PRIS Grande-Bretagne : UKAS (United Kingdom Accreditation Service) Registre des organismes accrédités : http://www.ukas.com/about_accreditation/accredited_bodies/certification_body_schedules. BSI, Veritas, KPMG Audit, JACO-IS, JQAO, etc pour les SMSI Espagne : ENAC (Entidad Nacional de Acreditación) Luxembourg : OLAS (Office Luxembourgeois d'Accréditation et de Surveillance) Suisse : SAS (Service d'Accréditation Suisse) ... Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 11 11 / 47 / 47 Certifications Certifications Quatres types de certification :  Certification des produits Certification des organisations  Certification des services  Certification des systèmes de management ISO 17021 Norme pour toutes les certifications de systèmes de management  Certification de personnels ISO 17024 Norme pour toutes les certifications de personnels Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 12 12 / 47 / 47 Certifications en sécurité des SI Certifications en sécurité des SI  Certification des produits En sécurité des SI : ISO 15408 : Critères d'évaluation pour la sécurité des technologies de l'information Certification des organisations  Certification des services En sécurité des SI en France : PRIS v2 par LSTI : Politique de Référencement Intersectorielle de Sécurité (DCSSI/DGME) Pour prestataires de services de confiance (PKI) : signature électronique, authentification, horodatage électronique, ...  Certification des systèmes de management En sécurité des SI : ISO 27001  Certification de personnels En sécurité des SI : CISSP par ISC2 En France : ISO 27001 Lead Auditor par LSTI (accréditation en cours) Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 13 13 / 47 / 47 Certifications des systèmes de mgmt Certifications des systèmes de mgmt Certification des systèmes de management : de la qualité (SMQ) : ISO 9001:2002 environnemental (SME) : ISO 14001:2004 de la santé et la sécurité au travail (SMSST) : OHSAS 18001:1999 n'est pas devenu une norme ISO comme prévu de la sécurité de l'information (SMSI) : ISO/IEC 27001:2005 de la sécurité alimentaire (SMSA) : ISO 22000:2005 des services informatiques des organismes : ISO 20000:2005 (ITIL, BS15000) de la sureté pour la chaine d'approvisionnement : ISO 28000:2005 ... Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 14 14 / 47 / 47 Certification ISO 27001 Certification ISO 27001 Certification des Systèmes de Management de la Sécurité de l'Information Schéma de certification commun à toute la certification Autorité d'accrédiation Se déclare compétante pour le domaine : certification des SMSI Evalue, puis accrédite des organismes de certification Accréditeurs (Assessors) ou auditeurs d'accréditation Organismes de certification accrédités Aucun, un ou plusieurs par pays Evalue puis certifie votre organisation suivant l'ISO27001 Auditeurs (Auditors) Organisations certifiées Peuvent rendre public leur certificat Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 15 15 / 47 / 47 Schéma de certification ISO 27001 Schéma de certification ISO 27001 Votre organisation Autorité d'accréditation COFRAC Organisme de certification LSTI Accréditeurs Auditeurs Evaluation du processus de certification SMSI Audits de certification du SMSI Témoins des audits (observateurs) ISO 17021 : référentiel ISO 17021 : référentiel ISO 19011 : audit de SM ISO 19011 : audit de SM ISO 27006 : audit de SMSI ISO 27006 : audit de SMSI ISO 27001 : référentiel ISO 27001 : référentiel ISO 19011 : audit de SM ISO 19011 : audit de SM ISO 27006 : audit de SMSI ISO 27006 : audit de SMSI Normes utilisées Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 16 16 / 47 / 47 Normes utilisées Normes utilisées Norme d'audit de système de management ISO 19011 Lignes directrices pour l'audit des systèmes de management Normes