ISO27001/ISO27002: Un guide de poche
eBook - ePub

ISO27001/ISO27002: Un guide de poche

  1. 84 pages
  2. French
  3. ePUB (adapté aux mobiles)
  4. Disponible sur iOS et Android
eBook - ePub

ISO27001/ISO27002: Un guide de poche

Détails du livre
Aperçu du livre
Table des matières
Citations

À propos de ce livre

Protégez l'information de votre organisation grâce à l'ISO27001: 2013

L'information est l'une des ressources les plus importantes de votre organisation, et la conservation de cette information est vitale pour votre entreprise Ce guide de poche pratique est un aperçu essentiel de deux normes clés en matière de sécurité de l'information, il couvre les exigences formelles (ISO27001: 2013) pour la création d'un système de management de la sécurité de l'information (SMSI), ainsi que les recommandations des meilleures pratiques (ISO27002: 2013) pour les responsables du lancement, de la mise en œuvre ou du suivi.

Un SMSI se basant sur l'ISO27001/ISO27002 offre une foule d'avantages:

  • Une amélioration de l'efficacité, en mettant en place des systèmes et des procédures de sécurité de l'information vous permettant de vous concentrer davantage sur votre activité principale.
  • Il protège vos actifs d'information d'un large éventail de cyber-attaques, d'activités criminelles, de compromis internes et de défaillance du système.
  • Gérez vos risques de façon systémique et établissez des plans pour éliminer ou réduire les menaces cybernétiques.
  • Il permet une détection plus rapide des menaces ou des erreurs de traitement, et une résolution plus rapide.

Prochaine étape vers la certification?

Vous pouvez organiser un audit indépendant de votre SMSI en fonction des spécifications de l'ISO27001 et, si votre SMSI est conforme, obtenir éventuellement une certification accréditée. Nous publions une série de boîtes à outils de documentations et des ouvrages sur le SMSI (tels que Neuf étapes vers le succès) pour vous aider à atteindre cet objectif.

Sommaire

  • La famille ISO/CEI 27000 des normes de sécurité de l'information;
  • Historique des normes;
  • Spécification ou Code de bonne pratique;
  • Procédure de certification;
  • Le SMSI et l'ISO27001;
  • Aperçu de l'ISO/CEI 27001: 2013;
  • Aperçu de l'ISO/CEI 27002: 2013;
  • Documentation et enregistrements;
  • Responsabilités du management;
  • Approche procédurale et cycle PDCA;
  • Contexte, politique et domaine d'application;
  • Évaluation des risques;
  • La Déclaration d'Applicabilité;
  • Mise en œuvre;
  • Contrôler et agir;
  • Examen par le management;
  • ISO27001 Annexe A

Concernant l'auteur

Alan Calder est le fondateur et le président exécutif d'IT Governance Ltd, un cabinet d'information, d'avis et de conseils qui aide les conseils d'administration des entreprises à s'attaquer aux questions de gouvernance informatique, de gestion des risques, de conformité et de sécurité de l'information. Il est riche de nombreuses années d'expérience en haute direction dans les secteurs privé et public.

Un guide de poche pratique offrant un aperçu essentiel de deux normes clés en matière de sécurité de l'information. Achetez-le dès aujourd'hui et apprenez comment protéger l'actif le plus important de votre organisation.

Foire aux questions

Il vous suffit de vous rendre dans la section compte dans paramètres et de cliquer sur « Résilier l’abonnement ». C’est aussi simple que cela ! Une fois que vous aurez résilié votre abonnement, il restera actif pour le reste de la période pour laquelle vous avez payé. Découvrez-en plus ici.
Pour le moment, tous nos livres en format ePub adaptés aux mobiles peuvent être téléchargés via l’application. La plupart de nos PDF sont également disponibles en téléchargement et les autres seront téléchargeables très prochainement. Découvrez-en plus ici.
Les deux abonnements vous donnent un accès complet à la bibliothèque et à toutes les fonctionnalités de Perlego. Les seules différences sont les tarifs ainsi que la période d’abonnement : avec l’abonnement annuel, vous économiserez environ 30 % par rapport à 12 mois d’abonnement mensuel.
Nous sommes un service d’abonnement à des ouvrages universitaires en ligne, où vous pouvez accéder à toute une bibliothèque pour un prix inférieur à celui d’un seul livre par mois. Avec plus d’un million de livres sur plus de 1 000 sujets, nous avons ce qu’il vous faut ! Découvrez-en plus ici.
Recherchez le symbole Écouter sur votre prochain livre pour voir si vous pouvez l’écouter. L’outil Écouter lit le texte à haute voix pour vous, en surlignant le passage qui est en cours de lecture. Vous pouvez le mettre sur pause, l’accélérer ou le ralentir. Découvrez-en plus ici.
Oui, vous pouvez accéder à ISO27001/ISO27002: Un guide de poche par Alan Calder en format PDF et/ou ePUB ainsi qu’à d’autres livres populaires dans Informatique et Cybersécurité. Nous disposons de plus d’un million d’ouvrages à découvrir dans notre catalogue.

