introduction à la norme iso 27001 - asiq.orgasiq.org/wp-content/uploads/2013/02/asiq-201302.pdf ·...
Post on 06-Feb-2018
224 Views
Preview:
TRANSCRIPT
Introduction à la norme ISO 27001
Eric Lachapelle
2
Introduction à ISO 27001
Contenu de la présentation
1. Famille ISO 27000
2. La norme ISO 27001 – Implémentation
3. La certification
4. ISO 27001:2014?
3
1990 1995
2000 2007 2014
ISO 27006 Exigences pour les organismes de certification
BS7799-1 Code de bonne
pratique
BS7799-2 Schéma de
certification du SMSI
Code de bonne pratique
(Publié par un groupe
d’entreprises)
ISO 17799 Code de bonnes
pratiques
Nouvelle version de ISO
17799 Publication
d’ISO 27001
Histoire de la série ISO 27000 Dates importantes
1998 2005
ISO 27001:2014?
4
Famille ISO 27000 Vo
cabu
laire
Ex
igen
ces
Gui
des
géné
raux
G
uide
s d‘
indu
strie
ISO 27001 Exigences SMSI
ISO 27006 Exigences organismes de certification
ISO 27005 Gestion du
risque
ISO 27004 Mesure
ISO 27003 Guide de mise en
œuvre
ISO 27002 Code de
pratiques
ISO 27007-27008 Guides d‘audit
ISO 27011 Télécommunications
ISO 27799 Santé
ISO 270XX autres
ISO 27000 Vocabulaire
5
1. Amélioration de la sécurité
2. Bonne gouvernance
3. Conformité
4. Réduction des coûts
5. Marketing
AVANTAGES
Avantages d’ISO 27001
6
Système de management de la sécurité de l’information ISO 27001, clause 3.7 Partie du système de management global, basée sur une approche du risque lié à l'activité, visant à établir, mettre en œuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l'information
Note : Le système de management inclut l'organisation, les politiques, les activités de
planification, les responsabilités, les pratiques, les procédures, les processus et les ressources
7
L’approche processus ISO 27001, clause 0.2
Maintenir et améliorer le SMSI
Mettre en œuvre le SMSI
Etablir le SMSI
Surveiller et réexaminer le SMSI
Parties intéressées
Sécurité de l’information
gérée
Parties
intéressées
Exigences et attentes de sécurité de l’information
Planifier
Contrôler
Agir Déployer
8
Mise en œuvre du SMSI
1. Planifier
2. Déployer
3. Contrôler
4. Agir
1.1. Compréhension de l'organisme
1.2. Analyse du système existant
1.3. Formalisation du projet
1.4. Domaine d’application
1.5. Politiques de sécurité
1.6. Appréciation du risque
1.7. Traitement et acceptation du risque
1.8. Déclaration d’applicabilité
2.1. Structure organisationnelle
2.2. Processus de gestion documentaire
2.3. Modélisation des processus et mesures
2.4. Politiques spécifiques et procédures
2.5. Formation, sensibilisation et communication
2.6. Mise en œuvre des processus et mesures
2.7. Gestion des incidents
2.8. Gestion des opérations
3.1.Surveillance et réexamen
3.2. Mesure et évaluation de l'efficacité
3.3. Audit interne
3.4. Revue de direction
4.1. Identification des non-conformités
4.2. Traitement des non-conformités
4.3. Amélioration continue
9
Structure de la norme ISO 27001
Annexe A Objectifs de sécurité et mesures de sécurité
Clause 4.2.1 Établissement
du SMSI
Clause 4.2.3 Surveillance et réexamen
du SMSI
Clause 4.2.4 Mise à jour
et amélioration du SMSI
Clause 4.2.2 Mise en œuvre
et fonctionnement du SMSI
Clause 7 Revue
managériale
Clause 8 Amélioration
du SMSI
Clause 6 Audits internes
du SMSI
Clause 5 Responsabilité de la direction
10
Note : Toute exclusion doit être jus1fiée
Définir le domaine d’application (périmètre) et les exclusions ISO 27001, clause 4.2.1a
Un processus clé
Un département
L’organisme dans son ensemble
L’organisme et ses parties prenantes
11
Définir la politique du SMSI ISO 27001, clause 4.2.1b La politique du SMSI doit :
1. Inclure un cadre pour fixer les objectifs et indiquer une orientation générale et des principes d'action concernant la sécurité de l'information
2. Tenir compte des exigences liées à l'activité et des exigences légales ou réglementaires, ainsi que des obligations de sécurité contractuelles
3. S'aligner sur le contexte de gestion du risque stratégique auquel est exposé l'organisme, dans lequel se dérouleront l'établissement et la mise à jour du SMSI
4. Établir les critères d'évaluation future du risque 5. Être approuvée par la direction
12
Note : Il faut s’assurer que l’évaluation des risques produit des résultats
comparables et reproductibles
.