d'accréditation ISO 17021 qui était auparavant EN 45012 / ISO Guide 62 Conformity assessment - requirements for bodies providing audit and certification of management systems EA 7/01 Guidelines on the application of EN 45012 / ISO Guide 62 ISO 27006 qui remplacera EA 7/03 Guidelines for the accreditation of bodies operating certification of Information Security Management Systems Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 17 17 / 47 / 47 Norme d'audit Norme d'audit ISO 19011 Spécifie les règles que doit suivre un auditeur de système de management Bonnes pratiques d'audit Audit interne ou externe Principes de l'audit Etablissement, mise en oeuvre et revue des programmes d'audit Programme d'audit : revue de documents, audit sur site, rapport Réunions d'ouverture et de cloture Compétences des auditeurs Qualités personnelles, connaissances, aptitude, formation initiale, formation d'auditeur Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 18 18 / 47 / 47 Normes d'accréditation Normes d'accréditation ISO 17021 ISO Guide 62:1996 est devenu EN 45012:1998 (norme européenne) puis IS 17021:2006 Spécifie les exigences Qu’un organisme de certification doit satisfaire Dans le domaine des systèmes de management Pour être reconnu compétent et fiable Objectif Rendre homogènes les certifications délivrées par les différents organismes dans le monde 1/3 Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 19 19 / 47 / 47 Normes d'accréditation Normes d'accréditation EA-7/01 Précise des informations utiles à l'application de l'EN45012:1998 Nombre de jours d'audit en fonction du nombre d'employés Documents EA (European co-operation for Accreditation) disponibles en ligne sur le site de l'EA www.european­accreditation.org 2/3 Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 20 20 / 47 / 47 Normes d'accréditation Normes d'accréditation ISO 27006 EA-7/03 deviendra IS 27006:2007 Guide d'application de l'ISO 17021 / ISO 27001 et ISO 19011 À l'accrédidation d'un organisme de certification de SMSI sans ajouter de nouvelles exigences À l'audit de certification d'un SMSI Compétence des auditeurs et experts techniques Programme d'audit appliqué aux SMSI Appréciation de la complexité du SMSI à auditer Calcul de la durée des audits Harmonisation de l'audit des mesures de sécurité du SOA Qualification : organisationelle et/ou technique Vérification visuelle Test sur le système possible, recommandé, obligatoire 3/3 Copyright Hervé Schauer Consultants 2000-2006 - Reproduction Interdite 21 21 / 47 / 47 Règlement de certification Règlement de certification Organisation demandant la certification Organisme de certification Règlement de Règlement de certification certification Référentiel Référentiel ISO 27001 ISO 27001 Référentiel ISO 17021 Référentiel ISO 17021 Guides EA-7/01 et Guides EA-7/01 et ISO 27006 (EA-7/03) uploads/Finance/ emiae-certif27001-hs-pdf.pdf

Documents similaires

POUR LA SELECTION D'UN CONSULTANT INDIVIDUEL EN QUALITE DE SPECIALISTE EN ACQUI 0 0

AFRICAN DEVELOPMENT BANK DACON SYSTEM COUNSULTANTS USER GUIDE 1. General Recomm 0 0

La bible du consultant Comment entreprendre dans le consulting 2 Introduction A 0 0

JM GANDY – www.novasun.fr - copyright © - version 01/01/17 – page 1/15 BUSINESS 0 0

Antiquité – Brocante Actualisation décembre 2012 – Codes APE 47.79Z Référence A 0 0

Copyright © Buziness24 Démarrez Votre Business Avec Zéro Euro Par L’affiliation 0 0

MINISTERE DES MINES, DE REPUBLIQUE DU MALI L’ENERGIE ET DE L’EAU UN PEUPLE – UN 0 0

1 © Copyright. Tous droits réservés. Recherche Marketing et Fidélité aux Marque 0 0

IAF GD5 :2006 Date d'émission : 8 décembre 2006 Date d'Application 8 décembre 2 0 0

• Détails
• Publié le Oct 25, 2021
• Catégorie Business / Finance
• Langue French
• Taille du fichier 0.2846MB