Librairie technique, scientifique & industrielle Février 2016

B0119

ISO 27001
Management de la sécurité de es ISO
les norm es !
l’information onnu
les plus c

La famille de normes ISO 27000 aide les organisations à assurer la sécurité de leurs informations.

Ces normes vous faciliteront le management de la sécurité des informations, notamment les
données financières, les documents soumis à la propriété intellectuelle, les informations relatives au personnel ou les données qui vous sont
confiées par des tiers.

ISO/IEC 27001, qui expose les exigences relatives aux systèmes de management de la sécurité des informations (SMSI), est la norme la plus
célèbre de cette famille.

Un SMSI, c’est quoi ?

Un SMSI désigne l’approche systémique par laquelle une organisation veille à la sécurité des informations sensibles. Construit selon
un processus de management du risque, un SMSI englobe les personnes, les processus et les systèmes de TI.

Cette solution peut être utile aux organisations de tous secteurs et de toutes tailles qui tiennent à la confidentialité de leurs informations.

Certification à ISO/IEC 27001

Comme toutes les autres normes de systèmes de management de l’ISO, la certification selon
ISO/IEC 27001 est une possibilité, mais pas une obligation. Certains utilisateurs décident
de mettre en œuvre la norme simplement pour les avantages directs que procurent
VEILLE NORMATIVE
les meilleures pratiques. D’autres font le choix de la certification pour prouver à leurs ET REGLEMENTAIRE
clients qu’ils suivent les recommandations de la norme. L’ISO ne fournit pas de services
de certification. Confiez-nous votre référentiel et
gagnez ainsi du temps. Restez
en conformité par rapport aux
exigences de vos certifications.

Pour plus d’information :

une
us proposeeil
veille@normadoc.fr
D O C v o
NORM A
o n d e n o r m es, recu s
sélecti d ispensables
v r a g e s in
et ou er
à votre méti

