Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Mise en place d’un SMSI Etape 2: Mise en œuvre et opération Saber ISSA 1 Compré

Mise en place d’un SMSI Etape 2: Mise en œuvre et opération Saber ISSA 1 Compréhension de l’organisme 2 Analyse du système existant 3 Leadership et approbation du projet 4 Domaine d’application 5 Politique de sécurité 6 Structure organisationnelle 7 Management du risque Etape précédente: P: Planifier 1 Documentation 2 Mise en œuvre des processus et mesures 3 Communication 4 Sensibilisation et formation 5 Gestion des opérations D: Déployer 1 Documentation 2 Mise en œuvre des processus et mesures 3 Communication 4 Sensibilisation et formation 5 Gestion des opérations D: Déployer 5 D: Documentation Objectifs de cette étape Développer et maintenir la documentation nécessaire (processus, contrôles de sécurité, politiques spécifiques et procédures) pour un SMSI efficace et adapté aux besoins de l’organisme. Assurer le contrôle et la validité de la documentation du SMSI. 6 Exigences de la norme ISO 27001 Clause 7.5 Informations documentées Le SMSI doit inclure les informations documentées exigées par ISO 27001 et les informations documentées que l’organisation juge nécessaires à l’efficacité du SMSI. D: Documentation 7 Exigences de la norme ISO 27001 Liste des informations documentées explicitement exigées par ISO 27001 Domaine d’application du SMSI (4.3) PSI (5.2) Processus et résultats de l’appréciation des risques SI (6.1.2 & 8.2) Processus et résultats du traitement des risques SI (6.1.3 & 8.3) Déclaration d’applicabilité (6.1.3.d) Objectifs de sécurité de l’information (6.2) Compétence des personnes (7.2.d) Planification et contrôles opérationnels (8.1) Résultats de la surveillance et des mesures (9.1) Programme et résultats d’audit interne (9.2) Conclusions des revues de direction (9.3) Non-conformités, actions correctives et résultats (10.1) D: Documentation 8 Définition du processus de gestion de la documentation – Un organisme qui désire se conformer à ISO 27001 devra: Publier l’ensemble des documents exigés par la norme ISO 27001; Elaborer une procédure de gestion documentaire (documents et enregistrements). – Chaque organisme détermine l’étendue de la documentation nécessaire et les supports à utiliser. D: Documentation 9 Définition du processus de gestion de la documentation Validation de la documentation du SMSI en fonction de trois critères: D: Documentation Critère 1: Contenu Critère 2: Format Critère 3: Cycle de vie documentaire S’assurer que chaque document contient les informations minimales exigées par la clause associée S’assurer que chaque document est conforme en termes de format: titre, identification de l’auteur, numéro de version, date, approbation, date de la dernière version, etc. S’assurer qu’il existe un cycle de vie documentaire conforme à la clause 7.5.3 de la norme 10 Création des modèles: Créer des modèles par types de documents D: Documentation Définition du processus de gestion de la documentation Type de document Description Politique Objectifs et orientations globales exprimés formellement par la direction Procédure Instructions spécifiques qui détaillent les étapes à suivre Manuel de sécurité Regroupement dans un même volume des différents types de documents relatifs à la sécurité de l’information Charte Description d’engagements mises en place entre l’organisme et un groupe d’acteurs (employés, fournisseurs, …) Processus Description du fonctionnement d’un processus par schémas et/ou narratif Formulaire Support papier ou électronique qui sert comme enregistrement de la réalisation d’une opération : demande d’autorisation, de changement, déclaration d’un incident Guide Document pratique détaillant les modes d’utilisation, installation , maintenance et/ou exploitation 11 Elaboration d’un processus de gestion documentaire et établissement d’une procédure pour gérer le cycle de vie des documents Définition du processus de gestion de la documentation D: Documentation 1) Création 2) Identification 3) Classification et sécurité 4) Modification 5) Approbation 6) Distribution 7) Utilisation adéquate 8) Archivage 9) Elimination Cycle de vie des documents 12 Mise en œuvre d’un système de gestion documentaire ‒ Au moment où les documents électroniques sont les plus utilisés, il convient de mettre en place un système efficace pour gérer le cycle de vie des documents. ‒ Un système de gestion documentaire: Facilite l’archivage, l’accès, la diffusion des documents; Prend en charge l’ensemble du cycle de vie des documents; Garantit la traçabilité; Sécurise l’accès aux documents, ‒ Exemple de solution: Système de gestion électronique des documents (GED). Définition du processus de gestion de la documentation D: Documentation 13 Maitrise des enregistrements ‒ Etablir et mettre en œuvre des contrôles permettant d’assurer l’identification, le stockage, la protection, l’accessibilité, la durée de conservation et l’élimination des enregistrements. ‒ Les enregistrements doivent être protégés, rester lisible, être faciles à identifier et accessibles. Processus de gestion des enregistrements D: Documentation 14 Exemples