ISO/IEC 27001 : implémentation d’un SMSI

Magazine
Marque
MISC
Numéro
47
Mois de parution
janvier 2010
Auteurs
Par
Bailleux Christophe
Spécialité(s)
Sécurité organisationnelle
Sécurité système
Tag(s)
Organisation
Gestion des risques
norme ISO
incident
SMSI
gouvernance
Audit


Résumé

Les systèmes d’information sont au cœur de nos entreprises et sont souvent une ressource indispensable à nos activités. Les protéger et prévenir toute menace devient donc une priorité.Pour beaucoup, la sécurité est avant tout une affaire de techniciens. Mais, beaucoup oublient que la sécurité des systèmes d’information concerne également la Direction Générale de l’organisme. Comment serait-il possible de répondre aux besoins sécurité d’une entreprise sans une implication forte du management.L’objectif de cet article est donc de vous présenter la démarche à suivre lors de la mise en place d’un système de management de la sécurité de l’information, en vous présentant les étapes majeures devant être réalisées pour mener à bien un tel projet.


Rappel

Certains d’entre vous se demandent peut être encore ce que sont ces fameux standards ISO 2700x, également appelés « normes ». Ces normes représentent tout simplement un langage commun et un lien nécessaire entre les divers acteurs concernés, en proposant un modèle de gouvernance dédié à la sécurité de l’information.

La démarche adoptée par ces normes repose sur le modèle qualité PDCA (Plan, Do, Check, Act) assurant ainsi une amélioration continue du processus. Elles sont destinées à tout type d’organisation et ont pour but de décrire les objectifs à atteindre et non la manière concrète d’y arriver.

Parmi elles, nous retrouvons les normes :

- ISO 27001(exigences d’un Système de Management de la Sécurité de l’Information (SMSI)) ;

- ISO 27002 (code de bonnes pratiques …

La suite est réservée aux abonnés. Il vous reste 96% à découvrir.
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Envie de lire la suite ? Rejoignez Connect
Je m'abonne maintenant


Article rédigé par

Bailleux Christophe

Bailleux Christophe
3 articles

Par le(s) même(s) auteur(s)

Plus d'article de cet auteur

ISO/IEC 27005 : La gestion des risques de sécurité

Magazine
Marque
MISC
Numéro
50
Mois de parution
juillet 2010
Auteurs
Par
Bailleux Christophe
Spécialité(s)
Sécurité organisationnelle
Droit
Résumé

Comme nous l’avions vu dans l’article consacré la norme ISO 27001, l’identification et l’analyse des risques en sécurité de l’information sont deux étapes incontournables dans la mise en œuvre d’un système de management ISO 27001. Basée sur un processus itératif et non linéaire, la norme ISO 27005, publiée le 4 juin 2008, vient en appui aux concepts généraux énoncés dans la norme ISO 27001. Inspirée de méthodes existantes et plus particulièrement de la méthode EBIOS V2, la norme ISO 27005 contient les lignes directrices relatives au processus de gestion des risques en sécurité de l’information.

Lire l'article

Les listes de lecture

Sécurité Windows : Active Directory

11 article(s) - ajoutée le 01/07/2020
Sécurité réseau
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.

Sécurité des mobiles

8 article(s) - ajoutée le 13/10/2020
Mobilité Sécurité système
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.

Cryptographie appliquée

10 article(s) - ajoutée le 13/10/2020
Crypto
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Plus de listes de lecture