NORMADOC
12, Rue de Capri - F-75012 Paris FRANCE
www.normadoc.com - info@normadoc.fr
 Librairie technique, scientifique & industrielle
N
ISO/CEI 27000 (01/2015)
O Technologies de l’information - Techniques de sécurité - Systèmes de management de la sécurité de l’information - Vue d’ensemble
R et vocabulaire
M
Le présent Rapport technique spécifie les exigences de sécurité des machines et du matériel de projection thermique, dans le cas présent
E : des cabines de projection, des systèmes de manipulation, de collecte de poussière, d’évacuation et de filtration.
S
ISO/IEC 27001 (2013-10)
Technologies de l’information - Techniques de sécurité - Systèmes de
management de la sécurité de l’information - Exigences
L’ISO/CEI 27001:2013 spécifie les exigences relatives à l’établissement,
à la mise en ?uvre, à la mise à jour et à l’amélioration continue d’un
système de management de la sécurité de l’information dans le contexte
d’une organisation.
Elle comporte également des exigences sur l’appréciation et le
traitement des risques de sécurité de l’information, adaptées aux besoins
de l’organisation. Les exigences fixées dans l’ISO/CEI 27001:2013
sont génériques et prévues pour s’appliquer à toute organisation, quels
que soient son type, sa taille et sa nature. Il n’est pas admis qu’une
organisation s’affranchisse de l’une des exigences spécifiées aux Articles
4 à 10 lorsqu’elle revendique la conformité à l’ISO/CEI 27001:2013.
ISO/IEC 27003 (2010-02)
Technologies de l’information - Techniques de sécurité - Lignes
directrices pour la mise en oeuvre du système
de management de la sécurité de l’information
ISO/CEI 27003 décrit le processus de spécification et de conception
du SMSI de la phase de cadrage au déploiement du SMSI. Ces étapes
couvrent les activités de préparation et de planification avant la mise
en œuvre effective, et incluent les éléments clés suivant : Validation
de la Direction et autorisation d’implémenter le SMSI, Définition du
périmètre et des limites du SMSI (y compris les moyens techniques et les
sites impliqués), Évaluation des risques informationnels et planification
du traitement des risques, Définition des exigences de contrôle sur les
risques, Conception du SMSI, Planification du projet d’implémentation.
ISO 27001 : retrouvez toute cette sélection et bien d’autres documents sur www.normadoc.com
Février 2016
B0119
vea u
ou
té
N
2015
!
ISO/IEC 27002 (2013-10)
Technologies de l’information Techniques de sécurité - Code
de bonne pratique pour le management de la sécurité de l’information
L’ISO 27002:2013 donne des lignes directrices en matière de normes
organisationnelles relatives à la sécurité de l’information et des bonnes
pratiques de management de la sécurité de l’information, incluant
la sélection, la mise en ?uvre et la gestion de mesures de sécurité
prenant en compte le ou les environnement(s) de risques de sécurité de
l’information de l’organisation.
L’ISO 27002:2013 est élaborée à l’intention des organisations
désireuses de sélectionner les mesures nécessaires dans le cadre du
processus de mise en ?uvre d’un système de management de la sécurité
de l’information (SMSI) selon l’ISO/CEI 27001; de mettre en ?uvre
des mesures de sécurité de l’information largement reconnues; et
d’élaborer leurs propres lignes directrices de management de la sécurité
de l’information.
ISO/IEC 27004 (2009-12)
Technologies de l’information - Techniques de sécurité - Management
de la sécurité
de l’information - Mesurage
La présente Norme internationale fournit des conseils sur le
développement et l’utilisation de mesures et dans la mesure afin
d’évaluer l’efficacité d’un système de management mis en place de
la sécurité de l’information ( SMSI ) et contrôles ou des groupes de
contrôle , telles que spécifiées dans la norme ISO / IEC 27001
Cela comprend la politique , la gestion des informations de risque
pour la sécurité , les objectifs de contrôle , les contrôles , les processus
et procédures , et de soutenir le processus de sa révision , en aidant
à déterminer si l’un des processus ISMS ou les contrôles doivent être
modifiés ou améliorés . Il faut garder à l’esprit qu’aucune mesure de
contrôle peut garantir une sécurité complète.
 Librairie technique, scientifique & industrielle Février 2016
B0119

ISO 27799:2008
Informatique de santé - Gestion de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002

L’ISO 27799:2008 fournit des lignes directrices permettant d’interpréter et de mettre en œuvre l’ISO/CEI 27002 dans le domaine de l’informatique
de santé et constitue un complément à cette dernière.

L’ISO 27799:2008 spécifie une série de contrôles détaillés en vue de la gestion de la sécurité des informations de santé et apporte des indications de
bonne pratique en matière de sécurité des informations de santé. La mise en œuvre de la présente Norme internationale permettra aux organismes
de santé et aux autres dépositaires d’informations de santé de garantir le niveau minimal requis en termes de sécurité propre aux dispositifs de leur
organisme et de garantir la confidentialité, l’intégrité et la disponibilité des informations personnelles de santé.

L’ISO 27799:2008 s’applique à tous les aspects de l’information de santé, quelle que soit la forme (mots, chiffres, enregistrements sonores, dessins,
vidéos et images médicales), le support utilisé pour les stocker (imprimés, écrits papier, stockage électronique) ou les moyens mis en œuvre pour
leur transmission (en main propre, par fax, par réseau informatique ou par la poste), car l’information doit toujours être protégée efficacement.

ISO/IEC 27005 (2011-06)

Technologies de l’information - Techniques de sécurité - Gestion des risques liés à la sécurité de l’information

L’ISO/CEI 27005:2011 contient des lignes directrices relatives à la gestion des risques en sécurité de l’information.

