LISO EN DIRECT

ISO/CEI 27001:2005 ltat de lart en gestion de scurit de linformation

par Ted Humphreys
de lapproche gnrale du risque dun organisme (voir La norme ISO/CEI 17799 amliore ouvre la voie une nouvelle srie sur les systmes de gestion de la scurit de linformation , IMS, SeptembreOctobre 2005).
1) ISO / CEI 270 01: 20 05 Technologie de linformation Techniques de scurit Systmes de gestion de scurit de linformation Exigences, est disponible, au prix de 124 francs suisses, auprs des instituts nationaux membres de lISO (dont la liste et les coordonnes sont donnes sur le site Web de lISO : www. iso.org et du Secrtariat central de lISO (sales@iso.org).

La publication rcente de la norme ISO/CEI 27001:2005 Technologies de linformation Techniques de scurit Systmes de gestion de scurit de linformation Exigences 1) est un vnement important dans le monde de la scurit de linformation. La norme tait attendue avec impatience. Version rvise et actualise de la norme britannique BS 7799 Partie 2, qui a connu un grand succs, elle intgre lapproche processus dISO 9001:2000 et dISO 14001:2004. Elle spcie les exigences et les processus qui permettent une entreprise dtablir, de mettre en uvre, de revoir et de surveiller, de grer et dactualiser

une scurit de linformation qui soit efcace. Comme ISO 9001, elle est construite sur le modle du cycle de processus Planier-Faire-Vrier-Agir (PDCA) (voir Figure 1, page 16) et sur lexigence dune amlioration continue. ISO/CEI 27001:2005 a t labore par divers organismes qui ont un intrt commun protger leurs biens dinformation, la sve de toutes les entreprises. Ces organismes ont labor la norme relative au Systme de gestion de scurit de linformation (SGSI) pour leur permettre de crer des solutions rentables en scurit de linformation et protger ainsi leurs activits.

Un outil de gestion du risque

La gestion du risque est au cur de lapproche ISO/CEI 27001 pour raliser une scurit efcace de linformation en appliquant en permanence des mthodes danalyse du risque, incorpores dans le modle de processus PDCA, a n de surveiller, dactualiser et damliorer cette efcacit. Elle donne un cadre de gestion qui rend possible les meilleures pratiques de contrle de la norme ISO/CEI 17799:2005, Technologies de linformation Techniques de scurit Code de bonne pratique pour la gestion de la scurit de linformation, appliquer et grer dans le cadre

Ted Humphreys est Animateur du Groupe de travail 1, Exigences, services de scurit et directives, du Sous-comit 27, Techniques de scurit des TI, Comit technique mixte ISO/ CEI JTC 1, Technologies de linformation. Il est aussi Directeur de XiSEC, socit spcialise dans les systmes de gestion de scurit de linformation. Tl. + 44 1473 626615. E-mail tedxisec@aol.com Web www.xisec.com

ISO Management Systems Janvier-fvrier 2006 15

LISO EN DIRECT

Mettre en uvre et pratiquer le SGSI

Concevoir et crer le SGSI

sont dailleurs nombreux tre certis BS 7799 Partie 2 pour apporter une conrmation indpendante de lefcacit de leur scurit de linformation.

Faire

Planier

La certification du SGSI
La certication BS 7799 Partie 2 a connu une croissance rapide ces dernires annes, plus de 2 000 organismes de plus de 50 pays tant certis ce jour. Le Registre international des certifications accrdites (www. ISO27001certicates.com) donne une liste de tous les organismes certis par pays. Une nouvelle augmentation est attendue avec la publication dISO/CEI 27001:2005, bien que la certication ne soit ni obligatoire, ni mentionne dans la norme. Devancire dISO/CEI 27001, la norme britannique BS 7799 Partie 2:2002 a montr toute sa valeur pour les nombreux organismes qui, dans le monde, ont t certis en utilisant les mmes processus, lignes directrices et critres pour la certification et laudit que ceux dISO 9001:2000 (par exemple guide ISO/CEI 62:1996, ISO 19011:2002 et EA 7/03 2)), et qui ont fait tat de nombreux avantages rels et tangibles pour lentreprise. (Suite page 18)

Vrier
Surveiller et revoir le SGSI

Agir
Actualiser et amliorer le SGSI

Figure 1 : Le cycle Planier-Faire-Vrier-Agir du Systme de gestion de scurit de linformation (SGSI).

ISO/CEI 27001:2005 donne le moyen de mettre en uvre une gestion efcace de la scurit de linformation conformment aux objectifs organisationnels et aux exigences conomiques. La norme, une spcication fonde sur lanalyse du risque, est conue pour prendre en charge les aspects de scurit de linformation du gouvernement dentreprise, la protection des biens dinformation, les obligations lgales et contractuelles, mais aussi le large ventail de menaces qui psent sur les systmes TIC (technologies de linformation et de la communication) dun organisme et sur ses processus. Elle renvoie galement aux rcents Principes de scurit de lOrganisation de coopration et de dveloppement conomiques (OCDE), qui soulignent la ncessit de crer une culture de la scurit au sein dun organisme. Cet aspect est particulirement important pour aider lorganisme assumer ses responsabilits sociales et pour sa bonne sant gnrale.

