Ralis par:

Bouhila Nassima / Radouani Sonia/Noaimi Houda

1

I.
II.
III.

IV.
V.
1.
2.
3.
4.
5.
VI.
VII.

Les systmes de management

La scurit de linformation
Les Systmes de Management de la Scurit de
lInformatique
(SMSI)
Les normes de la famille ISO/CEI 2700x
La norme ISO/CEI 27001
Prsentation
La phase PLAN du PDCA
La phase DO du PDCA
La phase CHECK du PDCA
La phase ACT du PDCA
Mise en place dun SMSI
Utilisation des normes

Dfinition selon ISO 9000: cest un systme permettant dtablir une

politique, des objectifs et atteindre ces objectifs

Un Systme de Management: est un ensemble de mesures

organisationnelles et techniques permettant datteindre un objectif
une fois atteint, dy rester dans la dure.

Le fonctionnement dun systme de management se fait selon le

modle PDCA (Roue de Deming) de langlais Plan, Do, Check, Act, en
franais planifier, faire, contrler et corriger.

Roue de Deming: Inventer par Walter Andrew SHEWHART

(Statisticien
Amricain)
Appel roue de Shewhart par William Edwards DEMING
(Scientifique Amricain inventeur des principes de qualit) et quil
lui a emprunt en 1922.
Le model PDCA (Roue de Deming): se dfnit en 4 tapes
rcurrentes:
1. Plan : dire ce que lon va raliser dans un domaine particulier.
2. Do : faire ce qui a t annonc.
3. Check : vrifier les carts entre les phases plan et do .
4. Act : ajuster les carts constats de la phase check .
Notons que le modle PDCA sapplique au systme de
management dans son ensemble ainsi qu chacun de ses
processus.

On retrouve les systmes de management dans des

secteurs
dactivits aussi varis que:
la sant et la scurit du travail (SMSST) avec la norme
OHSAS 18001;
lenvironnement (SME) avec la norme ISO 14001;
les services informatiques avec le rfrentiel ISO/CEI
20000: pas encore sur le modle PDCA;
la scurit alimentaire (SMSA) avec la norme ISO 22000;
La qualit(SMQ) avec la norme ISO 9001;
la scurit de linformation (SMSI) avec la norme ISO/CEI
27001 que nous allons traiter au cours de cet expos.

Linformation est prendre au sens large du terme; Elle doit

tre tudie sous toutes ses formes indpendamment de son
support, humain, papier, logiciel, etc.
Le terme scurit doit tre compris comme lensemble des moyens
dploys pour se protger contre les actes de malveillance.
La scurit de linformation est dfinie travers les notions:
Confdentialit : seuls les entits, personnes et processus autoriss, ont accs
linformation.
Intgrit : linformation ne peut tre modife que par ceux qui en ont le droit.
Disponibilit : linformation doit tre accessible lentit, la personne ou le
processus qui a un droit daccs.

Ces trois principes de scurit peuvent tre tendus, la SI intgre

dautres notions telles que lauthentification, la traabilit, la
non- rpudiation, limputabilit qui constituent des mcanismes
de scurit que lon dploie en fonction des besoins de scurit
de lorganisme

Plusieurs appellation:
o SMSI: Systme de Management de la Scurit de lInformation
o SGSSI: Systme de Gestion de la Scurit des Systmes
dInformation
o SGSI: Systme de Gestion de Scurit de lInformation
o ISMS: Information Security Management System
Un SMSI : est un ensemble dlments interactifs permettant
un organisme de fixer une politique et des objectifs de scurit
de
linformation, dappliquer la politique , datte indre ce s obje ctifs,
de
les contrler et de les amliorer.
Les objectifs sont fxs sur un primtre dfini et doivent tre en
adquation avec les besoins de lorganisme concern: les
mesures de scurit sont dployer en fonction du contexte,
avec un juste dosage, sans exagrations, ni trop de tolrance
avec comme finalit la protection des actifs dinformation.