Informations

Éditeur
ITGP
Année
2017
ISBN
9781849289061
Sujet
Informatique
Sous-sujet
Cybersécurité

CHAPITRE 1 : LA FAMILLE ISO/CEI 27000 DES NORMES DE SECURITE DE L’INFORMATION

ISO27001, la norme internationale en Management de la sécurité de l’information, a été publiée en 2005 et mise à jour en 2013. Elle est à présent largement reconnue et suivie.
Elle fait à présent partie d’une famille bien plus nombreuse, mais l’ISO/CEI 27000 reste la base d’une série de normes internationales liées au management de la sécurité de l’information.
Élaborées par un sous-comité d’un comité technique mixte (ISO/CEI JTC SC27) de l’Organisation internationale de normalisation (ISO) basée à Genève, et la Commission électrotechnique internationale (CEI), ces normes fournissent à présent un cadre mondialement reconnu pour les meilleures pratiques en matière de management de la sécurité de l’information.
L’identification correcte pour la plupart de ces normes inclut le préfixe ISO/CEI et toutes doivent inclure un suffixe se composant de leur date de publication. Cependant, la plupart de ces normes tendent à être abrégées dans le langage courant. Par exemple, l’ISO/CEI 27001:2013 est le plus souvent appelée ISO27001.
La première norme de sécurité de l’information de la série ISO27000 a déjà été publiée.

ISO/CEI 27001:2013 (ISO27001)

Il s’agit de la version actuelle de la spécification liée à la norme internationale d’un système de management de la sécurité de l’information. Elle est indépendante du fournisseur et de la technologie. Elle est « prévue pour s’appliquer à toute organisation, quels que soient son type, sa taille et sa nature »1 et dans tout secteur (par exemple : les entreprises commerciales, les organismes gouvernementaux, ou sans but lucratif), de partout dans le monde. Il s’agit d’un système de management, pas d’une spécification technique, avec l’appellation officielle de « Technologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information — Exigences ».

ISO/CEI 27002:2013 (ISO27002)

Cette norme s’intitule « Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information ». La première édition a été publiée en juillet 2005, et était initialement référencée sous l’appellation ISO/CEI 17799. La dernière édition a été publiée en octobre 2013.

ISO/CEI 27003

Cette norme s’intitule « Technologies de l’information – Techniques de sécurité – Lignes directrices pour la mise en œuvre du système de management de la sécurité de l’information ». Elle a été publiée en janvier 2010.

ISO/CEI 27004

L’ISO/CEI 27004 s’intitule « Technologies de l’information – Techniques de sécurité – Management de la sécurité de l’information – Surveillance, mesurage, analyse et évaluation ». La présente norme vise à aider les organisations à mieux répondre aux exigences énoncées aux articles 9.1 à 9.3 de la norme ISO27001 afin de mesurer l’efficacité des contrôles. Elle a été publiée en décembre 2009.

ISO/CEI 27005:2011

La Gestion des risques en sécurité de l’information (basée sur la norme ISO/CEI 13335 MICTS Partie 2) a été publiée en juin 2008, et une édition plus récente en a été publiée en 2011.

ISO/CEI 27006:2011

Cette norme définit les exigences applicables aux organismes chargés de la vérification et de la certification des systèmes de management de la sécurité de l’information.

Définitions

Les définitions utilisées dans toutes ces normes sont prévues pour être cohérentes entre elles ainsi qu’avec celles utilisées dans le guide ISO/CEI 73:2009. L’ISO/CEI 27000:2016 est également disponible; elle s’intitule « Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Vue d’ensemble et vocabulaire ».
_____________________
1 ISO/CEI 27001:2013, domaine d’application 1.

CHAPITRE 2 : HISTORIQUE DES NORMES

La première norme formelle en matière de sécurité de l’information, BS7799, a été initialement publiée au Royaume-Uni en avril 1999 en tant que norme en deux parties. Un code préalable de bonnes pratiques a été considérablement révisé et est devenu la première partie de la nouvelle norme (BS7799-1:1999) à la suite de quoi une seconde partie (BS7799-2: 1999) a été rédigée et ajoutée.
Le lien entre les deux normes a été créé sous la forme :
La partie 1 en tant que code de bonnes pratiques
La partie 2 en tant que spécification d’un SMSI ayant déployé des contrôles choisis dans le code de bonnes pratiques.
La Partie 2 initiale spécifiait, dans la partie principale de la norme, le même ensemble de contrôles que dans la Partie 1, mais décrits de façon beaucoup plus détaillée (en particulier en ce qui concerne la mise en œuvre). Ces contrôles ont par la suite été retirés du corps de la Partie 2 et énumérés dans une annexe, l’Annexe A.
Cette relation se poursuit aujourd’hui entre les spécifications du SMSI, qui sont contenus dans une norme, et les lignes directrices détaillées sur les contrôles de sécurité de l’information devant être prises en compte dans l’élaboration et la mise en œuvre du SMSI, qui sont contenues dans l’autre partie de la norme combinée.
L’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC)1 ont alors collaboré à l’adoption et à l’internationalisation de la BS7799-1 en tant qu’ISO/CEI 17799:2000 en décembre 2000. L’ISO17799 a été largement utilisée au niveau mondial pour fournir des lignes directrices sur les meilleures pratiques en matière de contrôles de sécurité de l’information.
L’ISO 17799 a été révisée, améliorée et mise à jour en grande partie cinq ans plus tard (en 2005) et a également été reclassifiée dans la série ISO27000.

