Bibliographie & annexes
Présentation
En anglais
NOTE DE L'ÉDITEUR
La norme NF EN ISO 19011 de janvier 2012 citée dans cet article a été remplacée par la norme NF EN ISO 19011 (X50-136) "Lignes directrices pour l'audit des systèmes de management" Révision 2018
Pour en savoir plus, consultez le bulletin de veille normative VN1806 (juillet 2018).
RÉSUMÉ
La sécurité de l'information fait partie du périmètre de la normalisation (ISO et AFNOR). À savoir les normes suivantes : ISO/CEI 27001 Exigences pour la certification, ISO/CEI 27002 Code de pratiques, ISO/CEI 27005 Gestion des risques. La sécurité de l'information est organisée dans un Système de Management de la sécurité de l'Information (SMSI). La démarche méthodologique nécessite de recenser les actifs et d'analyser les risques au regard des trois facteurs : Disponibilité, Intégrité, Confidentialité. En fonction de l'impact (gravité) et de la probabilité d'apparition (fréquence) les risques seront classés soit acceptables soit risques résiduels. Les incidents de sécurité doivent être gérés. Des plans de traitement des risques contribuent à l'amélioration du SMSI.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
Information security comes within the scope of standardization (ISO and AFNOR (French national body mirroring ISO)). The following standards are concerned: ISO / IEC 27001 Requirements for certification, ISO / CIS 27002 Codes of practice, and ISO / CIS 27005 Risk management. Information security is organized in an Information Security Management System (ISMS). The methodological approach requires an inventory of assets and a risk analysis with regard to three factors: availability, integrity, and confidentiality. According to the impact (gravity) and the probability of occurrence (frequency) the risks are classified as either acceptable or residual. Security incidents must be managed. Risk treatment plans help to improve the ISMS.
Auteur(s)
-
Claude PINET : Ingénieur diplômé du Conservatoire National des Arts et Métiers (CNAM) - Ingénieur européen EUR ING - Responsable d'audit certifié IRCA (International Register of Certificated Auditors) n 1182803 - Directeur fondateur CPI CONSEIL, France
INTRODUCTION
L'information constitue un capital très important pour tout organisme. Elle représente une ressource vitale pour exercer des activités. À ce titre, l'information nécessite la mise en place et la gestion d'une protection adaptée.
La sécurité de l'information a pour objectif de protéger l'information contre les nombreuses menaces qui pèsent sur elle, et peuvent entraîner la dégradation ou l'interruption de la continuité de l'activité de l'organisme. Des mesures doivent être définies, mises en œuvre, suivies, réexaminées et améliorées afin d'atteindre un certain nombre d'objectifs dédiés à la sécurité.
Des processus particuliers doivent être définis et déployés pour y parvenir. Toutefois, ces derniers doivent s'organiser harmonieusement avec les autres processus dans le cadre du système de management global de l'organisme.
Afin de préciser les exigences de sécurité relatives à l'information, un référentiel normatif international a été élaboré. Bien évidemment, il est applicable aux différents systèmes qui traitent l'information.
Le contenu de cet article a été actualisé suite à la dernière version de la norme internationale NF EN ISO/CEI 27001 publiée au mois de décembre 2013.
L'expertise technique et scientifique de référence
MOTS-CLÉS
sécurité des systèmes d'informations SMSI sécurité de l'information système de management de la sécurité de l'information systèmes d'information normalisation certification ISO/CEI 27001:2013
KEYWORDS
security of informations systems | ISMS | information security | information security management system | information system | standardization | certification | ISO/CEI 27001:2013
VERSIONS
- Version archivée 1 de août 2012 par Claude PINET
- Version courante de juil. 2024 par Claude PINET
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(239 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Déclaration d'applicabilité
En anglais
3. Norme ISO 27001
3.1 Contexte
Un premier document ISO/CEI 17799 publié en 2005 traitait des techniques de sécurité – Code de bonnes pratiques pour la gestion de la sécurité de l'information. Ces recommandations de mise en œuvre sont reprises dans l'annexe A normative de l'ISO/CEI 27001. La version 2013 comporte une évolution majeure des exigences.