Historique
LISO (Organisation Internationale de Normalisation) est le fruit dune collaboration
entre difrents organismes de normalisation nationaux.
Au
dbut
du XXIme
sicle,
LAmerican
Institute
of Electrical
Engineer
invite
quatre
autres
instituts
professionnels
pour
constituer
une premire
organisation
nationale,
lAESC
(American
Engineering
Standards
Committee)
qui
aura
pour
objectif
de
publier
des
standards
industriels
communs
avant
de
prendre
le
nom
dASA
(American
Standards
Association)
dtablirlades
procdures
standardises
pour
la production
militaireetpendant
seconde
guerre mondiale.
En
1947, lASA,
le BSI (BritishetStandards
Institute),
lAFNOR
(Association
Franaise
de
Normalisation)
les
organisations
de
normalisation
pays fondent lOrganisation Internationale de Normalisation (ISO).de 22 autres
La CEI (Commission Electronique Internationale) est charge de la normalisation
dquipements lectriques.
Il est courant de voir ISO/CEI pour nommer une norme labore conjointement par
les deux organismes.
En 1987, lISO et le CEI crent le Joint Technical Committee (JTC1) pour la
normalisation des Technologies de lInformation (TI).
Le
JTC1
est compos
de plusieurs comits
techniques
qui traitent de
sujetsles
tels
que
la biomtrie,
la tlinformatique,
lesrelatives
interfaces
techniques
de scurit
de linformation
auxutilisateurs
normes deou
la encore
srie ISO/CEI
2700x.

10

Dans la famille ISO/CEI on trouve deux catgories de normes.

Celles qui mettent des exigences : ISO/CEI 27001
celles qui formulent des recommandations : ISO/CEI 27002

Notons que certaines normes sont encore en cours de

rdaction,
cest le cas des normes ISO/CEI 27007 Audit des SMSI
et ISO/CEI 27008 Audit des mesures de scurit .
La norme ISO/CEI 27001 formule les exigences relatives aux
SMSI et fournit une liste de mesures de scurit pouvant
tre intgres au systme.

LISO/CEI 27000: Principe et vocabulaire

Publie pour rpondre au besoin de dfinir une terminologie pour les
SMSI.
LISO/CEI 27000 est structure en trois parties:
I.

La premire, dfinit 46 termes tels que, la confdentialit,

lintgrit, la disponibilit, lauthenticit, tous principalement axs
sur lapprciation et lanalyse des risques, des menaces, de la
vulnrabilit, etc.
II. La deuxime partie dveloppe la notion de processus avec le
modle PDCA et prsente les concepts propres aux SMSI comme
par exemple, limportance de lengagement de la direction.
III. La troisime partie, est une prsentation de lensemble des normes
de la famille ISO/CEI 2700x.
LISO/CEI 27000 fourni les notions et le vocabulaire commun permettant
une bonne comprhension des SMSI.

12

LISO/CEI 27002: Guide de bonne pratique (Mesure de scurit)

publie en juillet 2007 par l'ISO (remplace ISO 17799 depuis), dfinie le
code de bonnes pratiques pour la gestion de la scurit de l'information
Cette
normeaccompagnes
propose sur onze
chapitres,
une liste
de 133pour
mesures
de
scurit
chacune
de
points

aborder
la
mise en place dun SMSI.
Chacun des 11 chapitres
spcife les objectifs atteindre

numre
un ensemble de 133 mesures ou best practices pour atteindre
ces objectifs
La norme ISO ne dtaille pas ces mesures car:
chaque organisation est difrente
les risques sont difrents pour chaque organisation
l valu ation de s risq ue s e t de leu r imp act son t do nc pro pre l
organ isatio n
les best practices sont donc plus ou moins appropries
Enprconisations
rsum, lISO/CEI
27002 abordant
est un guide
de bonnes
pratiques,
une srie
de
concrtes,
les
aspects
tant
organisationnels
que
techniques,
qui
permettent de mener bien les diffrentes actions dans la mise
en place dun
SMSI.

Les 11 objectifs principaux

Chapitre 5 : Politique de scurit
Ce chapitre dfnit la politique de scurit (Document et Rexamen)

Chapitre 6 : Organisation de la scurit de linformation

Dfnit lorganisation interne et externe de lorganisme.

Chapitre 7 : Gestion des biens

Identife, classifie et dfnit les responsabilits relatives aux biens et
leurs utilisation.

Chapitre 8 : Scurit lie aux ressources humaines

Dfnit le rle et la responsabilit des ressources humaine avant

recrutement, pendant la dure du contrat et la fn ou la modifcation
du contrat.

Chapitre 9 : Scurit physique et environnementale

Dfnit les zones scurises (primtre de scurit) et la scurit du

matriel ainsi que son
recyclage.