Définir la méthode d’évaluation des risques
ISO 27001, clause 4.2.1c
Définir l’approche
d’évaluation des risques
Identifier une méthode
Déterminer les critères d’acceptation du risque
Identifier les niveaux de risques acceptables
13
Identifier les risques ISO 27001, clause 4.2.1d
§ Identifier les actifs relevant du
domaine d'application du SMSI, ainsi que
leurs propriétaires
§ Identifier les impacts que les
pertes de confidentialité, d'intégrité et de
disponibilité peuvent avoir sur
les actifs
§ Identifier les menaces
auxquelles sont confrontés ces
actifs
§ Identifier les vulnérabilités qui pourraient être exploitées par les menaces
Identifier les actifs
Identifier les menaces
Identifier les vulnérabilités
Identifier les impacts
14
Analyser et évaluer les risques ISO 27001, clause 4.2.1e
§ Évaluer l'impact sur l'activité de l'organisme qui
pourrait découler d'une défaillance de la sécurité, en
tenant compte des conséquences d'une perte de confidentialité,
intégrité ou disponibilité des
actifs
§ Déterminer si les risques sont
acceptables ou nécessitent un traitement, en
utilisant les critères
d'acceptation des risques établis en
4.2.1c
§ Évaluer la probabilité réaliste d'une défaillance
de sécurité de cette nature au vu des menaces et
des vulnérabilités prédominantes,
des impacts associés à ces
actifs et des mesures
actuellement mises en œuvre
§ Estimer les niveaux des
risques
Évaluer les impacts
Calculer la probabilité d’occurence
Estimer les niveaux de
risques
Déterminer si le risque est acceptable
15
Évaluation des options de traitement ISO 27001, clause 4.2.1f
Traiter le risque Mesures de sécurité sélectionnées pour diminuer
le risque
Accepter le risque La direction décide d’assumer le risque
Transférer le risque Décision de partager certains risques avec des
parties externes: assurance ou infogérance
Éviter le risque Annulation ou modification d’une activité ou d’un
ensemble d'activités reliées au risque
Traiter le risque
Transférer le risque
Accepter le risque
Éviter le risque
16
133 mesures de sécurité ISO 27001, annexe A
A 5 La politique de sécurité A 6 L’organisation de la sécurité de l’information A 7 La gestion des actifs A 8 La sécurité des ressources humaines A 9 La sécurité physique et environnementale A 10 La gestion des communications et des opérations A 11 Le contrôle d’accès A 12 L’acquisition, le développement
et l’entretien des systèmes d’information A 13 La gestion des incidents de sécurité de l’information A 14 La gestion de la continuité de l’activité A 15 La conformité
17
Approbation des risques résiduels ISO 27001, clause 4.2.1h
2. Risque traité Risque supprimé par les
mesures de sécurité
1. Risque résiduel Risque subsistant après le traitement du risque
La direction doit être consciente des risques résiduels et en accepter la responsabilité
Risque inhérent Ensemble des risques sans
prise en compte des mesures de sécurité
2
1
18
2. Réexamen régulier de l’efficacité du SMSI en tenant compte des propositions et rétroactions des parties prenantes
4. Réexamen de l’appréciation des risques
1. Surveillance et réexamen des procédures de détection et de prévention des événements de sécurité
3. Évaluation de l’efficacité des mesures de sécurité
6. Revue de direction et mise à jour des plans de sécurité
5. Réalisation des audits internes
Surveillance et réexamen
du SMSI
Surveillance et réexamen du SMSI ISO 27001, clause 4.2.3
Note: Chacune de ces actions doit être documentée et enregistrée
19
Liste des activités Processus de certification
Mise en place du SMSI
1. Choix de l’organisme
de certification
3. Audit d’étape 1 2. Préparation à l’audit
5. Audit de suivi (s’il y a lieu)
6. Décision de certification
4. Audit d’étape 2 (visite sur site)
Amélioration continue et audit de surveillance
Avan
t l’a
udit
Aud
it in
itial
Suite
à l’
audi
t
Audit interne et revue du SMSI
20
1. Choix de l’organisme de certification Principaux critères 1. Notoriété et crédibilité
2. Présence géographique
3. Expériences dans votre industrie
4. Possibilité d’audit combiné
5. Qualification et expérience de l’équipe d’audit
6. Prix
21
Combien de temps dure un audit ?