Principaux changements de la nouvelle version :
-
les définitions sont rassemblées dans l'ISO 27000 ;
-
deux chapitres supplémentaires d'exigences : de 4 à 10 au lieu de 4 à 8 ;
-
l'annexe A normative qui adopte une nouvelle structure : 14 secteurs d'objectifs au lieu de 11, et 114 mesures de sécurité, au lieu de 133 ;
-
les anciennes annexes B et C informatives sont supprimées.
La norme ISO/CEI 27001 est une norme d'exigence. Elle sert de référentiel pour une certification d'un Système de management de la sécurité de l'information (SMSI).
Système de management de la sécurité de l'information (SMSI).
« Partie du système de management global, basée sur une approche du risque lié à l'activité, visant à établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l'information » (Source ISO/CEI 27000 : 2013).
L'organisation des articles de cette nouvelle version est alignée sur la structure standard de haut niveau (en 10 chapitres) comme les nouvelles versions des référentiels ISO 9001 (qualité) et ISO 14001 (environnement). Aussi, lorsque c'est opportun, il est aisé de réaliser des économies d'échelles et d'harmoniser les systèmes de management en procédant à une certification multiple.
9001-27001 ou 20000-27001.
Les entreprises déjà certifiées par rapport à la version 2005 disposent d'une période transitoire de trois ans pour mettre leur Système de management de la sécurité de l'information (ou leur système intégré) en conformité avec les nouvelles exigences.
HAUT DE PAGE3.2 Structure normative
Comme toutes les normes ISO, cette norme...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(239 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Norme ISO 27001
BIBLIOGRAPHIE
-
(1) - Sous la direction de PINET (C.) (Groupe des experts qualité du CNAM) - La qualité du logiciel. Retour d'expériences. - AFNOR (1998).
-
(2) - PINET (C.) - Mise en œuvre de la qualité. - Guide du responsable micro, Édition Dunod, Chap. 13 (1998 et mise à jour 2000).
-
(3) - PINET (C.) - Système d'information : évolution des normes relatives au logiciel dans la mouvance des nouvelles normes ISO 9000. - Actes des conférences SISQUAL'99.
-
(4) - PINET (C.) - Processus d'ingénierie du logiciel. Méthodes et qualité. - Pearson Éducation (2002).
-
(5) - PINET (C.) - 10 clés pour réussir sa certification ISO 9001. - AFNOR (2006).
-
(6) - PINET (C.) - 10 clés pour la gestion des...
DANS NOS BASES DOCUMENTAIRES
Audit diagnostic évaluation système (ADES). Cet outil gère plusieurs grilles de référentiels. Il permet de saisir dans une base de données les constats des audits/évaluations et d'enregistrer des actions d'amélioration. Puis il restitue, sous la forme de rapports, les constats des audits/évaluations enregistrés dans la base de données. Des comparaisons entre deux audits/évaluations permettent d'apprécier les améliorations réalisées. Un diaporama de présentation des fonctionnalités est disponible en téléchargement à l'adresse suivante http://cpi.conseil.free.fr/ADES2/
Amélioration système (AS). Cet outil permet de saisir dans une base de données des constats résultant des audits ou des réclamations clients. En regard de ces constats, des actions d'amélioration sont créées puis suivies et vérifiées. Un diaporama de présentation des fonctionnalités est disponible en téléchargement à l'adresse suivante :
HAUT DE PAGE
Association française de normalisation (AFNOR) http://www.afnor.fr
Organisation internationale de normalisation (ISO) http://www.iso.ch
Commission électronique Internationale (CEI) http://www.iec.ch
International...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Technologies logicielles Architectures des systèmes
(239 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