14

Les 11 objectifs principaux

Chapitre 10 : Gestion des communications et de l'exploitation
Dfinit les procedures et responsibilities lies
lexploitation,
Surveillance, rexamen et gestion des modifications des
services tiers,
Planification et acceptation du systme,
Protection contre les codes malveillant et mobile
Sauvegarde des informations
Gestion de la scurit des rseaux
Manipulation des supports
Politique et procedure dchange des informations
Services et commerce lectronique
Surveillance et protection des informations de journalises

15

Les 11 objectifs principaux

Chapitre 11 : Contrles daccs

Exigences mtier relatives au contrle daccs

Gestion de laccs utilisateur
Responsabilit des utilisateurs
Contrle daccs au rseau
Contrle daccs au systme dexploitation
Contrle daccs aux applications et linformation
Informatique mobile, tlcommunication et tltravail

Chapitre
12 : Acquisition,
dveloppement et maintenance
des
systmes
d'information
Exigences de scurit applicable aux systmes dinformation

Bon fonctionnement des applications

Politique dutilisation des mesures cryptographique et la gestion de cl
Mesure relative aux logiciels dexploitation (Scurit des fchiers systme)
Scurit en matire de dveloppement et dassistance technique
Mesure relative aux vulnrabilits techniques (Gestion des vulnrabilits
techniques)

Les 11 objectifs principaux

Chapitre 13 : Gestion des incidents lis la scurit
de l'information

Signalement des vnements et des failles lis la scurit de

linformation
Gestion des amliorations et incidents lis la scurit de linformation

Chapitre 14 : Gestion de la continuit

dactivit
Intgration de la scurit de linformation dans le processus de PCA
Elaboration, mise ne uvre, planifcation, mise lessai, gestion et
apprciation constante des PCA intgrant la scurit de
linformation.

Chapitre 15 : Conformit lgale et rglementaire

Conformit avec les exigences lgales
Conformit avec la politique et les nomes de scurit
Vrifcation de la conformit technique
Contrle de laudit des systmes dinformation
Protection des outils daudit du systme dinformation

LISO/CEI 27003: Guide dimplmentation

Publie en janvier 2010, ISO 27003 facilite la mise en uvre du
SMSI. Elle est utilise en complment de la norme ISO
27001.
LISO 27003 propose cinq tapes pour implmenter le SMSI.
Ces tapes concernent linitialisation du projet, sa politique et
son primtre, lanalyse des exigences en matire de scurit
de linformation, lapprciation des risques et enfn
llaboration du SMSI.
Chacune de ces tapes est divise en activits qui font
lobjet dune clause contenant :
un rsum de lactivit (explication de ltape en question),
les entres (tous les documents utiliser au cours de ltape),
les recommandations (dtail des points aborder),
les sorties (liste des livrables produire).

En rsum, ISO 27003 propose un grand nombre de points

aborder et numre les documents produire et
consulter.

LISO/CEI 27004: Mtrique et Mesure

Cette norme concerne la gestion des indicateurs.
Lutilisation dindicateurs dans le domaine de la scurit est
nouvelle.
La norme ISO/CEI 27001 impose leur mise en place dans le
SMSI mais sans prciser comment et leur utilisation.
En utilisant les mesures des indicateurs lobjectif
est didentifier les points du SMSI qui ncessitent
une amlioration ou une correction.
Objectif : mesurer l'efficacit du systme de management de
la scurit de linformation et des mesures de scurit

LISO/CEI 27005: Analyse de risque

Une des tapes du PDCA les plus difficiles mettre en uvre est lapprciation
des risques .
LISO/CEI 27001 fxe des objectifs atteindre pour tre en conformit avec
la norme, mais ne donne aucune indication sur les moyens dy parvenir.
LISO/CEI 27005 est constitue de douze chapitres. Les points les plus importants
sont traits dans les chapitres sept douze.
Chap7: tablissement du contexte
Chap8: apprciation du risque
Chap9: traitement du risque
Chap10: acceptation du risque
Chap11: communication du risque
Chap12: surveillance et rvision du risque
En complment de ces chapitres, viennent sajouter six annexes proposant
des explications plus dtailles qui prsentent des listes de menaces et
vulnrabilits types.
LISO/CEI 27005 peut aussi servir de rfrence aux organismes qui cherchent
valuer une mthode dapprciation des risques

