Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Licensed to e-work (k.elgorani@e-work.ma) ©Copyrighted material PECB®. Single u

Licensed to e-work (k.elgorani@e-work.ma) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2018-08-09 1/133 Sommaire de la journée 4 Section 21 : Surveillance, mesure, analyse et évaluation Section 22 : Audit Interne Section 23 : Revue de direction Section 24 : Traitement des problèmes et des non-conformités Section 25 : Amélioration continue Section 26 : Préparation à l’audit de certification Section 27 : Compétence et évaluation d'un Lead Implementer Section 28 : Clôture de la formation © 2016 PECB Version 5.5 Éditeur : Éric Lachapelle Numéro de document : ISMSLID4V45.5 Les documents fournis aux participants sont strictement réservés à l’usage de cette formation et sont protégés par un copyright par PECB. Sauf indication contraire, aucune partie de cette publication ne peut, sans permission écrite de la part de PECB, être reproduite ou utilisée sous quelque forme que ce soit ou par quelque moyen que ce soit, électronique ou mécanique, incluant également photocopie et microfilm Licensed to e-work (k.elgorani@e-work.ma) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2018-08-09 2/133 Licensed to e-work (k.elgorani@e-work.ma) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2018-08-09 3/133 Principaux objectifs à cette étape : 1. Évaluer l’efficacité du SMSI en œuvre dans l’organisme. 2. Valider si les exigences de sécurité ont été satisfaites. Licensed to e-work (k.elgorani@e-work.ma) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2018-08-09 4/133 Un organisme qui désire se conformer à ISO 27001 doit, au minimum : 1. Déterminer ce qui doit être mesuré et surveillé 2. Définir les méthodes de surveillance, de mesure, d’analyse et d’évaluation ; 3. Recueillir les données pour la surveillance, la mesure, l’analyse et l’évaluation ; 4. Effectuer l’analyse et l’évaluation de la surveillance et les résultats de la mesure ISO 27003 : 2017, Clause 9.1 : Une bonne pratique est de définir le «besoin d'information» lors de la planification du suivi, de la mesure, de l'analyse et de l'évaluation. Un besoin d'information est généralement exprimé en tant qu’enjeux ou déclaration de sécurité d'information de haut niveau qui aide l'organisation à évaluer la performance en matière de sécurité de l'information et l'efficacité du SMSI. En d'autres termes, le suivi et la mesure ont besoin d’être entrepris pour atteindre un besoin d'information défini. Il faut prendre soin de déterminer les attributs à mesurer. Il est impraticable, coûteux et contreproductif de mesurer trop, ou les mauvais attributs. En plus des coûts de mesure, d'analyse et d'évaluation de nombreux attributs, il est possible que les problèmes clés puissent être obscurcis ou manqués complètement. Il existe deux types génériques de mesures : h) les mesures de la performance, qui expriment les résultats prévus en fonction des caractéristiques de l'activité planifiée, telles que le décompte des effectifs, l'accomplissement des étapes ou le degré d'application des contrôles de sécurité de l'information; et i) les mesures d'efficacité, qui expriment l'effet que la réalisation des activités planifiées a sur les objectifs de sécurité de l'information de l'organisme Licensed to e-work (k.elgorani@e-work.ma) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2018-08-09 5/133 Le mesurage est le processus pour déterminer une valeur. La mesure de la performance peut être définie comme un moyen systématique d’évaluer les objectifs et les buts d’un organisme par rapport à ses réalisations réelles. Les mesures de la performance sont d’une valeur minime en soi, à moins qu’elles ne soient vues dans le contexte des stratégies et des objectifs de l’organisme. Il est également vrai que le système de management doit contribuer à l’atteinte des objectifs de l’organisme s’il est efficace. La mesure de la performance dans ce contexte devrait occuper une place importante dans les préoccupations des différentes personnes exerçant des responsabilité dans le cadre du système de management. Licensed to e-work (k.elgorani@e-work.ma) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2018-08-09 6/133 En résumé, le processus de surveillance et de mesure visa à: 1. Identifier les objectifs de mesurage ; 2. Sélectionner les attributs des objets qui peuvent être mesurés ; 3. Créer des indicateurs de performance ; 4. Évaluer les objectifs atteints et améliorer le système de management. Exemple : 1. Objectifs de mesurage : S’assurer que tous les employés sont sensibilisés aux risques majeurs auxquels l’organisme fait face. 2. Attribut: L’employé qui a suivi la session de sensibilisation. 