information security - les changements de la nouvelle version iso 27001:2013
DESCRIPTION
Digicomp, forte de son expérience dans le domaine, vous invite à une soirée d'information pour vous permettre de comprendre pourquoi, comment et à quelles fins les changements d’ISO 27001:2013 vont affecter les spécialistes de la sécurité informatique et leur métier et vous présenter les nombreux changements de fonds, telle la structure, comme les plus subtils avec la réduction du nombre de points de contrôles. http://www.digicomp.ch/fr/securite_informatiqueTRANSCRIPT
ISO 27000 2013
Les Normes ISO 27000 Version 2013
La nouvelle version 2013 de la norme.
Différences et nouveautés
Stéphane Perroud - Georges Torti
Digicomp Romandie SA
14 janvier 2014, Digicomp Lausanne
ISO 27000 2013
Stéphane Perroud Expériences
Consultant en Gouvernance, Audit et Management de la Sécurité des SI
Formateur en Gouvernance, Sécurité et Audit Auditeur informatique 12 ans développeur J2EE et Web
Certifications CISSP CISA COBIT Foundation 4.1 & 5 ITIL v3 Foundation ISO 20000 Foundation ISO 27001 Lead Auditor ISO 27005 Risk Manager
ISO 27000 2013
Georges Torti Expériences
Responsable sécurité informatique (au DEFR) 12 ans de direction des systèmes d’information Responsable du développement informatique Chef de projet informatique Support informatique et formation Président ADI (Gouvernance, Projet, Services,
Sécurité)
Certifications CISA (Certified Information System Auditor)
CISM (Certified Information Security Manager)
Certificat d’Aptitude à la Protection des Données Cobit Foundation 4.1 & 5 ISO 27001 Foundation
ISO 27000 2013
Plan de la conférence
Notions de base Bref rappel historique sur BSI 17799 et ISO
27001:2005 Les changements dans ISO 27001:2013 Les changements dans ISO 27002 :2013 Impacts pour l’entreprise Questions / Réponses
La sécurité de l’information
Notions de base
ISO 27000 2013
La sécurité de l’information
ISO 27000 2013
L’humain
Les processus La technique
La sécurité de l’information
ISO 27000 2013
Les quatre piliers de la sécurité de l’information :
Sécurité de l’Information
Intég
rité
No
n-
Ré
pud
iation
Co
nfid
entia
lité
Disp
on
ibilité
Vue d’ensemble
Les normes ISO 27000
ISO 27000 2013
Les normes ISO 27000
Famille des normes de sécurité de l’information Recommandation des meilleures pratiques en management
de la sécurité de l’information S’adresse à tous les types d’organismes S’intègrent avec les autres normes internationales
ISO 27000 2013
Les normes 27000
Avantages description pratique et détaillée de la mise en œuvre des objectifs et
mesures de sécurité audit régulier qui permet le suivi entre les risques initialement
identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises
Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître
Meilleure maîtrise des risques Une certification qui améliore la confiance avec les parties
prenantes Homogénéisation : c’est un référentiel international. Cela facilite les
échanges
ISO 27000 2013
Vue d’ensemble des normes ISO 27000
ISO 27000 2013
ISO 27001SMSI
ISO 27006Audit de SMSI
ISO 27000Vocabulaire
ISO 27002Mesures BSI
17799
Exigences
Guides
ISO 27005Analyse risques
ISO 27003Implémentation
ISO 27004Métriques ISO 27034
Sécurité des Applications
Secteurs
Vue d’ensemble des normes ISO 27000
ISO 27000 2013
Norme Titre
ISO/IEC 27000 Vue d'ensemble et vocabulaire
ISO/IEC 27001 SMSI - Exigences
ISO/IEC 27002 Code de bonne pratique
ISO/IEC 27003 Lignes directrices pour la mise en œuvre du SMSI
ISO/IEC 27004 Mesurage
ISO/IEC 27005 Gestion des risques liés à la sécurité de l’information
ISO/IEC 27006 Exigences pour les organismes procédant à l'audit et à la certification
ISO/IEC 27007 Lignes directrices pour l'audit du SMSI
ISO/IEC 27008 Lignes directrices pour les auditeurs des contrôles
ISO/IEC 27010 LD - Communications intersectorielles/interorganisationnelles
ISO/IEC 27011 LD - Organismes de télécommunications
Vue d’ensemble des normes ISO 27000
ISO 27000 2013
Norme Titre
ISO/IEC 27013 LD - Mise en œuvre intégrée d'ISO 27001 et ISO 20000
ISO/IEC 27014 Gouvernance de la sécurité de l'information
ISO/IEC 27015 LD - Management de la sécurité de l'information pour les services financiers
