Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

ISO 27001 INTRODUCTION L’information, sa gestion et sa sécurité sont aujourd’hu

ISO 27001 INTRODUCTION L’information, sa gestion et sa sécurité sont aujourd’hui plus que jamais des enjeux de management à part entière. car elles impliquent des risques et un régime de fragilité permanente pour l’entreprise, pouvant impacter la qualité des biens et services fournis (notamment dans les délais de livraison, dans la fiabilité des informations fournies). Dans u-n monde interconnecté, l’information et les processus, les systèmes, les réseaux qui s’y rapportent constituent des actifs critiques de l’organisation. Les organisations et leurs systèmes et réseaux d’informations sont confrontés à des menaces pour la sécurité ayant de multiples sources, notamment la fraude assistée par ordinateur, l’espionnage, le sabotage, le vandalisme, les incendies et les inondations. Les dommages causés aux systèmes et aux réseaux d’information par des programmes malveillants, le piratage informatique et les attaques par saturation deviennent plus courants, plus ambitieux et de plus en plus sophistiqués. Cependant, la complexité des systèmes d’information exige une planification rigoureuse de la supervision. Des outils sous forme de « codes de bonnes pratiques » et méthodes d’appréciation des risques permettent aux entreprises de fixer des objectifs, des priorités et coordonner les actions à entreprendre. Néanmoins ces outils, bien qu’ayant prouvé leur efficacité, souffrent d’un manque de reconnaissance au plan international à cause de leur trop grande diversité. Pour remédier à l’hétérogénéité des méthodes et pallier le manque de reconnaissance des « codes de bonnes pratiques », l’ISO (Organisation Internationale de Normalisation) a publié en 2005 la norme ISO/CEI 27001. Mais avant d’entamer l’étude de la norme ISO 27001 il est indispensable de se pencher tout d’abord sur l’historique de cette dernière. En effet, L’ISO est le fruit d’une collaboration entre différents organismes de normalisation nationaux. Au début du XXème siècle, L’American Institute of Electrical Engineer1 invite quatre 1 Aujourd’hui appelé Institute of Electrical and Electronics Engineers. autres instituts professionnels pour constituer une première organisation nationale, l’AESC (American Engineering Standards Committee) qui aura pour objectif de publier des standards industriels communs avant de prendre le nom d’ASA (American Standards Association) et d’établir des procédures standardisées pour la production militaire pendant la seconde guerre mondiale. En 1947, l’ASA, le BSI (British Standards Institute)2, l’AFNOR (Association Française de Normalisation) et les organisations de normalisation de 22 autres pays fondent l’Organisation Internationale de Normalisation (ISO). A ce jour, l’ISO regroupe 157 pays membres, et coopère avec les autres organismes de normalisation comme le CEN (Comité européen de normalisation) ou la Commission Electronique Internationale3 (CEI). Au cours des vingt dernières années les normes liées à la sécurité de l’information ont évolué ou ont été remplacées. Ces changements rendent difficile une bonne compréhension du sujet. Un rappel de l’évolution de ces normes permet de clarifier la situation normative en matière de sécurité de l’information. Au début des années 90, de grandes entreprises britanniques se concertent pour établir des mesures visant à sécuriser leurs échanges commerciaux en ligne. Cette initiative privée fut appuyée par le Département des Transports et de l’Industrie britannique qui supervisa la rédaction au format du BSI, d’une première version de projet de norme de gestion de la sécurité de l’information. En 1991, un projet de «best practices» code de bonnes pratiques, préconise la formalisation d’une politique de sécurité de l’information. En 1995, le BSI publie la norme BS7799 qui intègre dix chapitres réunissant plus de 100 mesures détaillées de sécurité de l’information, potentiellement applicables selon l’organisme concerné. En 1998, la norme BS7799 change de numérotation et devient la norme BS7799-1. Elle est complétée par la norme BS7799-2 qui précise les exigences auxquelles doit répondre un organisme pour mettre en place une politique de sécurité de l’information. En 2000, la norme BS7799-1, devient la norme de référence internationale pour les organismes souhaitant renforcer leur sécurité de l’information. Après avoir suivi un processus de concertation au niveau international et quelques ajouts, l’ISO lui attribue un nouveau nom, ISO/IEC 17799: 2000. En 2002, le BSI fait évoluer la norme BS7799-2 en s’inspirant des normes ISO 9001:2000 et ISO 14001: 1996. La norme adopte définitivement une approche de management de la sécurité de l’information. 2 British Standards Institution un groupe institutionnel britannique d'organismes de services en normalisation, certification, formation et contrôle de conformité. 3 CEI est chargée de la normalisation d’équipements électriques. Il est courant de voir ISO/CEI pour nommer une norme élaborée conjointement par les deux organismes. En 2005, l’ISO/CEI adopte la norme BS7799-2 sous la référence ISO/CEI 27001:2005 en y apportant quelques modifications pour se rapprocher le plus possible du principe de «système de management » développé par les normes ISO 9001 et ISO14001. L’ISO/IEC 27001: 2005 spécifie les exigences pour la mise en place d’un SMSI (système de management de l’information). En 2007, dans un souci de clarification, l’ISO renomme la norme ISO/IEC 17799 :2005 en changeant sa numérotation pour ISO/IEC 27002. La norme se greffe à la famille des normes ISO/IEC 2700x toujours en développement. uploads/Management/ iso-27001.pdf