ISO 27006, annexe C (extrait)
Nombre d’employés
Temps d’audit (jour/homme)
ISO 9001
Temps d’audit (jour/homme)
ISO 27001 1 à 10 2 5
26 à 45 4 8,5
66 à 85 6 11
176 à 275 9 14
876 à 1175 13 18,5
2026 à 2675 16 22
4351 à 5450 19 25
8501 à 10700 22 28
22
2. Préparation du personnel
3. Audit à blanc
1. Auto-évaluation
Préparation à l’audit
2. Préparation à l’audit de certification Recommandations
23
3. Audit d’étape 1
1. Visite des lieux
2. Entretiens avec les acteurs clés
3. Revue des documents
§ Validation du domaine d’application ainsi que des contraintes légales, réglementaires et contractuelles
applicables § Vérification que les audits internes et la revue de
direction ont été réalisés § Préparation de l’étape 2 de l’audit
§ Compréhension globale du fonctionnement du système de management
§ Évaluation du design du système de management ainsi que des processus et mesures de sécurité
reliées § Vérification que les audits internes et la revue de
direction ont été réalisés
§ Évaluation des lieux et les conditions spécifiques des sites à auditer
§ Prise de contact avec le personnel de l’audité § Observation des technologies utilisées
§ Observation générale des opérations du SMSI
Note: La revue des documents est la principale activité de l’étape 1
24
4. Audit d’étape 2 Audit sur site
OBJECTIFS DE L’AUDIT D’ÉTAPE 2
Évaluer que le SMSI déclaré est : – Conforme à toutes les exigences de ISO 27001
– Effectivement en œuvre dans l’organisation – En mesure de permettre à l’organisation
d’atteindre ses objectifs de sécurité
25
Recommandation de certification
L’auditeur principal peut formuler l’une des trois recommandations suivantes quant à la certification :
1. Recommandation pour la certification 2. Recommandation pour la certification sous
condition du dépôt d’un plan d’actions de mesures correctives
– Avec une visite préalable – Sans visite préalable
3. Recommandation défavorable
26
5. Audit de suivi ISO 17021, clause 9.1.12-13
l Selon les conclusions de l’audit, l’auditeur peut devoir réaliser un audit de suivi avant que l’organisation ne soit recommandée à la certification
l Vérification des plans d’actions et mesures correctives reliées aux non-conformités identifiées dans le rapport d’audit
Une non-conformité majeure devrait habituellement impliquer un audit de suivi
27
Structure de la norme ISO 27001
8. Operations
7. Support
4. Contexte Organisationnel
6. Planification
5. Leadership
9. Évaluation de la performance 10.
Amélioration
28
ISO 27001:2014 - 113 mesures de sécurité
ISO 27001, annexe A A 5 La politique de sécurité A 6 L’organisation de la sécurité de l’information A 7 La sécurité des ressources humaines A 8 La gestion des actifs A 9 Le contrôle d’accès A 10 Cryptographie A 11 La sécurité physique et environnementale A 12 La gestion des opérations A 13 La sécurité des communications A 14 L’acquisition, le développement et l’entretien des systèmes
A 15 Relations avec les fournisseurs A 16 La gestion des incidents de sécurité de l’information A 17 La gestion de la continuité de l’activité A 18 La conformité
29
QUESTIONS ?
30
eric.lachapelle@pecb.org
top related