Présentation

Article

1 - ISO 27001 ET SMSI

2 - PHASE « ÉTABLISSEMENT ET MANAGEMENT DU SMSI »

3 - PHASE « MISE EN ŒUVRE ET FONCTIONNEMENT DU SMSI »

4 - PHASE « SURVEILLANCE ET RÉEXAMEN DU SMSI »

5 - PHASE « MISE À JOUR ET AMÉLIORATION DU SMSI »

6 - ANNEXES : RETOURS D’EXPÉRIENCE

7 - CONCLUSION

Article de référence | Réf : G9062 v2

ISO 27001 et SMSI
ISO 27001 : Technique et management de la sécurité de l’information

Auteur(s) : Gilles TENEAU

Date de publication : 10 avr. 2018

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

NOTE DE L'ÉDITEUR

Les normes NF ISO/IEC 17021-2 d'avril 2017 et NF ISO/IEC 17021-3 de novembre 2017 citées dans cet article sont remplacées par les normes NF EN ISO/IEC 17021-2 et -3 (X50-072-2 et -3) "Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management :
- Partie 2 : exigences de compétence pour l'audit et la certification des systèmes de management environnemental
- Partie 3 : exigences de compétence pour l'audit et la certification des systèmes de management de la qualité" (Révision 2018)
 Pour en savoir plus, consultez le bulletin de veille normative VN1901 (janvier 2019).

14/03/2019

La norme ISO/IEC TS 17021-10 "Evaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management - Partie 10: Exigences de compétence pour l'audit et la certification des systèmes de management de la santé et de la sécurité au travail" (révision 2018) vient compléter la norme ISO/IEC 17021-1 citée dans cet article.

Pour en savoir plus, consultez le bulletin de veille normative VN1809 (octobre 2018).

11/01/2019

La norme NF EN ISO 19011 de janvier 2012 citée dans cet article a été remplacée par la norme NF EN ISO 19011 (X50-136) "Lignes directrices pour l'audit des systèmes de management" Révision 2018

Pour en savoir plus, consultez le bulletin de veille normative VN1806 (juillet 2018).

11/01/2019

La norme XP ISO/IEC TS 17021 citée dans cet article a été complétée par une partie 11 XP ISO/IEC TS 17021-11 (X50-072-11) : Evaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management - Partie 11 : exigences de compétence pour l'audit et la certification des systèmes de management de facility management (FM)(Révision 2019)
Pour en savoir plus, consultez le bulletin de veille normative VN1905 (mai 2019).

29/08/2019

RÉSUMÉ

L'objet de cet article est d'expliciter et de préciser la norme ISO 27001 portant sur le management de la sécurité de l'information. La norme envisage cet enjeu sous l'angle organisationnel et managérial en vue de son effectivité et de son efficacité. Si l'objet de la norme est d'aller vers la certification, celle-ci permet un cercle vertueux d'amélioration continue de la sécurité des systèmes d'information en vue de renforcer la confiance des diverses parties prenantes (clients, investisseurs, etc.) de l'organisme. L'article s'accompagne de commentaires, d'exemples et d'études de cas génériques visant à éclairer les lecteurs sur la mise en oeuvre de la norme.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

ISO 27001: Information Security Management Systems

The aim of this article is to explain and clarify the ISO 27001 standard on the management of information security. This standard considers this issue from an organizational and managerial angle, in view of its effectiveness and efficiency. The purpose of the standard being certification, it ensures a virtuous circle of continuous improvement of the security of information systems in order to enhance the confidence of every actor involved (customers, investors, etc.). This article also provides commentaries, examples and generic case studies in order to inform readers on the implementation of the standard.