d’enregistrements Définition du processus de gestion de la documentation D: Documentation Identification Classification Emplacement Responsable Durée de conservation Dossier employé Top secret Direction RH Directeur RH 5 ans après la fin de l’emploi Rapport d’audit Revue de direction Registre des visiteurs Fiche de signalement d’incidents Formulaire accompli d’autorisation d’accès 15 Liste principale des documents Il est de bonne pratique de créer une liste unique de l’ensemble de la documentation relative au SMSI avec les informations de base telles que: • L’identifiant unique • Le titre • Le type de document • Les noms, les fonctions et les services des propriétaires • Le nom de l’approbateur et la date d’approbation • La date d’émission • La version et sa date de révision • La classification Définition du processus de gestion de la documentation D: Documentation 16 D: Documentation Description des processus et des contrôles de sécurité – Aucune exigence de la norme ISO 27001 qui oblige l’organisme à décrire de façon détaillée chaque processus ou mesure de sécurité. – Exemples de façons à faire: Se limiter à une documentation sommaire qui décrit le fonctionnement des processus et des contrôles de sécurité inclus dans le SMSI. Inclure la description des mesures de sécurité dans la déclaration d’applicabilité. Documenter les contrôles de sécurité par groupe. Exemple: document pour la gestion des incidents et non par contrôles de sécurité. Documentation assez précise refléter la réalité Pas trop complexe assurer le suivi 17 D: Documentation Description des processus et des contrôles de sécurité – Aucune exigence de la norme ISO 27001 sur la façon de documenter les processus ou les mesures de sécurité. – Exemples de façons à faire: Se limiter à une documentation sommaire qui décrit le fonctionnement des processus et des contrôles de sécurité inclus dans le SMSI Inclure le description des mesures de sécurité dans la déclaration d’applicabilité Documenter les contrôles de sécurité par groupe. Exemple: document pour le contrôle d’accès et non par contrôles de sécurité Documentation assez précise refléter la réalité Pas trop complexe assurer le suivi 18 D: Documentation Description des processus et des contrôles de sécurité Who: Qui What: Quoi How: Comment When: Quand Where: Où Why: Pourquoi L’administrateur système (Qui) s’assure que les sauvegardes sont complétées (Quoi) en révisant les logs de sauvegarde (Comment) chaque matin (Quand), il remplit et signe le formulaire de sauvegarde contenant une liste de contrôles (Où) qui est conservée comme preuve de vérification de la bonne exécution de la sauvegarde (Pourquoi). Les 6 W: concept de 6 questions à se poser systématiquement pour lister tous les aspects afin de couvrir un sujet dans sa globalité. 19 D: Documentation Rédaction des politiques spécifiques – La publication d’une PSI est exigée. – L’organisme devrait encore publier, selon les contrôles de sécurité sélectionnés , les politiques spécifiques suivantes:  Politique en matière d’appareils mobiles;  Politique de télétravail;  Politique de contrôle d’accès;  Politique d’utilisation de la cryptographie;  Politique du bureau propre et de l’écran verrouillé;  politique de sauvegarde;  Politique de transfert de l’information;  Politique de développement sécurisé;  Politique de sécurité de l’information dans les relations avec les fournisseurs. 20 D: Documentation Rédaction des procédures – Les procédures assurent que les contrôles de sécurité élaborées seront exécutées au quotidien selon les spécifications et les politiques de l’organisme. – Il convient d’impliquer les employés responsables des opérations pour la rédaction et la validation des procédures. 21 D: Documentation Exemples de procédures pouvant être incluses dans un SMSI:  Procédure de marquage des informations;  Procédure de traitement de l’information;  Procédure de gestion des supports amovibles;  Procédure de mise au rebut des supports;  Procédure de connexion sécurisée;  procédure pour le travail dans les zones sécurisées;  procédures d’exploitation;  Procédure pour l’installation de logiciel sur des systèmes en exploitation;  Procédures de transfert de l’information;  Procédures de contrôle des changements de système;  Procédure de gestion des incidents SI;  Procédure pour la collecte des preuves;  Mise en œuvre de la continuité de la sécurité de l’information;  Procédure de gestion des droits de propriété intellectuelle. Rédaction des procédures 1 Documentation 2 Mise en œuvre des processus et mesures 3 Communication 4 Sensibilisation et formation 5 Gestion des opérations D: Déployer 23 D: Mise en œuvre des processus et des contrôles de sécurité Objectif: ‒ Assurer la protection efficace des actifs de l’organisme par la mise en ouvre des contrôles de sécurité appropriés. 24 Exigences de la norme ISO 27001 L’organisation doit Clause 8.1 Planification et contrôle opérationnels planifier, mettre en œuvre et contrôler les processus nécessaires à la satisfaction des exigences liées à la SI et à la réalisation des actions déterminées en 6.1. mettre uploads/Management/3-mise-en-oeuvre-et-operation-pdf.pdf