Les Normes ISO

Transféré par

Brahim Khizrane
126 vues33 pages
Document de présentation des normes ISO

Copyright

© © All Rights Reserved

Formats disponibles

ODP, PDF, TXT ou lisez en ligne sur Scribd

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Signaler ce document

Description :

Document de présentation des normes ISO

Droits d'auteur :

© All Rights Reserved
Téléchargez comme ODP, PDF, TXT ou lisez en ligne sur Scribd
Signaler comme contenu inapproprié
126 vues33 pages

Les Normes ISO

Transféré par

Brahim Khizrane

Description :

Document de présentation des normes ISO

Droits d'auteur :

© All Rights Reserved
Téléchargez comme ODP, PDF, TXT ou lisez en ligne sur Scribd
Signaler comme contenu inapproprié
sur 33

Les Normes ISO 27000 Version 2013

La nouvelle version 2013 de la


norme.
Diffrences et nouveauts

Stphane Perroud - Georges


Torti ISO 27000 2013
S
O
2
7
Stphane Perroud
0
0
Expriences
0
Consultant en Gouvernance, Audit et Management de la
2 Scurit des SI
0
Formateur en Gouvernance, Scurit et Audit
1
Auditeur informatique
3
12 ans dveloppeur J2EE et Web


Certifications

CISSP

CISA

COBIT Foundation 4.1 & 5

ITIL v3 Foundation

ISO 20000 Foundation

ISO 27001 Lead Auditor

ISO 27005 Risk Manager
S
O
2
7
Georges Torti
0
0
Expriences
0
Responsable scurit informatique (au DEFR)
2
12 ans de direction des systmes dinformation
0
Responsable du dveloppement informatique
1
3

Chef de projet informatique

Support informatique et formation

Prsident ADI (Gouvernance, Projet, Services, Scurit)


Certifications

CISA (Certified Information System Auditor)

CISM (Certified Information Security Manager)

Certificat dAptitude la Protection des Donnes

Cobit Foundation 4.1 & 5

ISO 27001 Foundation
Plan de la confrence

Notions de base

Bref rappel historique sur BSI 17799 et ISO


27001:2005

Les changements dans ISO 27001:2013

Les changements dans ISO 27002 :2013

Impacts pour lentreprise

Questions / Rponses

ISO 27000 2013


La scurit de linformation

Notions de base

ISO 27000 2013


La scurit de linformation
Lhumain

Les processus La technique

ISO 27000 2013


La scurit de linformation
Les quatre piliers de la scurit de linformation :

Scurit de lInformation
Confidentialit

Disponibilit

Rpudiation
Non-
Intgrit

ISO 27000 2013


Vue densemble

Les normes ISO 27000

ISO 27000 2013


Les normes ISO 27000

Famille des normes de scurit de linformation

Recommandation des meilleures pratiques en management de


la scurit de linformation

Sadresse tous les types dorganismes

Sintgrent avec les autres normes internationales

ISO 27000 2013


Les normes 27000

Avantages

description pratique et dtaille de la mise en uvre des objectifs et


mesures de scurit

audit rgulier qui permet le suivi entre les risques initialement identifis,
les mesures prises et les risques nouveaux ou mis jour, afin de mesurer
lefficacit des mesures prises

Processus d'amlioration continue de la scurit, donc le niveau de


scurit a plutt tendance crotre

Meilleure matrise des risques

Une certification qui amliore la confiance avec les parties prenantes

Homognisation : cest un rfrentiel international. Cela facilite les


changes

ISO 27000 2013


Vue densemble des normes ISO 27000

ISO 27001 ISO 27006


Exigences SMSI Audit de SMSI

Guides

ISO 27000 ISO 27002 ISO 27003


Vocabulaire Mesures Implmentation
BSI
17799 Secteurs

ISO 27004 ISO 27005


Mtriques Analyse risques
ISO 27034
Scurit des
Applications

ISO 27000 2013


Vue densemble des normes ISO 27000
Norme Titre
ISO/IEC 27000 Vue d'ensemble et vocabulaire
ISO/IEC 27001 SMSI - Exigences
ISO/IEC 27002 Code de bonne pratique
ISO/IEC 27003 Lignes directrices pour la mise en uvre du SMSI
ISO/IEC 27004 Mesurage
ISO/IEC 27005 Gestion des risques lis la scurit de linformation
ISO/IEC 27006 Exigences pour les organismes procdant l'audit et la
certification
ISO/IEC 27007 Lignes directrices pour l'audit du SMSI
ISO/IEC 27008 Lignes directrices pour les auditeurs des contrles
ISO/IEC 27010 LD - Communications intersectorielles/interorganisationnelles
ISO/IEC 27011 LD - Organismes de tlcommunications