20

LISO/CEI 27005: Analyse de risque

21

LISO/CEI 27006: Certification

Cette norme est une reprise enrichie de la norme ISO 17021.
Etant destine aux cabinets daudit en charge de certifier les
organismes, lISO/CEI 27006 est moins connue que lISO/CEI 27001
qui sadresse directement aux organismes souhaitant mettre en
place un SMSI.
LISO/CEI 27006 fournit aux organismes de certification les
exigences quils doivent faire respecter pour attribuer leurs
clients une certification.
LISO/CEI 27007: Audit des SMSI
Cette norme est ltat de brouillon WD
Working Draft: est ltat projet de la norme avant sa publication.
LISO/CEI 27007 donnera les lignes directrices pour auditer les SMSI.

22

LISO/CEI 27008: Audit des mesures de scurit

A ltat de WD, lISO/CEI 27008 traitera de laudit des SMSI
en proposant un guide qui permettra de contrler les
mesures de scurit.
Elle fournira pour chacune des mesures de scurit de la
27002, des moyens danalyse des besoins en contrle, en
tenant compte de limportance des risques et des actifs.
On pourra ainsi dterminer les mesures contrler.
Ces points sont importants car les auditeurs internes ou
externes doivent contrler des mesures aussi varies que la
gestion des mots de passe, la procdure de gestion des
incidents et le suivi
de lgislation en vigueur.

LISO/CEI 270xx: En prparation

ISO/CEI 27010 Gestion de la communication inter
secteur
ISO/CEI 27031 Continuit
dactivit
ISO/CEI 27032 Cyber scurit
ISO/CEI 27033 Scurit rseau
ISO/CEI 27034 Scurit des applications
ISO/CEI 27035 Gestion des incidents
ISO/CEI 27036 Audit des mesures de scurit du SMSI
ISO/CEI 27037 Gestion des preuves numriques
Il est noter que certains secteurs comme les tlcommunications
ou le domaine mdical ont dvelopp des normes plus spcifques
leur mtier, ISO/CEI 27011 et ISO/CEI 27799.

Prsentation
Publie en octobre 2005 et qui succde la norme BS 77992 de BSI (British Standards Institution)
Elle est une norme d'origine britannique ddie au systme
de management de la scurit de l'information.
L'ensemble ISO 27000 est dclin en plusieurs sousnormes indices, thmatiques et sectorielles.
Elle traite aussi bien de la gestion des risques que du pilotage
de la fonction (indicateurs et tableaux de bord). La norme ISO
27001 est oriente processus et propose en toute logique une
dmarche d'amlioration continue de type PDCA.
La norme ISO/CEI 27001 dcrit les exigences pour la mise en
place d'un SMSI

Objectifs
Spcifier les exigences pour
Mettre en place
Exploiter
Amliorer
Un SMSI document
Spcifier les exigences pour la mise en place de mesures de
scurit
Adaptes aux besoins de lorganisation
Adquates
Proportionnes

La phase PLAN du PDCA

Cette phase consiste fxer les objectifs du
SMSI en suivant quatre grandes tapes:
La politique et le primtre du systme
de management de la scurit de
linformation,
Lapprciation des risques,
Le traitement des risques; dcider en
tenant en compte des risques
rsiduels
La slection des mesures de scurit
prsentes dans le SoA(Statement
of Applicability).
Le Statement of Applicability: est un
document sous forme de tableau qui
numre les mesures de scurit du SMSI
ainsi que celles non appliques

La phase PLAN du PDCA

La politique et le primtre du SMSI: Lobjectif est dy inclure les activits pour
lesquelles les parties prenantes exigent un certain niveau de confance.
la politique: prcise le niveau de scurit qui sera appliqu au sein du primtre du
SMSI.
Le primtre: peut tre restreint ou peut couvrir lensemble des activits
de lorganisme

L a p p rc i a tion d e s r i s q u es : cette tape concerne un des points les

plus
importants de lISO/CEI 27001.
Le problme de lapprciation des risques nest pas nouveau et est trait
par de nombreuses mthodes dveloppes dans difrents secteurs
privs, acadmiques et agences gouvernementales.
En France, les plus connues sont EBIOS et MEHARI, aux Etats-Unis, OCTAVE.
LISO/CEI propose aussi une mthode, la norme ISO/CEI 27005, mais ne
limpose pas.
LISO/CEI 27001 ne fait que fxer un cahier des charges spcifant
chacune des tapes clefs de lapprciation des risques.