3. Indicateur de performance: % des employés qui ont suivi la session de sensibilisation et qui ont réussi le test. Licensed to e-work (k.elgorani@e-work.ma) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2018-08-09 7/133 ISO 27004 - Introduction Cette norme internationale offre des lignes directrices relatives à la conception et à l’utilisation des mesures et mesurage pour évaluer l’efficacité d’un Système de Management de Sécurité de l’Information (SMSI) en fonctionnement et les contrôles ou groupes de contrôles tel qu’indiqué dans ISO/IEC 27001. Cette norme comprend la politique, la gestion des risques de la sécurité de l’information, les objectifs de contrôle, les processus et procédures. Celle-ci soutient également le processus de sa révision, aidant à déterminer si des processus ou contrôles SMSI ont besoin d’être modifiés ou améliorés. Il est à retenir qu’aucun mesurage des contrôles ne peut garantir une sécurité totale. La mise en œuvre de cette approche établit un programme de mesurage de la sécurité de l’information. Le programme de mesurage de la sécurité de l’information aidera la direction à identifier et évaluer les processus et contrôles SMSI non-conformes et inefficaces et à prioriser les actions associées à l’amélioration ou la modification de ces processus et/ou contrôles. Ceci peut également aider l’organisation à démontrer la conformité à ISO/IEC 27001 et offrir des preuve supplémentaires pour les processus de revue de direction et de gestion du risque de la sécurité de l’information. La norme internationale suppose que le point de départ pour l’élaboration des mesures et du mesurage est une solide compréhension des risques de sécurité de l’information auxquels une organisation fait face et que les activités d’évaluation du risque d’une organisation ont été effectuées correctement (c.-à-d. selon ISO/IEC 27005), tel que requis par ISO/IEC 27001. Le programme de mesurage de la sécurité de l’information encouragera une organisation à fournir de l’information fiable aux intervenants concernant ses risques à la sécurité de l’information et le statut du SMSI mis en oeuvre pour gérer ces risques.. Mis en œuvre efficacement, Le programme de mesurage de la sécurité de l’information améliorerait la confiance des parties prenantes dans le résultat des mesures et permettrait aux intervenants d’utiliser ces mesures pour effectuer des améliorations à la sécurité de l’information et du SMSI. Les résultats accumulés des mesurages permettront la comparaison du progrès réalisé pour atteindre les objectifs de sécurité sur une période de temps dans le cadre d’un processus d’amélioration continue du SMSI d’un organisme. Licensed to e-work (k.elgorani@e-work.ma) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2018-08-09 8/133 Liste des activités incluses dans la méthodologie de PECB IMS2 avec les données d’entrée et de sortie correspondantes Données d’entrée Les processus de sécurité de l’information et les plans mis en œuvre dans le SMSI Le rapport d’appréciation du risque Activités 1. Détermination des objectifs de mesurage 2. Objet de surveillance et de mesurage 3. Détermination de la fréquence et de la méthode de surveillance et de mesurage 4. Rapport des résultats Données de sortie Indicateurs Tableau de bord Licensed to e-work (k.elgorani@e-work.ma) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2018-08-09 9/133 L’organisme réalisera des évaluations de son système de management et de ses procédures afin d’assurer leur soutenabilité, leurs adéquation et leur efficacité continue. Les mesures de la performance choisies seront les vecteurs pour communiquer le succès ou l’échec du système de management. Tout ensemble de mesures de performance doit être soigneusement sélectionné pour s’assurer qu’il détermine, en fait, la voie à suivre pour réaliser les objectifs de l’organisme. Les objectifs de mesurage dans le contexte d’un système de management vise à : Évaluer l’efficacité des processus et des procédures mis en œuvre ; Vérifier dans quelle mesure les exigences identifiées de la norme ont été respectées ; Faciliter l’amélioration de la performance ; Fournir des éléments d’entrée (intrants) pour la revue de direction afin de faciliter la prise de décision et justifier les améliorations nécessaires à la mise en œuvre du système de management. Licensed to e-work (k.elgorani@e-work.ma) ©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2018-08-09 10/133 Un petit nombre de mesures significatives de la performance est préférable à une pléthore de mesures non relatives aux objectifs de l’organisme. Plusieurs organismes utilisent la règle SMART (Specific-Measurable- Attainable-Realistic-Timely) quand ils développent leurs mesures de performance. Spécifique : clair et concentré pour éviter une méprise. Mesurable : peut être quantifié et comparé aux autres données. Une analyse statistique devrait être possible. Atteignable : réalisable, raisonnable et acceptable dans un contexte de performance particulier. Réaliste : s'inscrit dans la culture de l'organisation et est rentable par rapport aux ressources disponibles. Aucun ensemble de mesures génériques ne uploads/Management/ iso-27001-lead-implementer-fr-v-5-5-day-4.pdf