Auteur(s)

  • Gilles TENEAU : Docteur en sciences de gestion, chercheur associé au LEMNA (université de Nantes), professeur au CNAM IDF et au sein de l’ESC Amiens, président du centre de recherche en résilience des organisations, expert ITIL Accredited Formateur

INTRODUCTION

L’information, sa gestion et sa sécurité sont aujourd’hui plus que jamais des enjeux de management à part entière. Comme l’exprime Jérôme Denis , l’informatique et sa sécurité impliquent un paradoxe qui consiste en un développement sans précédent de l’efficacité mais aussi de la fragilité technique des organisations. Les technologies de communication et systèmes d’information sont à la fois l’occasion de démultiplier la circulation d’informations dans une entreprise comme source d’avantage concurrentiel mais elles peuvent aussi la rendre vulnérable à certaines menaces. Les pratiques de management doivent désormais évoluer pour intégrer au niveau de la gouvernance même de l’entreprise la préoccupation d’une sécurisation de l’information de l’entreprise qui constitue un actif (immatériel) à part entière . Ces dernières sont un enjeu de management car elles impliquent des risques et un régime de fragilité permanente pour l’entreprise, pouvant impacter la qualité des biens et services fournis (notamment dans les délais de livraison, dans la fiabilité des informations fournies). Dans un monde interconnecté, l’information et les processus, les systèmes, les réseaux qui s’y rapportent constituent des actifs critiques de l’organisation. Les organisations et leurs systèmes et réseaux d’informations sont confrontés à des menaces pour la sécurité ayant de multiples sources, notamment la fraude assistée par ordinateur, l’espionnage, le sabotage, le vandalisme, les incendies et les inondations. Les dommages causés aux systèmes et aux réseaux d’information par des programmes malveillants, le piratage informatique et les attaques par saturation deviennent plus courants, plus ambitieux et de plus en plus sophistiqués.

Face à cela, la norme ISO/IEC 27001 :2013 « Techniques de sécurité – Systèmes de gestion de la sécurité de l'information » a comme objectif de répondre à cet enjeu de management en envisageant la sécurité de l’information comme un projet transverse. Si l’objectif de la norme est d’aller vers la certification, celle-ci a bien pour enjeu un enrichissement des pratiques et l’établissement d’un management actif de la sécurité des systèmes d’information. Lequel, itératif, se doit d’intégrer les différentes parties prenantes de l’organisation à la fois dans une logique hiérarchique (Top Down-Bottom Up) mais aussi dans un axe transverse, en lien avec les processus de l’organisation.

La norme ISO/IEC 27001 :2013 est, à la base, issue de la série des normes ISO 27000. Cette norme décrit les exigences nécessaires à la mise en œuvre du système de management de la sécurité de l’information (SMSI).

Un projet de mise en place d’une gestion de la sécurité est nécessairement transversal. Le service informatique ou la direction des systèmes d’information a une activité concernant de fait plusieurs autres directions et l’enjeu de sécurisation de l’information intègre nécessairement le lien avec les autres fonctions de la chaîne de valeur (qu’il s’agisse des fonctions supports comme des fonctions opérationnelles).

Le projet de sécurisation des systèmes d’information concerne encore toute l’échelle hiérarchique de l’organisme. La réussite du projet dépend essentiellement de l’implication de toutes les personnes concernées dans l’entreprise, de la direction générale au plus bas de l’échelle dans une approche de type gestion globale.

La structure de la version 2013 n’a pas de notion de PDCA explicite. Cette notion est remplacée par une formulation du type « établir, implémenter, maintenir, améliorer ». Il n’y a pas d'encouragement à l'approche processus dans l'introduction, mais une approche processus de fait. Les clauses de 4 à 10 sont obligatoires. Les parties prenantes sont prise en compte, le périmètre considère tout le contexte, y compris les exigences. Le leadership est plus axé engagement, pilotage et management des personnes que « mise en œuvre ». La politique inclut un engagement de la direction. Une réelle analyse des risques, en intégrant les notions de risques et opportunités projet, l’appréciation des risques est moins cadrée par la norme. Il y a une sensibilisation précise, qui fait l’objet d’un paragraphe entier. En outre il n’y a pas d’indication sur la périodicité de la revue de direction ni de l’audit, de même pas de notion d’action préventive au sens de la version 2005.