28

La phase PLAN du PDCA

Le processus dapprciation des risques se droule en sept tapes:
1. Identifcation des actifs: lister tous les actifs
2. Ide nt ifcation de s pro pri taire s d actifs : attribuer un
propritaire chaque actif
3. Identifcation des vulnrabilits: identifer les
vulnrabilits des actifs recenss
4. Identifcation des menaces: identifer les menaces
qui psent sur les actifs recenss
5. Identifcation des impactes: valuer limpact dune
perte de confdentialit, de la disponibilit ou de
lintgrit sur les actifs.
6. Evaluation de la vraisemblance: valuer la
vraisemblance des prcdentes tapes processus en
plaant dans leur contexte les actifs.
7. Estimation des niveaux de risque: attribuer une
note fnale reftant le risque pour chacun des actifs.

29

La phase PLAN du PDCA

Le traitement des risques: cette tape concerne le choix
du traitement des risques.
LISO/CEI 27001 a identifi quatre traitements possibles du risque:
1. Accepter: ne dployer aucune mesure de scurit autre que celles dj en place
si le risque naucun impact constat sur lorganisme.
2. Eviter: supprimer lactivit ou le matriel ofrant le risque.
3. Transfrer: Lorsque lorganisme ne peut ou ne souhaite pas mettre en place
les mesures de scurit qui permettrait de le rduire (souscription
dassurance ou sous-traitance)
4. Rduire: prendre de mesures techniques et organisationnelles pour ramener le
risque un niveau acceptable. Cest le traitement le plus courant.

Aprs avoir slectionn le traitement et mis en place les mesures

de scurit, un risque peut persister.
Il convient de traiter ce risque comme les autres (laccepter, lviter,
le transfrer ou le rduire).

La phase PLAN du PDCA

Le slection des mesures de scurit: cette tape consiste
slectionner les mesures de scurit.
La norme ISO/CEI 27001 propose dans son annexe A, 133 mesures de
scurit rparties sur onze chapitres (vue dans ISO/CEI 27002).
A ce stade, le travail consiste dresser un tableau, appel SoA
(Statement of Applicability) dans lequel fgurent les 133 mesures quil
faut dclarer applicables ou non applicables, pour rduire les risques
du SMSI.
Notons que les 133 mesures proposes par lISO/CEI 27001
rpertorient presque tout ce qui peut tre entrepris en matire de
scurit de linformation cependant, cette liste ne comporte pas
dexemples ni dexplications sur le dploiement des mesures
entreprendre.
Une fois choisies la politique et le primtre du SMSI, apprcis et
traits les risques, et slectionnes les 133 mesures de scurit dans
le tableau SoA, il faut passer la mise en uvre des objectifs fixs de
la phase Plan du PDCA.

31

La phase DO du PDCA
Cette phase consiste dcrire la mise en uvre des mesures de
scurit slectionnes dans le SoA travers quatre tapes.
1. Plan de traitement: grer linterdpendance des actions
entreprendre; ce travail revient tablir un plan de traitement qui
peut tre assimil de la gestion de projet.
Ce travail termin, il faut dployer les mesures de scurit en
suivant le plan de traitement. Le responsable du projet doit donc
dfinir des mesures deffcacit pour contrler le bon fonctionnement
du SMSI.
2. Choix des indicateurs: mettre en place des indicateurs de
performance pour vrifier lefficacit des mesures de scurit ainsi
que des indicateurs de conformit pour contrler la conformit du
SMSI.
Il est noter que la norme ne prconise pas dindicateurs prcis
utiliser mais LISO/CEI 27004 propose une dmarche qui peut aider au
choix de lindicateur.

La phase DO du PDCA
3. Formation et sensibilisation des collaborateurs: la sensibilisation la
scurit du systme dinformation concerne tous les collaborateurs.
Etant donn que les mesures de scurit de linformation couvrent de
nombreux domaines allant de la scurit organisationnelle la
scurit physique, en passant par la scurit des rseaux et autres,
les collaborateurs doivent donc matriser les outils de scurit
dployer dans les diffrents domaines.
4. Maintenance du SMSI: cette dmarche consiste garantir le bon
fonctionnement du SMSI et de vrifier que leur documentation est
jour.
Cette action permet donc aux auditeurs externe de contrler la
gestion du SMSI. Tous les systmes de management ISO sont
concerns par maintenance.
Maintenant que, les mesures identifies du SoA fonctionnent, les
indicateurs sont implments et les collaborateurs forms et
sensibiliss la scurit du SMSI, la phase Check du PDCA peut tre
dclance.

