Scribd Logo
Importer

Bienvenue sur Scribd !

  • 01 Iso - 27001 Miloud Cours A2018

    Transféré par

    Felix Gannandje
    1 vues22 pages

    Titre original

    01-Iso_27001-Miloud-Cours-A2018

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PPTX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    1 vues22 pages

    01 Iso - 27001 Miloud Cours A2018

    Transféré par

    Felix Gannandje

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 22

    FAMILLE ISO 2700X

    BREF HISTORIQUE
    Famille des ISO 2700X
    ISO 27001
    MISE EN ŒUVRE D’UN SYSTÈME DE GESTION DE LA SÉCURITÉ DE
    L’INFORMATION
    NORME D’EXIGENCES DES SMSI PERMETTANT LA
    CERTIFICATION

    • SMSI : SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFFORMATION


    • ISMS : INFORMATION SECURITY MANAGEMENT SYSTEM
    • OBJECTIFS :
    • DÉCRIRE LES EXIGENCES POUR LA MISE EN PLACE D’UN SMSI
    • PERMETTRE LA CERTIFICATION D’ORGANISME (EN MATIÈRE DE SÉCURITÉ DE
    L’INFORMATION)
    QU’EST CE QU’UN SMSI ?

    • UN ENSEMBLE DE MESURES :
    • ORGANISATIONNELLES
    • TECHNIQUES
    • À QUI IL SERT ?
    • PERMET DE DÉCRIRE LA PROTECTION DES ACTIFS DE L’ORGANISME
    • PERMET DE SÉLECTIONNER LES MESURES DE SÉCURITÉ APPLICABLES
    • INSTAURE LA CONFIANCE AVEC LES TIERS, CLIENTS ET FOURNISSEURS
    • FACILITE LES RELATIONS AVEC LES AUTORITÉS DE TUTELLES
    ISO 27001
    TECHNOLOGIE DE L’INFORMATION – TECHNIQUES DE SÉCURITÉ –
    SYSTÈMES DE GESTION DE SÉCURITÉ DE L’INFORMATION - EXIGENCES

    • COMPOSÉ DE 4 CHAPITRES :
    • ÉTABLIR, IMPLÉMENTER, MAINTENIR, AMÉLIORER
    • PLAN, DO, CHECK, ACT (PDCA)
    • POINTS DE CONTRÔLES ANNEXE A:
    • 114 POINTS DE CONTRÔLE (MESURES DE SÉCURITÉ)
    • 14 DOMAINES
    ÉTABLIR, IMPLÉMENTER, MAINTENIR, AMÉLIORER
    ÉTABLIR (PLAN)

    • DÉCRIT LE PÉRIMÈTRE DU SMSI :


    • DÉCRIT LA POLITIQUE DU SMSI (DÉMARCHE)
    • DÉCRIT L’IDENTIFICATION DES RISQUES ET LEUR COUVERTURE
    • PAS DE CONTRAINTES SUR LA MÉTHODE À CHOISIR
    • DOIT ÊTRE VALIDÉ PAR LA DIRECTION

    • PERMET LA DÉFINITION DE LA DÉCLARATION D’APPLICABILITÉ (STATEMENT


    OF APPLICABILITY) :
    • TABLEAU RÉCAPITULATIF DES MESURES DE SÉCURITÉ SÉLECTIONNÉES EN
    S’APPUYANT SUR L’ANNEXE A
    • JUSTIFIER LES EXCLUSIONS
    IMPLÉMENTER – METTRE EN ŒUVRE – (DO)

    • DÉCRIT L’EXPLOITATION DU SMSI :


    • RESSOURCES NÉCESSAIRES
    • PROCÉDURES SUIVIES
    • FORMATION DES ACTEURS
    • DÉCRIT LE TRAITEMENT DU RISQUE :
    • EXPLOITATION DES MESURES POUR LES RISQUES COUVERTS
    • SUIVI POUR LE TRAITEMENT DES RISQUES TRANSFÉRÉS
    • SUIVI POUR LES RISQUES RÉSIDUELS
    MAINTENIR (CHECK)

    • DÉCRIT LE PLAN DES ACTIONS CORRECTRICES POUR AMÉLIORER LA


    COUVERTURE DES RISQUES
    • DÉCRIT LE PLAN DES ACTIONS D’AMÉLIORATION POUR ÉTENDRE LA
    COUVERTURE DES RISQUES
    • REVUE DE L’IDENTIFICATION DES RISQUES
    • AMÉLIORATION DE L’EXPLOITATION
    • TRAITEMENT DES NON-CONFORMITÉS DÉTECTÉES PAR L’AUDIT
    • DESCRIPTION DES ACTIONS CORRECTRICES OU PRÉVENTIVES
    ISO 27002
    GUIDE DE BONNES PRATIQUES EN SMSI

    • PRÉSENTER LES BONNES PRATIQUES DE SÉCURITÉ VIS-


    À-VIS DES POINTS DE CONTRÔLE DE L’ANNEXE A DE
    L’ISO 27001
    PÉRIMÈTRE DE COUVERTURE DE L’ISO 27002:2013
    • POLITIQUE DE LA SÉCURITÉ DE L’INFORMATION
    • ORGANISATION DE LA SÉCURITÉ DE L’INFORMATION
    • SÉCURITÉ DES RESSOURCES HUMAINES
    • GESTION DES ACTIFS
    • CONTRÔLE D’ACCÈS
    • CRYPTOGRAPHIE
    • SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE
    • SÉCURITÉ LIÉE À L’EXPLOITATION
    • SÉCURITÉ DES COMMUNICATIONS
    • ACQUISITION, DÉVELOPPEMENT ET MAINTENANCE DES SYSTÈMES D’INFORMATION
    • RELATIONS AVEC LES FOURNISSEURS
    • GESTION DES INCIDENTS LIÉS À LA SÉCURITÉ DE L’INFORMATION
    • GESTION DE LA CONTINUITÉ D’ACTIVITÉ
    • CONFORMITÉ
    ISO 27004
    NORME DE MESURES DE MANAGEMENT DE LA
    SÉCURITÉ DE L’INFORMATION

