Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

© Gilles Gravel 2006 Interrelation COBIT – ISO - ITIL ISMS-IUG 6 juin 2006 Gill

© Gilles Gravel 2006 Interrelation COBIT – ISO - ITIL ISMS-IUG 6 juin 2006 Gilles Gravel © Gilles Gravel 2006 Ordre du jour Le positionnement des référentiels, pratiques, Normes et standards Pourquoi utiliser 3 « Guides » de bonnes pratiques? COBIT ISO17799:2005 ITIL Leur interrelation Leur utilisation : quand et pourquoi ? Conclusion © Gilles Gravel 2006 Comparaison des cadres de référence COSO CMMi PMBOK Prince2 ITIL Processus Service ISO9000 COMMENT QUOI Source: ISACA, AFAI & H. Ceuleman 2004 CobiT Gouvernance des TI ISO17799 Sécurité Gouvernance d’entreprise © Gilles Gravel 2006 Pourquoi utiliser 3 guides de bonnes pratiques? (1) chaque guide a ses forces et faiblesses ; aucun d’eux n’est « l’OUTIL » universel ; Il faut optimiser l’outil en fonction des objectifs visés ; La force des guides est dans leurs « spécifités » et complémentarités. © Gilles Gravel 2006 Pourquoi utiliser 3 guides de bonnes pratiques? (2) Forces Cobit Guide de bonnes pratiques de gouvernance TI Orienté processus Valorisation des TI Pratiques de contrôles Guide d’audit ISO Code de pratiques de sécurité de l’information Comment faire c. Quoi faire pour sécuriser les TI ITIL Orienté vers le service clientèle Mesurable Valorisation des TI Gestion des incidents Axé sur centre de service Faiblesses Cobit Quoi faire c. comment faire Général, approche de haut niveau ISO N’est pas de la gouvernance des TI, c’est un apport à la gouvernance Ne mesure pas la valeur des TI Strictement orienté sécurité TI ITIL Faible en sécurité N’est pas de la gouvernance des TI, c’est un apport à la gouvernance © Gilles Gravel 2006 Objectifs d’utilisation COBIT-ISO-ITIL Réduction des risques d’affaires ; Amélioration des performances ; Amélioration de la qualité du service ; Transparence et valorisation des TI ; Amélioration des contrôles ; Conformité aux lois et règlements. © Gilles Gravel 2006 COBIT © Control Objectives for Information and related Technology © Gilles Gravel 2006 COBIT Historique(1) 1967 Premier regroupement d’individus ayant les mêmes intérêts 1969 Le groupe formalise son association sous le nom EDP Auditors Association 1976 Formation de l’« Information Systems Audit and Control Fondation » (ISACF) 1992 Projet de mise à jour des «Control Objectives» de l’ISACF 1993 Objectifs augmentés pour inclure les besoins de la direction et des usagers 1994 Ajout de la perspective mondiale Formation d’un comité aviseur 1996 Publication et début de diffusion 1997 Premiers bilans d ’implantation Control Objectives for Information and related Technology © Gilles Gravel 2006 COBIT Historique(2) 1997 Premiers outils automatisés mis sur le marché 1998 Formation de l’IT Gouvernance Institute (ITGI) Intégration de l’« IT Gouvernance» 1998 COBIT-Version 2 2001 COBIT-Version 3 2003 IT Control Objectives for Sarbanes-Oxley 2004 CobiT version 3.2, En ligne, CobiT Quickstart 2005 Cobit Security Baseline 2005 CoBiT 4.0 disponible depuis novembre 2005 Control Objectives for Information and related Technology © Gilles Gravel 2006 Pourquoi et comment utiliser COBIT ? ¾Incorpore les standards internationaux majeurs; ¾est devenu le standard de facto pour le contrôle des TI; ¾démarre à partir des requis d’affaires; ¾est orienté « processus ». IT Processes IT Management Processes IT Governance Processes CobiT IT Processes IT Management Processes IT Governance Processes CobiT best practices repository for IT Processes IT Management Processes IT Governance Processes COBIT IT Processes IT Management Processes IT Governance Processes COBIT best practices repository for C COBI OBIT r T ré épond aux besoins pond aux besoins © Gilles Gravel 2006 Pourquoi COBIT est critique pour les TI? Cadre COBIT Sécurité Gouvernance TI Méthodologie d’audit Politique Sarbanes Oxley Procédés Standards Externalisation des services © Gilles Gravel 2006 Gouvernance des TI selon COBIT © Gilles Gravel 2006 COBIT : Un Cadre de référence et de contrôle des TI Ressources TI Processus TI Besoins d’affaires Cadre de référence •Données •Systèmes d’information •Technologie •Facilités •Ressources humaines •Planification et organisation •Acquisition et mise en place • Distribution et support •Surveillance •Efficacité •Efficience •Confidentialité •Intégrité •Disponibilité •Conformité •Fiabilité de l’information © Gilles Gravel 2006 Les quatre domaines de COBIT © Gilles Gravel 2006 © Gilles Gravel 2006 CobiT - un Cadre de référence pour les TI planifier et développer des programmes d’audit valider les contrôles TI en place