Avantages pour lentreprise

En affaires, il est essentiel de gagner la conance des clients. Un organisme peut donner cette assurance aux clients sil dmontre que ses processus et systmes sont au point et rpondent leurs besoins en partageant et en changeant des informations, en fournissant une gamme de services et en ralisant des transactions en ligne. La sous-traitance, la dlocalisation et la fourniture de services grs sappuient sur la cration et le maintien de la conance des clients dans les systmes rgissant les activits de lentreprise. De nombreux organismes ont fait tat des effets bnques de lutilisation de ces normes SGSI pour donner aux clients lassurance que les services sont fournis dune manire sre. Ils ont galement fait tat deffets bnques pour la satisfaction des obligations contractuelles et laptitude en apporter la preuve aux partenaires commerciaux, aux clients et aux autres

parties intresses. Certains ont aussi afrm que lapplication des normes a contribu les protger de nombreux risques conomiques tout en sauvegardant des biens essentiels, la fois tangibles et intangibles, de lentreprise. Les gouvernements dans de nombreuses rgions du monde appliquent galement des normes SGSI avec prot dans le cadre de leurs stratgies et dploiements de gouvernement lectronique.

Applicable toutes les entreprises

ISO/CEI 27001:2005 est applicable aux petites, moyennes et grandes entreprises. La norme est pratique, assez souple pour sintgrer aux systmes de management existants et adaptable toute approche du risque envisage par lentreprise. Ce point de vue est partag par les organismes qui ont utilis la norme BS 7799 Partie 2 (devancire dISO/CEI 27001) dans le cadre de leur stratgie dentreprise. Ils

2) Guide ISO/CEI 62:1996, Exigences gnrales relatives aux organismes grant lvaluation et la certi cation /enregistrement des systmes qualit ; ISO 19011:2002, Lignes directrices pour laudit des systmes de management de la qualit et /ou de management environnemental ; EA 7/03 (Coopration europenne pour laccrditation) Lignes directrices pour laccrditation des organismes grant la certi cation /enregistrement des systmes de gestion de scurit de linformation.

16 ISO Management Systems Janvier-fvrier 2006

LISO EN DIRECT

CE QUEN PENSENT LES UTILISATEURS

Jusqu prsent, les organismes qui souhaitaient que leur SGSI soit certi le faisaient en conformit la norme britannique BS 7799 Partie 2. Cest dsormais possible conformment la Norme internationale ISO/CEI 27001:2005. Voici certaines observations sur les avantages obtenus par la mise en uvre et la certication du SGSI dans le monde.

SPI Technologies : Gagner la conance des clients

La norme BS 7799 Partie 2 a montr toute sa valeur pour notre recherche de lexcellence dentreprise. En ces temps difciles, o la scurit de linformation est une priorit absolue, la norme SGSI est devenue larmure de SPI Technologies. Elle a jou un grand rle pour obtenir la conance des clients dans les services et capacits de lentreprise. Nous sommes convaincus que lamlioration de la scurit de linformation au sein de lorganisation met SPI en pointe dans le domaine de lexternalisation des processus, un coup gagnant qui crera la diffrence par rapport la concurrence.
Ian D. Bellord Soutien oprationnel mondial, SPI Technologies Inc, Philippines

Macquarie Telecom : Une assurance donne aux clients

La certication BS 7799 donne nos clients lassurance, preuve lappui, que toutes les ressources, processus et procdures corrects sont en place. Nous observons une prise de conscience accrue de nos clients, qui demandent que les cadres pour la scurit soient examins, en particulier du fait que les questions de scurit et de conformit sont souleves au niveau des conseils dadministration. BS 7799 est pour nous une des manires de dmontrer notre engagement.
Greg Thompson Directeur de groupe Hbergement et scurit, Macquarie Telecom, Australie

BAE Systems Bofors : La certication, une ncessit vitale

La certication est une ncessit vitale la fois pour nous et pour nos clients. Comme nous avons galement affaire avec de nombreux contacts internationaux, un certi cat mondial de ce type est essentiel.
Christina Larsson Responsable Scurit de linformation , BAE Systems Bofors AB, Sude

Tata Steel : Des risques rduits en scurit de information

En appliquant BS 7799 Partie 2, nous avons pu rduire les risques et menaces sur la scurit de linformation et donner une assurance nos parties prenantes. Elle nous a aids construire un environnement de prise de conscience de la scurit de linformation et dnir une approche focalise et structure pour la gestion de la scurit. Nous attendons avec intrt ISO 27001:2005 qui, nous lesprons, fournira le cadre pour amliorer les contrles de scurit de linformation et leur mise en application.
Raghavendra Mathur, Chef, Infrastructure TI, Tata Steel, Inde