    • ON NE PEUT GÉRER CE QUE L’ON NE SAIT PAS MESURER ET L’ON NE PEUT


    MESURER CE QUE L’ON NE SAIT PAS DÉFINIR
    • OBJECTIF : MESURER L’EFFICACITÉ DU SMSI ET DES MESURES DE SÉCURITÉ
    • LA NORME SPÉCIFIE :
    • COMMENT METTRE EN PLACE UN PROGRAMME DE MESURE ?
    • QUELS SONT LES PARAMÈTRES À MESURER ? ET COMMENT ?
    AVANTAGES DU MESURAGE

    • ÉVALUER L’EFFICACITÉ DE MISE EN ŒUVRE DES MESURES DE


    SÉCURITÉ
    • ÉVALUER LE SMSI ET SON AMÉLIORATION PERMANENTE
    • FOURNIR UN ÉTAT POUR GUIDER LES REVUES DU MANAGEMENT
    • FOURNIR DES TARCES POUR LES AUDITS
    • SERVIR À L’ANALYSE DE RISQUE ET AU TRAITEMENT DU RISQUE
    ISO 27005
    GESTION DES RISQUES LIÉS À LA SÉCURITÉ DE
    L’INFORMATION

    • OBJECTIF : DÉFINIR UNE DÉMARCHE DE GESTION DES


    RISQUES
    • CARACTÉRISTIQUES D’UNE MÉTHODE D’ANALYSE DE
    RISQUES :
    • MESURABLE
    • REPRODUCTIBLE
    POURQUOI UNE ANALYSE DU RISQUE ?
    • IDENTIFIER : LES MENACES ET LES VULNÉRABILITÉS ET
    LEURS CONSÉQUENCES POUR L’ENTREPRISE
    • ANTICIPER : LES INCIDENTS EN SE FOCALISANT SUR
    L’ESSENTIEL
    • IDENTIFICATIONS DES RISQUES LES PLUS GRAVES AYANT UN
    IMPACT NÉFASTE
    • RÉDUCTION DES VULNÉRABILITÉS PAR UN PLAN DE TRAITEMENT
    • ACCEPTER : CERTAINS RISQUES DE FAÇON CONSCIENTE
    • REVOIR : L’ORGANISATION ET LES TECHNOLOGIES
    • AMÉLIORER : L’EFFICACITÉ DE LA SÉCURITÉ EN
    RÉDUISANT LES RSIQUES AVEC UN COÛT OPTIMAL
    CONTENU DE L’ISO 27005
    6 CLAUSES DÉCRIVANT LE PROCESSUS

    • CLAUSE 6 : PROCESSUS DE LA GESTION DU RISQUE


    • CLAUSE 7 : ÉTABLISSEMENT DU CONTEXTE
    • CLAUSE 8 : ÉVALUATION DU RISQUE
    • CLAUSE 9 : TRAITEMENT DU RISQUE
    • CLAUSE 10 : ACCEPTATION DU RISQUE
    • CLAUSE 11 : COMMUNICATION
    • CLAUSE 12 : SURVEILLANCE ET REEXAMEN DU RISQUE
    CONTENU DE L’ISO 27005
    5 ANNEXES

    • ANNEXE A : PÉRIMÈTRE ET LIMITES DU PROCESSUS DE


    GESTION DU RISQUE
    • ANNEXE B : IDENTIFICATION ET VALORISATION DES ACTIFS
    ET ÉVALUATION DES IMPACTS
    • ANNEXE C : EXEMPLE DE MENACES
    • ANNEXE D : VULNÉRABILITÉS ET MÉTHODES D’ÉVALUATION
    DES VULNÉRABILITÉS
    • ANNEXE E : ÉVALUATION DU RISQUE
    DEUX ACTIVITÉS SÉQUENTIELLES ET
    ITÉRATIVES :

    - APPRÉCIATION DU RISQUE
    - TRAITEMENT DU RISQUE

    PEUT S’APPLIQURER :
    - À L’ENTREPRISE ENTIÈRE
    - À UN SECTEUR D’ACTIVITÉ
    - À UN SI
    - À UNE APPLICATION
    TRAITEMENT DU RISQUE

    • RÉDUCTION : MISE EN ŒUVRE DE MESURES DE SÉCURITÉ POUR


    RAMENER LE RISQUE À UN NIVEAU ACCEPTABLE
    • ACCEPTATION : AUCUNE ACTION POUR RÉDUIRE LE RISQUE N’EST PRISE
    – LE RISQUE N’EST PAS COUVERT
    • ÉVITEMENT : RISQUE EST TROP ÉLEVÉ – PAS DE SOLUTION FIABLE POUR
    LE RÉDUIRE - ON SE SÉPARE DES ACTIFS OU L’ACTIVITÉ CONCERNÉS
    • TRANSFERT : RISQUE TRANSFÉRÉ CHEZ UN TIERS QUI PEUT LE GÉRER
    PLUS EFFICACEMENT. L’ENTREPRISE DOIT GARDER LA MAÎTRISE DE CE
    TRANSFERT
    TRAITEMENT DU RISQUE

    Vous aimerez peut-être aussi