ISO 27000 2013


Vue densemble des normes ISO 27000
Norme Titre
ISO/IEC 27013 LD - Mise en uvre intgre d'ISO 27001 et ISO 20000
ISO/IEC 27014 Gouvernance de la scurit de l'information
ISO/IEC 27015 LD - Management de la scurit de l'information pour les services
financiers
ISO/IEC 27031 LD - Prparation des TIC pour la continuit d'activit
ISO/IEC 27032 LD - Cyberscurit
ISO/IEC 27033 LD - Scurit de rseau
ISO/IEC 27034 LD - Scurit des applications
ISO/IEC 27035 LD - Gestion des incidents de scurit
ISO/IEC 27037 LD - Identification, la collecte, l'acquisition et la prservation de
preuves numriques
ISO/IEC 27799 Management de la scurit de l'information relative la sant en
utilisant l'ISO 27002

ISO 27000 2013


Bref historique

BSI 17799
ISO 27001
ISO 27002

ISO 27000 2013


Historique

En 1995, le standard britannique "BS 7799" cr par BSI


dfinit des mesures de scurit dtailles

En 1998, le BSI introduit le SMSI

En 2000, ISO dite la norme ISO/CEI 17799:2000 (codes


des bonnes pratiques issues de la BS 7799)

En 2005, deux normes sont dites :

ISO/CEI 17799:2005 qui remanie les domaines et objectifs

ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la


possibilit de certification

En 2007, ISO 27002 remplace ISO/CEI 17799

En 2013, ISO rvise les norme ISO/CEI 27001:2013 et


ISO/CEI 27002:2013
ISO 27000 2013
Les changements

ISO 27001:2013

ISO 27000 2013


ISO 27001

ISO 27000 2013


Contrles obligatoires

ISO 27000 2013


Les changements

ISO 27002:2013

ISO 27000 2013


Les changements ISO27002

114 mesures dans 14 domaines (Version 2005 : 133 mesures

dans 11 domaines)
A.5: Information security policies
A.6: Organization of information security
A.7: Human resources security
A.8: Asset management
A.9: Access control
A.10: Cryptography
A.11: Physical and environmental security
A.12: Operations security
A.13: Communication security
A.14: System acquisition, development, and maintenance
A.15: Supplier relationships
A.16: Information security Incident management
A.17: Information security aspects of business continuity management
A.18: Compliance

ISO 27000 2013


Les changements ISO27002

Rorganisation / dplacement de mesures

Mesures 2005 2013


Mobile/Tltravail Access control Organization of info
sec
Gestion mdias Communication Asset
Gestion cls Cryptography Acquisition/Dev

Nouvelles mesures

Suppression de mesures

ISO 27000 2013


Nouvelles mesures ISO 27002:2013

Information security in project management

Restrictions on software installation

Secure development policy

Secure system engineering principles

Secure development environment

System security testinging

Information security policy for supplier relationships

Information and communication technology supply chain

Assessment and decision on information security events

Response to information security incidents

Availability of information processing facilities


ISO 27000 2013
Mesures supprimes (1)

Management commitment to information security

Information security coordination

Authorisation process for information processing facilities

Identification of risks related to external parties

Addressing security when dealing with customers

Security of system documentation

Business Information Systems

User authentication for external connections

Equipment identification in networks

Remote Diagnostic and configuration port protection

Network Connection control

ISO 27000 2013


Mesures supprimes (2)

Network routing control

Sensitive system isolation

Input data validation

Control of internal processing

Message integrity

Output data validation

Information leakage

Prevention of misuse of information processing facilities

Protection of information systems audit tools

ISO 27000 2013


Impacts pour lentreprise

Certifications
Implmentation
Formation

ISO 27000 2013


Certification
Impact sur linterprtation de la norme et le dploiement du

systme de gestion de la scurit de linformation des


organisations

Majorit de la norme reste la mme. Important de comprendre les


changements et dassurer la conformit du systme dinformation la
nouvelle norme pour les futurs audits

Priode transitoire de 2 ans accorde aux organisations certifies pour


se conformer la nouvelle version

ISO 27000 2013


Implmentation

Commencer par une analyse dcart entre le SMSI existant et la


nouvelle version

Lancer les initiatives de mise jour du SMSI

Changements significatifs

Politique

Apprciation des risques

Dclaration dapplicabilit (Annexe A)

Identification des problmes

ISO 27000 2013


Formation
Digicomp vous propose, partir de janvier 2014, des cours et

des certifications internationales en phase avec la nouvelle


version du standard :

ISO/IEC 27001 Lead Auditor

ISO/IEC 27001 Lead Implementer

www.digicomp.ch/fr

ISO 27000 2013


Questions / Rponses

ISO 27000 2013


Informations et contacts
Plus dinformations :

Retrouvez nous sur :

http://www.digicomp.ch/fr/se Fa
curite_informatique ce
bo
ok

Tw
it
te
r

Go
og
ISO 27000 2013 le
Merci de votre attention!

Stphane Perroud - Georges Torti


Digicomp Academy Suisse Romande SA

Tl. 021 321 65 00


E-Mail: romandie@digicomp.ch

ISO 27000 2013


ISO 27001 Annexe A

ISO 27000 2013


ISO 27002

ISO 27000 2013

Centres d'intérêt liés

Vous aimerez peut-être aussi