Elle vient en appui des concepts généraux énoncés dans l’ISO/CEI 27001; elle est conçue pour aider à la mise en place de la sécurité de N
l’information basée sur une approche de gestion des risques.
O
Il est important de connaître les concepts, les modèles, les processus et les terminologies décrites dans l’ISO/CEI 27001 et l’ISO/CEI 27002 R
afin de bien comprendre l’ISO/CEI 27005:2011.
M
L’ISO/CEI 27005:2011 est applicable à tous types d’organisations (par exemple les entreprises commerciales, les agences gouvernementales,
les organisations à but non lucratif) qui ont l’intention de gérer des risques susceptibles de compromettre la sécurité des informations de
E
l’organisation. S

n or m a d
@
oc

Pour
d e v is

.f r

obtenir le
R détail de ce
recueil
E Système de management de la sécurité de l’information
C Vos informations constituent un capital immatériel précieux et convoité ! Il faut donc le protéger à l’aide d’un système
U de management de l’information efficace.

E Voici votre guide sur les systèmes de management de la sécurité de l’information. Cette édition rassemble les dernières versions des normes qui
I vont vous accompagner dans votre démarche.

L Découvrez en avant-première le projet de norme ISO 27000 (2014), les normes NF ISO/CEI 27001 de décembre 2013, NF ISO/CEI 27002 de
janvier 2014, NF ISO/CEI 27005 d’avril 2013, ainsi que la NF ISO 22301 sur les systèmes de management de continuité d’activité.

A l’aide de ces normes, soyez assurés de prévenir et d’anticiper au mieux les risques qui pèsent sur vos systèmes d’information !

Vous souhaitez mettre en œuvre, exploiter, surveiller, tenir à jour et améliorer votre système de sécurité de l’information ?
Préparer les audits de sécurité ? Retrouvez ici tous les outils pour garantir le succès de votre entreprise et assurer
sa pérennité ! CD-Rom

ISO 27001 : retrouvez toute cette sélection et bien d’autres documents sur www.normadoc.com
 Librairie technique, scientifique & industrielle Février 2016
B0119

L Développer la Performance - Recueil des 3 volumes

I Méthode pour réussir son projet d’amélioration ou de certification (ISO 9001, ISO 14001, ISO 20000, ISO
22000, ISO 27000, OHSAS 18001…)
V
Rédigée par Claude Pinet, auteur de nombreux ouvrages de référence sur les normes ISO 9001, ISO 14001, OHSAS
R ou encore ISO 20000 et 22000, cette série de trois volumes vous donne, de manière simple et pratique, la marche à
E suivre pour conduire avec succès vos projets d’amélioration ou de certification.
S Ce recueil rassemble les trois volumes de la série en un seul ouvrages :

Volume 1 : Planifier la démarche

Le premier volume pose les bases, décrit le fondamentaux de la méthode et chacune des sept étapes qui la composent.

Volume 2 : Mettre en œuvre la démarche

Le second volume décrit point par point les l’ensemble des étapes et des activités qui leur sont rattachées en faisant apparaître les livrables.

Volume 3 : Le suivi et l’amélioration de la démarche

Le troisième volume présente les 43 outils pratiques qui seront les supports de la mise en œuvre de la démarche et les garants de son
amélioration continue.

Développer la Performance - Vol 1 : Planifier sa démarche

Développer la Performance - Vol 2 : Mettre en œuvre la démarche

Développer la Performance - Vol 3 : Le suivi et l’amélioration

de la démarche Méthode pour réussir son projet d’amélioration ou de certification (ISO 9001, ISO
14001, ISO 20000, ISO 22000, ISO 27000, OHSAS 18001…)

Voici une méthode qui présente, de manière simple et surtout très concrète, les étapes et les outils pour réussir une démarche
d’amélioration de la performance dans votre entreprise ou votre organisation.