La phase CHECK du PDCA

Cette phase concerne les moyens de contrle mettre en place
pour assurer leficacit du SMSI et sa conformit au cahier des
charges de la norme ISO/CEI 27001.

Pour rpondre ces deux exigences, lorganisme doit employer:

1.
Les contrles internes: sassurer au quotidien que les collaborateurs
appliquent correctement leurs procdures
2.

3.

Les audits internes: contrler la conformit et lefficacit du SMSI en

recherchant les carts entre la documentation du systme et les
activits de lorganisme. La norme exige que la mthode utiliser pour
laudit soit documente dans une procdure et que les rapports soient
enregistrs pour tre utiliss lors des revues de direction.
Les revues de direction: runions annuelle qui permettent aux
dirigeants de lorganisme danalyser les vnements qui se sont
drouls sur lanne en cours.

La phase ACT du PDCA

Cette phase consiste prendre les mesures rsultant des
constatations faites lors de la phase de vrification
(Check) .

Trois actions sont possible au cours de cette phase:

1.

2.

3.

Actions correctives: intervention de manire corrective lors quun

dysfonctionnement ou cart est constat. Tout dabord, agir sur
les carts ou dysfonctionnement puis les causes pour viter quil
ne se reproduisent.
Actions prventives: emploi des actions prventives quand une
situation risque est dtecte. Agir sur les causes avant que lcart
ou le dysfonctionnement ne se produisent.
A c t ions d a mlio rations: ces actions ont pour objectif
lamlioration de la performance du SMSI.
Les rsultats des diffrentes actions doivent tres enregistrs et
communiqus aux parties prenantes.

35

Pour une bonne mise en place dun SMSI il faut:

Trouver/Choisir/dsigner/se faire choisir un chef de
projet: futur propritaire du SMSI;
Constituer une quipe que mnera le projet SMSI
terme;
Dcider des objectifs du SMSI;
Dterminer le primtre;
Faire le point sur lexistant et mettre jour la
documentation
Dcider des actifs sensibles;
Faire lanalyse des risques pour ces actifs sensibles;

Slectionner les mesures de scurit;

Rdiger et mettre en place les procdures;
Auditer les membres du comit du SMSI;
Communiquer;
Mettre en place un programme daudits internes;
Rechercher et tester des indicateurs;
Refaire lanalyse de risque;
Revoir la liste des actifs;
Rexaminer le primtre;
Faire soi-mme, ne pas faire faire dautres;
Ne pas ncessairement suivre lordre de LISO/CEI
27001
37

Pour adopter les bonnes pratiques en SSI: ISO/CEI 27001

et ISO/CEI 27002
Permet dadopter les bonnes pratiques en matires de
SSI;
Assure un processus damlioration continue; le niveau
de scurit a tendance crotre.
Offre une meilleure matrise des risques et une bonne
mthodologie danalyse de risque;
Permet la diminution de lusage des mesures scurit
qui ne servent pas;
Peut permettre dvoluer, le moment venu, vers une
certifcation.

38

Pour homogniser: ISO/CEI 27001 et ISO/CEI 27002

Permet des comparaisons entre entits, sites, pays
Facilite les changes dexprience et la communication
interne
Facilite les liens avec les autres mtiers et les
autres rfrentiels
Facilite la communication aux auditeurs hors de la SSI
Pour les tableaux de bord: ISO/CEI 27001, ISO/CEI 27002 et
ISO/CEI 27004
ISO/CEI 27001 pour le SMSI ncessaire llaboration de
mtriques
ISO/CEI 27002 pour les mesures de scurit
ISO/CEI 27004 pour les mtrages et mtriques du SMSI

39

Pour les audits/conseils en scurit: ISO/CEI 27002, ISO/CEI

27007 et ISI/CEI 27008
ISO/CEI 27002: comme guide de la bonne pratique pour
les systmes de gestion de la scurit de linformation
ISO/CEI 27007: pour laudit du SMSI
ISO/CEI 27008: pour laudit des mesure de scurit du
SMSI
Pour rduire les cots: Mutualisation des audits
Diminution dusage de mesures de scurit inutiles
Processus en lui-mme plutt moins coteux que dautres
en SSI

40

41