Tectraxx : Une grande diffrence

Le fait que nous ayant annonc notre volont de mettre en place un systme de gestion de la scurit conforme BS 7799 Partie 2 a, lui seul, cr une grande diffrence par rapport nos concurrents. Tous nos clients de Nokia Siemens sont trs intresss par le fait que leur fournisseur de services soit conforme cette norme de scurit.
Ernst Wiener Responsable Scurit de linformation et Management de la qualit, Tectraxx, Wiener Neudorf, Vienne, Autriche

Siemens : Un rel atout concurrentiel

Nous avons recherch la certication parce que cette norme offre un maximum de scurit. Lorsque nous faisons des offres, nous y joignons le certicat BS 7799 Partie 2. Cela nous vite davoir donner des preuves supplmentaires en matire de scurit de linformation un rel atout concurrentiel.
Albert Felbauer Directeur gnral, Siemens Business Services GmbH, Vienne, Autriche

Polaris Software : Une plus grande conance des clients

La certication BS 7799 Partie 2 a visiblement cr, chez notre personnel et notre direction, une meilleure prise de conscience de la scurit de linformation, ce qui a conduit un degr suprieur de conformit, qui a en retour amlior la conance de nos clients.
S.Y. Amarnath CISO Groupe Scurit de linformation, Polaris Software Lab Limited, Chennai, Inde

Biznet Solutions : Se distinguer dans un march trs actif

Depuis lobtention du certicat BS 7799 en novembre 2004, Biznet Solutions sest distingu dans un march trs actif. Notre engagement assurer la scurit de linformation fournit en permanence une conance non seulement nos clients, mais aussi nos employs et partenaires. La certication a donn nos systmes la force et lintgrit qui nous aident concurrencer avec succs des entreprises de classe mondiale sur la scne mondiale.
Gillian Esquivel , Biznet Solutions, Belfast, Irlande du nord

Kapsch BusinessCom : Une reconnaissance internationale

Grce la vrication indpendante ralise par CIS, les ventuelles dciences caches de notre systme de scurit peuvent tre identies et limines. Toutefois, lobjectif principal de notre certication est doffrir nos clients une norme de scurit bnciant dune reconnaissance internationale.
Franz Semmernegg Directeur gnral, Kapsch BusinessCom, Vienne, Autriche

ISO Management Systems Janvier-fvrier 2006 17

LISO EN DIRECT

Ces aspects bnfiques types sont exprims par plusieurs entreprises certi es qui sont cites page prcdente (voir encadr, Ce quen pensent les utilisateurs ). Des avantages analogues ont t relevs dans la plupart des secteurs commerciaux et industriels, y compris les tlcommunications, les nances et les assurances, les services publics, la distribution et la fabrication, les prestataires de services, les soins de sant, les services de police et les services durgence, les universits, les dpartements et agences gouvernementales.

me de mesure et des mesurages de la scurit de linformation. Cela permettra aux organismes de dnir des cibles de performance et de procder des analyses comparatives pour mesurer lefcacit de leur scurit de linformation. Viendront ensuite les normes ISO/CEI 27000, Principes et vocabulaire, comparable ISO 9000:2000, et ISO/CEI 27005, un ensemble de lignes directrices pour la gestion du risque. Des travaux sont aussi en cours sur un ensemble dexigences pour les tlcoms, en collaboration avec lUIT-T, lentit de normalisation de lUnion internationale des tlcommunications. Entirement bases sur ISO/ CEI 27001, elles ajoutent des exigences tlcoms aux contrles dnis dans ISO/CEI 27002 (ISO/CEI 17799). Le document est actuellement identi en tant que norme X.1051 de lUIT-T. Il pourrait sintgrer la famille ISO 27000 lavenir, par exemple sous rfrence ISO/CEI 27051.

La nouvelle norme devrait devenir une meilleure vente

En consquence, avec la publication dISO/CEI 27001:2005, de nombreux organismes ont commenc se prparer aux processus de mise en uvre et de certication dont lobjectif principal est dobtenir un signe dapprobation reconnu sur le plan international.

Meilleure vente
ISO/CEI 27001:2005 inaugurera ainsi une famille de normes internationales SGSI qui devraient apporter de nombreux avantages aux entreprises dans le monde en amliorant la scurit de linformation dans un environnement aujourdhui permable aux risques. La nouvelle norme est destine avoir le mme succs que sa devancire, la norme BS 7799 Partie 2, et lon prdit quelle deviendra, comme ISO/ CEI 17799, une meilleure vente dans des marchs et secteurs trs varis.

La famille ISO/CEI 27000

ISO/CEI 27001:2005 est la premire dune famille de normes SGSI qui seront publies dans les cinq prochaines annes. Il est prvu dattribuer ISO/ CEI 17799 le nouveau numro ISO/CEI 27002 en avril 2007, en donnant ainsi aux utilisateurs actuels le temps de se familiariser avec le nouveau systme de numrotation. En cours dlaboration, la norme ISO/CEI 27003 contiendra des lignes directrices supplmentaires pour la mise en uvre et la norme ISO/CEI 27004 traitera du sujet important du syst-

18 ISO Management Systems Janvier-fvrier 2006