Vous souhaitez réussir un projet d’amélioration continue ? Voire développer une démarche de certification ISO 9001, ISO 14001, ISO 20000, ISO
22000 ou encore OHSAS 18001 ? Vous trouverez avec cette série, un véritable guide décrivant, avec rigueur, les étapes, pas à pas, qui vous permettront
de mener à bien votre projet.

Rédigée par Claude Pinet, auteur de nombreux ouvrages de référence sur les normes ISO 9001, ISO 14001, OHSAS ou encore ISO 20000 et 22000,
cette série de trois volumes vous donne, de manière simple et pratique, la marche à suivre pour conduire avec succès vos projets d’amélioration ou de
certification.

10 clés pour la sécurité de l’information - ISO/CEI 27001

10 clés pour la sécurité de l’information
ISO/CEI 27001

Notre environnement quotidien est de plus en plus complexe et donc de plus en plus difficile à comprendre. Techniques et
outils de plus en plus sophistiqués apparaissent et se développent.

Dans toute organisation, avant d’entreprendre une action quelle qu’elle soit, doit se poser la question de l’évaluation des
conséquences que cette action est susceptible d’entraîner. Et c’est probablement dans le domaine de l’information que l’impact des décisions et des
actions peut s’avérer le plus difficile à appréhender. Or, l’absence de maîtrise des risques liés à la sécurité de l’information peut entraîner de lourdes
répercussions. Dans cet ouvrage, Claude Pinet fait oeuvre utile et s’adresse d’une part à tous les intervenants liés au système d’information, et d’autre
part à tout utilisateur de l’information afin d’améliorer la confiance dans les informations véhiculées.

ISO 27001 : retrouvez toute cette sélection et bien d’autres documents sur www.normadoc.com
 Librairie technique, scientifique & industrielle Février 2016
B0119

vea u
ou

té
N
2015 La fonction RSSI

!
Guide des pratiques et retours d’expérience
Sécurité informatique Ethical
Cet ouvrage s’adresse aux RSSI (Responsables
Hacking de la sécurité des systèmes d’information)
Coffret de 2 livres ainsi qu’à tous ceux qui dans leur métier ont la
Tester les types d’attaques et mettre en place responsabilité de veiller à la sécurisation des
les contre-mesures (2ième édition) données et au patrimoine informationnel de
l’entreprise.
Ces deux livres de la collection Epsilon offrent
au lecteur un maximum d’informations sur la Il intéressera aussi, tous les individus qui, dans leurs missions, collaborent
sécurité informatique et comment résister aux attaques extérieures : 1262 avec le RSSI : le CIL (Correspondant informatique et libertés), le risk
pages pour devenir Expert. manager, le responsable de la cellule d’Intelligence économique (IE).

Un livre de la collection Epsilon Sécurité informatique - Ethical Hacking
Apprendre l’attaque pour mieux se défendre (4ième édition)
Extrait du résumé : Ce livre sur la sécurité informatique (et le ethical
hacking) s’adresse à tout informaticien sensibilisé au concept de la
sécurité informatique mais novice ou débutant dans le domaine de la
sécurité des systèmes d’informations. Il a pour objectif d’initier le lecteur
aux techniques des attaquants pour lui apprendre comment se défendre...
Les chapitres du livre :
Introduction et définitions – Méthodologie d’une attaque – Éléments
d’ingénierie sociale – Les prises d’empreintes – Les failles physiques –
Les failles réseau – Cloud Computing : forces et faiblesses – Les failles
web – Les failles système – Les failles applicatives – Forensic – La
sécurité des box – Les failles matérielles – Risques juridiques et solutions
Cet ouvrage comporte quatre parties :
- La préparation qui définit le rôle du RSSI et ses moyens d’action
(processus, roadmap, charte, externalisation).
- Les fondamentaux qui présentent les politiques de sécurité (dont
la gestion des traces), le filtrage et la maîtrise des flux entrants dans
l’entreprise, les mécanismes d’authentification sur le SI, la gestion de
la vulnérabilité avec les plans de correction, et les audits techniques.
- Les activités opérationnelles qui expliquent comment faire face à
quatre situations réelles auxquelles sont confrontés les RSSI :
l’authentification forte, la mobilité, le WiFi et enfin le spam.
- Les moyens de contrôle (tests intrusifs, IDS, tableaux de bord) qui
permettent de s’assurer de l’efficacité des mesures de sécurité, de la
conformité de la politique et de la robustesse des protections.