Cet article traite de la norme ISO/IEC 27001 ainsi que de la mise en œuvre et la gestion d’un SMSI.

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-g9062


Cet article fait partie de l’offre

Sécurité et gestion des risques

(475 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Version en anglais En anglais

1. ISO 27001 et SMSI

Historique de la norme ISO 27001 :2013

À l’origine, la norme remonte à 2005, avec l’adoption par l’ISO d’une version améliorée de la norme anglo-saxonne BS 7799-2 :2002 « Technologie de l’information – Guide pratique pour le management de la sécurité de l’information ».

Cette dernière reprend et complète l’ISO/IEC 17799 (guide incluant des recommandations pour la sécurisation des informations de l’entreprise) en intégrant la notion de système de management de la sécurité de l'information (SMSI).

1.1 Système de management SMSI

HAUT DE PAGE

1.1.1 Définition du système de management

Le SMSI (système de management de la sécurité de l'information) en tant que dispositif global gère et coordonne la manière dont la sécurité de l’information est mise en place. Le SMSI est défini pour un périmètre bien déterminé (une application, un service, une organisation, un processus, un métier, un centre de production…). Le choix du périmètre dans la mise en œuvre du SMSI est un élément clé de sa réussite. Un périmètre mal défini et le projet de mise en place du SMSI ne prendra jamais fin ou sera stoppé avant sa phase finale.

La norme ISO/IEC 27001 porte sur la mise en place d’un SMSI. Son objectif concerne prioritairement la mise en place du système de management de la sécurité de l’information tout en visant son efficacité.

L’implémentation d’un système de management de la sécurité est la garantie de l’adoption de bonnes pratiques, de l’augmentation de la fiabilité et la certification par un organisme indépendant assurera l’apport de la confiance des parties prenantes de l’entreprise (clients, fournisseurs, actionnaires, banques, autorités…). Le passage à la certification n’est pas une obligation mais est conseillé.

Nombre d’entreprises...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(475 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
ISO 27001 et SMSI
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - BENNASAR (M.), CHAMPENOIS (A.), ARNOULD (P.) -   Manager la sécurité du SI.  -  Dunod (2007).

  • (2) - BOILEAU (T.) -   SO 27001, un Système de Management de la Sécurité de l'information : Exemple de mise en œuvre d'un SMSI et sa plate-forme logicielle de supervision (Nagios – MRTG) au sein d'une PME.  -  Éditions universitaires européennes (2012).

  • (3) - CALE (S.), TOUITOU (P.) -   La sécurité informatique.  -  Hermes Lavoisier (2007).

  • (4) - CASEAU (Y.) -   Performance du système d’information.  -  Dunod. 01 Informatique (2007).

  • (5) - DARSA (J.-D.) -   La gestion des risques en entreprise, Identifier, comprendre, maîtriser.  -  Gereso (2010).

  • (6) - DENIS (J.) -   L'informatique...

1 Sites Internet

Site dédié à l’ISO 27001 :

http://www.27001-online.com/

Site consacré à la gouvernance des SI (IT Gouvernance) :

http://www.itgovernance.eu/c-17-iso27001

Site consacré à la certification ISO 27001 (LSTI) :

http://www.lsti-certification.fr/index.php/les-smsi/iso-27001.html

Site consacré aux normes ISO 2700X :

http://www.27000.org/

Site consacré à la certification ISO 27001 (Bureau Veritas) :

http://www.bureauveritas.fr/wps/wcm/connect/bv_fr/local/services+sheet/certification+iso+27001

CLUb de la Sécurité de l’Information Français (CLUSIF) :

http://www.clusif.asso.fr/

HAUT DE PAGE

2 Normes et standards

ISO/IEC 19011 - 2012 - Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental.

ISO 9001 - 2015 - Systèmes de management de la qualité...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(475 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS