Académique Documents
Professionnel Documents
Culture Documents
La publication rcente de la norme ISO/CEI 27001:2005 Technologies de linformation Techniques de scurit Systmes de gestion de scurit de linformation Exigences 1) est un vnement important dans le monde de la scurit de linformation. La norme tait attendue avec impatience. Version rvise et actualise de la norme britannique BS 7799 Partie 2, qui a connu un grand succs, elle intgre lapproche processus dISO 9001:2000 et dISO 14001:2004. Elle spcie les exigences et les processus qui permettent une entreprise dtablir, de mettre en uvre, de revoir et de surveiller, de grer et dactualiser
une scurit de linformation qui soit efcace. Comme ISO 9001, elle est construite sur le modle du cycle de processus Planier-Faire-Vrier-Agir (PDCA) (voir Figure 1, page 16) et sur lexigence dune amlioration continue. ISO/CEI 27001:2005 a t labore par divers organismes qui ont un intrt commun protger leurs biens dinformation, la sve de toutes les entreprises. Ces organismes ont labor la norme relative au Systme de gestion de scurit de linformation (SGSI) pour leur permettre de crer des solutions rentables en scurit de linformation et protger ainsi leurs activits.
Ted Humphreys est Animateur du Groupe de travail 1, Exigences, services de scurit et directives, du Sous-comit 27, Techniques de scurit des TI, Comit technique mixte ISO/ CEI JTC 1, Technologies de linformation. Il est aussi Directeur de XiSEC, socit spcialise dans les systmes de gestion de scurit de linformation. Tl. + 44 1473 626615. E-mail tedxisec@aol.com Web www.xisec.com
LISO EN DIRECT
sont dailleurs nombreux tre certis BS 7799 Partie 2 pour apporter une conrmation indpendante de lefcacit de leur scurit de linformation.
Faire
Planier
La certification du SGSI
La certication BS 7799 Partie 2 a connu une croissance rapide ces dernires annes, plus de 2 000 organismes de plus de 50 pays tant certis ce jour. Le Registre international des certifications accrdites (www. ISO27001certicates.com) donne une liste de tous les organismes certis par pays. Une nouvelle augmentation est attendue avec la publication dISO/CEI 27001:2005, bien que la certication ne soit ni obligatoire, ni mentionne dans la norme. Devancire dISO/CEI 27001, la norme britannique BS 7799 Partie 2:2002 a montr toute sa valeur pour les nombreux organismes qui, dans le monde, ont t certis en utilisant les mmes processus, lignes directrices et critres pour la certification et laudit que ceux dISO 9001:2000 (par exemple guide ISO/CEI 62:1996, ISO 19011:2002 et EA 7/03 2)), et qui ont fait tat de nombreux avantages rels et tangibles pour lentreprise. (Suite page 18)
Vrier
Surveiller et revoir le SGSI
Agir
Actualiser et amliorer le SGSI
parties intresses. Certains ont aussi afrm que lapplication des normes a contribu les protger de nombreux risques conomiques tout en sauvegardant des biens essentiels, la fois tangibles et intangibles, de lentreprise. Les gouvernements dans de nombreuses rgions du monde appliquent galement des normes SGSI avec prot dans le cadre de leurs stratgies et dploiements de gouvernement lectronique.
2) Guide ISO/CEI 62:1996, Exigences gnrales relatives aux organismes grant lvaluation et la certi cation /enregistrement des systmes qualit ; ISO 19011:2002, Lignes directrices pour laudit des systmes de management de la qualit et /ou de management environnemental ; EA 7/03 (Coopration europenne pour laccrditation) Lignes directrices pour laccrditation des organismes grant la certi cation /enregistrement des systmes de gestion de scurit de linformation.
LISO EN DIRECT
LISO EN DIRECT
Ces aspects bnfiques types sont exprims par plusieurs entreprises certi es qui sont cites page prcdente (voir encadr, Ce quen pensent les utilisateurs ). Des avantages analogues ont t relevs dans la plupart des secteurs commerciaux et industriels, y compris les tlcommunications, les nances et les assurances, les services publics, la distribution et la fabrication, les prestataires de services, les soins de sant, les services de police et les services durgence, les universits, les dpartements et agences gouvernementales.
me de mesure et des mesurages de la scurit de linformation. Cela permettra aux organismes de dnir des cibles de performance et de procder des analyses comparatives pour mesurer lefcacit de leur scurit de linformation. Viendront ensuite les normes ISO/CEI 27000, Principes et vocabulaire, comparable ISO 9000:2000, et ISO/CEI 27005, un ensemble de lignes directrices pour la gestion du risque. Des travaux sont aussi en cours sur un ensemble dexigences pour les tlcoms, en collaboration avec lUIT-T, lentit de normalisation de lUnion internationale des tlcommunications. Entirement bases sur ISO/ CEI 27001, elles ajoutent des exigences tlcoms aux contrles dnis dans ISO/CEI 27002 (ISO/CEI 17799). Le document est actuellement identi en tant que norme X.1051 de lUIT-T. Il pourrait sintgrer la famille ISO 27000 lavenir, par exemple sous rfrence ISO/CEI 27051.
Meilleure vente
ISO/CEI 27001:2005 inaugurera ainsi une famille de normes internationales SGSI qui devraient apporter de nombreux avantages aux entreprises dans le monde en amliorant la scurit de linformation dans un environnement aujourdhui permable aux risques. La nouvelle norme est destine avoir le mme succs que sa devancire, la norme BS 7799 Partie 2, et lon prdit quelle deviendra, comme ISO/ CEI 17799, une meilleure vente dans des marchs et secteurs trs varis.