Sécurité informatique
Principes et méthodes à l’usage des DSI,
RSSI et administrateurs

Que recouvre le terme de sécurité informatique Management de la sécurité

pour l’entreprise ? Existe-t-il des normes et
bonnes pratiques universelles ? Comment
de l’information
Implémentation ISO 27001 et ISO 27002 -
mettre en oeuvre une politique de sécurité et
Mise en place d’un SMSI et audit de
mettre au point des chartes de conduite pour
certification
minimiser le risque humain ?
La bible ISO du métier de RSSI. Depuis la
Une bible pratique et systématique pour le responsable informatique
parution de l’ISO 27001 en 2005, la série des normes 2700x n’a cessé de
s’enrichir pour formaliser de nombreux aspects du métier de responsable
Ecrit par un responsable de la sécurité des systèmes d’information devenu
de la sécurité des systèmes d’information (RSSI).
DSI, et par un expert des réseaux et des systèmes, ce livre limpide expose
les risques inhérents à tout système informatique - et les moyens de s’en
Une référence critique pour l’audit de certification. Puisant dans sa longue
protéger. S’adressant aux administrateurs et responsables informatiques
expérience d’auditeur et de conseil, l’auteur explique et met en perspective
comme à leurs interlocuteurs, il offre au professionnel consciencieux un
les normes ISO 2700x, et propose au DSI et au RSSI une démarche
exposé clair des modes opératoires des programmes nocifs et des outils
conforme de mise en place d’un SMSI, en insistant sur les pièges à éviter
censés les contrer ainsi qu’une méthode rigoureuse pour concevoir une
et les difficultés à résoudre. Cette nouvelle édition présente, en sus des
véritable politique de sécurité.
normes ISO 27001 et 27002, les plus essentielles publiées depuis 2009 :
ISO 27003, ISO 27004, ISO 27005, ISO 27007, ISO 27008 et ISO 27035.
Outre un modèle de politique de sécurité et de charte d’utilisation que
le lecteur pourra adapter à son environnement, cette quatrième édition,
Elle constitue un guide précieux pour leur compréhension, et une aide
mise à jour avec les dernières évolutions en matière de menaces et de
à la préparation de l’audit de certification ISO 27001. Si ce livre est un
sécurité, fait le point sur la pratique du cloud computing et sur IPv6, et
complément indispensable à la compréhension des normes ISO 27001 et
propose un éclairage sur la dimension géostratégique de la sécurité liée
autres normes liées, il reste néanmoins nécessaire de se référer au texte
à l’Internet (WikiLeaks, attaques contre la Géorgie et l’Estonie, coupure
même des normes, disponible auprès des organismes de normalisation.
de l’Internet en Egypte ou en Tunisie, etc.).
À qui s’adresse ce livre ? Aux responsables sécurité (RSSI) des grands
comptes et des PME, ainsi qu’à leurs équipes. Aux chefs de projet
A qui s’adresse cet ouvrage ?
chargés de mettre en place un SMSI. Aux experts de la gouvernance des
SI. Aux professionnels d’ITIL désirant approfondir le volet sécurité. Aux
- Aux administrateurs de systèmes et de réseaux, mais aussi aux DSI et
qualiticiens désirant élargir leurs compétences dans les SMSI. À tous les
aux responsables de projets ;
auditeurs dans le domaine de la conformité (financière, légale, etc.). Avec
- A tous ceux qui doivent concevoir ou simplement comprendre une
une préface d’Hervé Schauer.
politique de sécurité informatique.

