Mise en œuvre d’une politique sécurité orientée gestion des risques
Fixer des objectifs pertinents
Mobiliser les ressources pour atteindre ces objectifs
A court, moyen ou long terme
Définition de feuilles de route
Le standard 27001 énonce des exigences :
Système de management de la sécurité de l’information
Sécurité
www.fosir.fr 1 03-11-20 Les exigences certifiées de la norme ISO 27001 En matière de management de la sécurité
Etablir, mettre en place
Opérer
Contrôler
Maintenir
Améliorer
Auditer
En matière de sécurité
Mesures de sécurité
www.fosir.fr 2 03-11-20 Approche ISO 27001
ISO 27001 ISO 27002
Exigences SMSI Clauses
Description détaillée des Mesures de mesures de Exigences SSI sécurité sécurité
www.fosir.fr 3 03-11-20 Approche ISO 27001 Avantages Un fil conducteur concert Mise en œuvre dune stratégie
Pilotage sur la base d'indicateurs
Support au RSSI
Une approche processus
Favorisant le décloisonnement
Vision globale du niveau de sécurité
Système auditable et certifiable
Audits internes et tiers
Gages de progrès
www.fosir.fr 4 03-11-20 Principaux Avantages Modèle de gouvernance maitrisé par les décideurs Modèle adopté par la qualité et l’environnement Décideurs rodés à la présentation et à l’exercice Terrain familier Arbitrages raisonnés Gestion du risque Budgets maitrisés Responsabilités identifiées Tableaux de bord – Suivi Amélioration continue Moins d'effets tunnel Mise en place progressive et mesurée Gestion du risque
www.fosir.fr 5 03-11-20 Principaux Avantages Une démarche transversale Mobilisation des équipes
Source de motivation et d’implication
Du personnel
De la Direction
On sait ou l’on va, Pourquoi on y va. Encore plus vrai lorsque la
démarche de certification est engagée
www.fosir.fr 6 03-11-20 Approche ISO 27001 Un niveau de sécurité acceptable Les risques ont été identifiés, analysés Traités
n cours de traitement
L’amélioration permanente Les incidents seront correctement traités et permettront l’amélioration
Les nouveaux risques seront identifiés, analysés et traités
www.fosir.fr 7 03-11-20 SSI et SMSI Amélioration continue
SSI et SMSI Identifier et analyser les
risques Proposer un plan traitement Plan SSI Etablir Do le SMSI Act Actions Corriger Implément Corriger et correctives ou er les et préventives processus améliorer améliorer
Surveiller
Check
Surveiller et réexaminer
www.fosir.fr 03-11-20 8 La norme ISO 27001 ISO 27001 : 2013 est une norme générique S’applique à tout secteur d’activité
A tout type de système ou d’organisme
Entreprise industrielle ou commerciale Administration publique Association
Quels que soient sa taille, ses produits, ses services,…
Un projet global d’entreprise
Impliquant la Direction Générale : choix stratégique Impliquant le définition d’une « organisation sécurité» Qui s’intègre et s’articule avec l’organisation existante Mobilisant l’ensemble du personnel
www.fosir.fr 9 03-11-20 La norme ISO 27001 Référence internationale en matière de Management de la Sécurité de l’information
Un système de Management vise avant tout à :
Maitriser les risques SSI Répondre aux exigences réglementaires applicables Répondre aux exigences sécurité de ses clients ou partenaires Améliorer la satisfaction du client Assurer l’amélioration continue de ses performances Structurer la démarche sécurité au sein de l’organisme