BS7799-2

BS7799-2:1999 a été révisée et rééditée en tant que BS7799-2:2002. Des modifications y ont alors été apportées, dont :
l’alignement de la numérotation des articles dans les deux parties de la norme
l’ajout du modèle PDCA (voir le Chapitre 15) à la norme
l’ajout d’une exigence d’amélioration continue du SMSI
l’alignement de la norme et de ses clauses détaillées avec l’ISO9001:2000 et l’ISO14001:1996, afin de faciliter le développement des systèmes de management intégrés.

ISO27001:2005

Bien qu’un certain nombre de pays aient adopté la norme BS7799-2, elle n’était toujours qu’une norme britannique en juin 2005, date à laquelle l’ISO/CEI 17799:2005 va être publiée. La décision a été prise à l’époque de mettre la BS7799-2 sur la « voie rapide » à l’internationalisation, et le projet final de Norme internationale (FDIS) a été publié en juin 2005. La BS7799-2:2005 (ISO/CEI 27001:2005) a finalement été publiée en octobre 2005.

ISO27001:2013

Après une consultation approfondie des organisations membres de l’ISO/CEI, la dernière édition de l’ISO27001 a été publiée en octobre 2013. Elle a mis l’accent sur la création d’un SMSI qui complète l’organisation et ses processus, et réduit la redondance au sein de la spécification et des contrôles.

Similarités entre l’ISO27001 et l’ISO27002

L’Annexe A de la norme ISO/CEI 27001:2013 énumère les 114 contrôles qui se trouvent dans l’ISO/CEI 27002:2013, suit le même système de numérotation et utilise les mêmes mots en ce qui concerne les contrôles et leurs objectifs.
La préface de l’annexe stipule : « les contrôles et leurs objectifs [mentionnés dans cette édition] sont directement dérivés et alignés sur ceux énumérés dans la norme ISO/CEI 27002:2013 ». L’ISO/CEI 27001 exige que l’organisation « détermine tous les contrôles nécessaires à la mise en œuvre de la ou des options de traitement des risques de sécurité de l’information choisi(e)s »2.
L’ISO27002 fournit également des directives de mise en œuvre substantielles sur la façon dont les contrôles individuels doivent être abordés. Quiconque implémente un SMSI ISO27001 devra acquérir et étudier des copies de chacune des deux normes ISO27001 et ISO27002.
Bien que l’ISO27001 impose en effet l’utilisation de l’ISO27002 en tant qu’orientation en matière de contrôles, de leur sélection et de leur mise en œuvre, elle ne limite pas le choix des contrôles de l’organisation. La spécification précise : « Les contrôles et leurs objectifs énumérés à l’annexe A ne sont pas exhaustifs et des contrôles et leurs objectifs additionnels peuvent s’avérer nécessaires ».3

Utilisation des normes

Ces deux normes reconnaissent que la sécurité de l’information ne peut être menée à bien au moyen des seuls interventions technologiques, et ne devrait jamais être mise en œuvre en inadéquation avec l’approche du risque de l’organisation, ou d’une façon qui nuise ou génère des difficultés dans la conduite de ses activités.
Une sécurité de l’information efficace est définie dans la norme ISO27000 comme la « préservation de la confidentialité, de l’intégrité et de la disponibilité de l’information ».
_____________________
1 La CEI est « la principale organisation mondiale qui prépare et publie des normes internationales ayant trait à toutes les technologies électriques, électroniques et connexes ». Son site Web est : www.iec.ch. L’ISO ...

Table des matières

  1. Couverture
  2. Titre
  3. droits d’auteur
  4. Avant-propos
  5. Concernant l’auteur
  6. Credits et Remerciements
  7. Sommaire
  8. Introduction
  9. Chapitre 1 : La famille ISO/CEI 27000 des normes de sécurité de l’information
  10. Chapitre 2 : Historique des normes
  11. Chapitre 3 : Spécification ou Code de bonne pratique
  12. Chapitre 4 : Procédure de certification
  13. Chapitre 5 : Les SMSI et l’ISO27001
  14. Chapitre 6 : Aperçu de l’ISO/CEI 27001:2013
  15. Chapitre 7 : Aperçu de l’ISO/CEI 27002:2013
  16. Chapitre 8 : Documentation et enregistrements
  17. Chapitre 9 : Responsabilités du management
  18. Chapitre 10 : Approche procédurale et cycle PDCA
  19. Chapitre 11 : Contexte, politique et domaine d’application
  20. Chapitre 12 : Évaluation des risques
  21. Chapitre 13 : La Déclaration d’Applicabilité (DdA)
  22. Chapitre 14 : Mise en œuvre
  23. Chapitre 15 : Contrôler et agir
  24. Chapitre 16 : Évaluation du management
  25. Chapitre 17 : ISO27001 Annexe A
  26. Ressources ITG