ISO 27001 : retrouvez toute cette sélection et bien d’autres documents sur www.normadoc.com
Bon de commande à nous retourner avec votre règlement :
q par courrier : 12, Rue de Capri - F-75012 PARIS - FRANCE q par Fax : + 33 (0)1 40 02 03 12 q par Email : commande@normadoc.fr
Vous pouvez également commander sur notre site : www.normadoc.com
Qté Référence - Titre Langue Edition Prix HT Prix TTC Total TTC
Norme européenne*
français 2015 78,40 82,71 €
NF Z74-220, NF ISO/CEI 27000

Norme internationale* français 114,00 120,27 €

2013
ISO/IEC 27001 anglais 114,00 120,27 €
Norme européenne*
français 2013 68,40 72,16 €
NF Z74-221, NF ISO/CEI 27001

Norme internationale* français 173,00 182,52 €

2013
ISO/IEC 27002 anglais 173,00 182,52 €
Norme européenne*
Normes français 2014 122,00 128,82 €
NF Z74-222, NF ISO/CEI 27002
Norme internationale*
anglais 2010 173,00 182,52 €
ISO/IEC 27003
Norme internationale*
ISO/IEC 27004
anglais 2009 173,00 182,52 €

Norme internationale* français 173,00 182,52 €

2011
ISO/IEC 27005 anglais 173,00 182,52 €
Norme internationale* français 186,00 196,23 €
ISO 27799:2008
2008
anglais 186,00 196,23 €
Norme européenne*
NF S97-220, NF EN ISO 27799
français 2008 114,25 120,53 €

Recueil Système de management de la sécurité de l’information français 2014 414,00 436,77 €

Développer la Performance - Recueil des 3 volumes français 2011 49,29 52,00 €
Développer la Performance - Vol 1 : Planifier sa démarche français 2011 19,91 21,00 €
Développer la Performance - Vol 2 : Mettre en œuvre la démarche français 2011 19,91 21,00 €
Développer la Performance - Vol 3 : Le suivi et l’amélioration français 2011 19,91 21,00 €
Livres 10 clés pour la sécurité de l’information - ISO/CEI 27001 français 2002 24,64 26,00 €
Sécurité informatique - Ethical Hacking - Coffret de 2 livres français 2015 102,37 108,00 €
La fonction RSSI français 2011 35,64 37,60 €
Sécurité informatique français 2013 37,82 39,90 €
Management de la sécurité de l’information français 2012 36,97 39,00 €
Total TTC €
1 Frais de port & gestionj 6.80 € 8,16 € 8,16 €
j
Frais de port hors France métropolitaine : nous consulter - TVA : 5,5 % pour document - 20 % pour port Net à payer €
Adresse de livraison et facturation :
Société :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Code client NORMADOC (si connu) :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Code NAF : . . . . . . . . . . . . . . . . . . . . . . . . . . . N° TVA intracommunautaire : . . . . . . . . . . . . . . . . . . .
Service : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Contact : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresse : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (*) Les normes internationales (ISO) et
européennes (NF EN) sont strictement équivalentes
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Code Postal :. . . . . . . . . . . . . . . . . . . . . . . . . . . Ville : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tél. : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fax : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
E-mail : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mode de règlement :
Signature et cachet :
q Client en compte
q Chèque à la commande à l’ordre de NORMADOC
q Virement à la commande
BP Rives Paris Italie - 1, Place André Masson 75013 PARIS
IBAN : FR76 10207 000 13 04013 071282 14 - Code SWIFT: CCBP FRPP MTG
q Carte de crédit (VISA, Mastercard ou AMEX)
N° de carte bancaire : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Date d’expiration : . . . . . . . . . . . . . . . . . . . /. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Code de vérification : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

NORMADOC
12, Rue de Capri - F-75012 Paris FRANCE
www.normadoc.com - info@normadoc.fr