évaluer les risques TI réduire les risques TI compléter le cadre de référence COSO l’étalonnage concurrentiel des TI Comme cadre de référence pour améliorer les pratiques TI Comme fondation pour la gouvernance des TI Comment est Comment est- -il utilis il utilisé é? ? RISQUE RISQUE VALEUR VALEUR © Gilles Gravel 2006 ISO 17799:200x Norme pour la sécurité informatique © Gilles Gravel 2006 ISO 17799:2000 La norme est publiée en deux parties : ISO/CEI 17799 Partie 1 : Code de bonne pratique relatif à la gestion de la sécurité de l'information; BS 7799 Partie 2 : Spécifications relatives à la gestion de la sécurité de l'information. La norme internationale ISO/CEI 17799 a été développé par le British Standards Institution © Gilles Gravel 2006 ISO 17799:2000 Origine La norme internationale ISO/CEI 17799 a été développée par le British Standards Institution (BSI) en tant que BS 7799 et elle a été adoptée selon une “procédure par voie expresse" spéciale par le Comité technique mixte ISO/CEI JTC 1, Technologies de l'information, de concert avec son approbation par les organismes nationaux membres de l’ISO et de la CEI. ISO/CEI 17799 se présente sous la forme de notes d'orientation et de recommandations. Celles-ci ont été rassemblées à la suite des consultations menées auprès des plus grandes entreprises. Elle contient dix domaines spécifiques composés de 36 objectifs et de 127 mesures de sécurité. Voici un bref aperçu de chacun des domaines : © Gilles Gravel 2006 ISO 17799:2000 1. Politique de sécurité - Procurer des directives et des conseils de gestion pour améliorer la sécurité des données. 2. Sécurité de l'organisation - Faciliter la gestion de la sécurité de l'information au sein de l'organisation. 3. Classification et contrôle des actifs - Répertorier les actifs et les protéger efficacement. 4. Sécurité du personnel - Réduire les risques d'erreur humaine, de vol, de fraude ou d'utilisation abusive des équipements. 5. Sécurité physique et environnementale - Empêcher la violation, la détérioration et la perturbation des installations et des données industrielles. © Gilles Gravel 2006 ISO 17799:2000 6. Gestion des télécommunications et des opérations - Garantir un fonctionnement sûr et adéquat des dispositifs de traitement de l'information. 7. Contrôle des accès - Contrôler l'accès aux données. 8. Développement et entretien des systèmes - Garantir que la sécurité est incorporée aux systèmes d'information. 9. Gestion de la continuité des opérations de l'entreprise - Réduire les effets des interruptions d'activité et protéger les processus essentiels à l'entreprise contre les pannes et les sinistres majeurs. 10. Conformité - Prévenir les manquements aux lois pénales ou civiles, aux obligations réglementaires ou contractuelles et aux exigences de sécurité. © Gilles Gravel 2006 ISO 17799 10 domaines, 36 objectifs et 127 points de contrôle Source : Gartner Group © Gilles Gravel 2006 ISO 17799:2000 Architecture Politique de sécurité Sécurité de l’organisation Classification et contrôle des actifs 1 2 3 4- Sécurité du personnel 5- Sécurité physique et environnementale 6- Gestion des communications & des opérations 7- Contrôle des accès logiques 8- Développement 9- Gestion de la continuité 10- Gestion de la conformité © Gilles Gravel 2006 ITIL © INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY © Gilles Gravel 2006 ITIL Origine : Gouvernement du Royaume-Uni (UK) Fin des années 1980, CCTA (Central computer and Telecommunication Agency) ITIL est un référentiel du domaine « pseudo public » Protégé par copyright Standard De-facto pour le service TI © Gilles Gravel 2006 ITIL IT Infrastructure Library Origine du ITSMF « Information Technology Infrastructure Management Forum », le seul groupe d’utilisateurs indépendants reconnu internationalement qui se consacre à la gestion des services informatiques. ITIL est basé en partie sur les principes de qualité (ISO 9000 ou structures de qualité totale de l’EFQM. ITIL est divisé en 7 « sets » ou modules (une publication par module) et repose principalement sur les ententes de services ou SLA « Service Level Agreement » Chacun de ces modules est ensuite sous-divisé en disciplines. Référence: http://www.itil-itsm-world.com/ © Gilles Gravel 2006 ITIL 1 Fonction : Centre de services 10 processus répartis dans 2 domaines clés : Soutien en matière de service Fourniture de services Liens direct avec : BS 15000 Code de déontologie (DISC PD0005) Arrimage possible avec CoBiT © Gilles Gravel 2006 11 disciplines ITIL : 1 fonction + 10 processus Gestion des niveaux de service Gestion des capacités Gestion financière uploads/Politique/cobit.pdf