ISO/IEC 27031 LD - Préparation des TIC pour la continuité d'activité
ISO/IEC 27032 LD - Cybersécurité
ISO/IEC 27033 LD - Sécurité de réseau
ISO/IEC 27034 LD - Sécurité des applications
ISO/IEC 27035 LD - Gestion des incidents de sécurité
ISO/IEC 27037 LD - Identification, la collecte, l'acquisition et la préservation de preuves numériques
ISO/IEC 27799 Management de la sécurité de l'information relative à la santé en utilisant l'ISO 27002
Bref historique
BSI 17799
ISO 27001
ISO 27002
ISO 27000 2013
Historique
En 1995, le standard britannique "BS 7799" créé par BSI définit des mesures de sécurité détaillées
En 1998, le BSI introduit le SMSI En 2000, ISO édite la norme ISO/CEI 17799:2000 (codes
des bonnes pratiques issues de la BS 7799) En 2005, deux normes sont éditées :
ISO/CEI 17799:2005 qui remanie les domaines et objectifs ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la
possibilité de certification
En 2007, ISO 27002 remplace ISO/CEI 17799 En 2013, ISO révise les norme ISO/CEI 27001:2013 et
ISO/CEI 27002:2013ISO 27000 2013
Les changements
ISO 27001:2013
ISO 27000 2013
Contrôles obligatoires
ISO 27000 2013
Les changements
ISO 27002:2013
ISO 27000 2013
Les changements ISO27002
114 mesures dans 14 domaines (Version 2005 : 133 mesures dans 11 domaines)
A.5: Information security policies A.6: Organization of information security A.7: Human resources security A.8: Asset management A.9: Access control A.10: Cryptography A.11: Physical and environmental security A.12: Operations security A.13: Communication security A.14: System acquisition, development, and maintenance A.15: Supplier relationships A.16: Information security Incident management A.17: Information security aspects of business continuity management A.18: Compliance
ISO 27000 2013
Les changements ISO27002
Réorganisation / déplacement de mesures
Nouvelles mesures Suppression de mesures
ISO 27000 2013
Mesures 2005 2013
Mobile/Télétravail Access control Organization of info sec
Gestion médias Communication Asset
Gestion clés Cryptography Acquisition/Dev
…
Nouvelles mesures ISO 27002:2013
Information security in project management Restrictions on software installation Secure development policy Secure system engineering principles Secure development environment System security testinging Information security policy for supplier relationships Information and communication technology supply chain Assessment and decision on information security events Response to information security incidents Availability of information processing facilities
ISO 27000 2013
Mesures supprimées (1)
Management commitment to information security Information security coordination Authorisation process for information processing facilities Identification of risks related to external parties Addressing security when dealing with customers Security of system documentation Business Information Systems User authentication for external connections Equipment identification in networks Remote Diagnostic and configuration port protection Network Connection control
ISO 27000 2013
Mesures supprimées (2)
Network routing control Sensitive system isolation Input data validation Control of internal processing Message integrity Output data validation Information leakage Prevention of misuse of information processing facilities Protection of information systems audit tools
ISO 27000 2013
Impacts pour l’entreprise
Certifications
Implémentation
Formation
ISO 27000 2013
Certification
Impact sur l’interprétation de la norme et le déploiement du système de gestion de la sécurité de l’information des organisations Majorité de la norme reste la même. Important de comprendre les
changements et d’assurer la conformité du système d’information à la nouvelle norme pour les futurs audits
Période transitoire de 2 ans accordée aux organisations certifiées pour se conformer à la nouvelle version
ISO 27000 2013
Implémentation
Commencer par une analyse d’écart entre le SMSI existant et la nouvelle version
Lancer les initiatives de mise à jour du SMSI
Changements significatifs Politique Appréciation des risques Déclaration d’applicabilité (Annexe A) Identification des problèmes
ISO 27000 2013
Formation
Digicomp vous propose, à partir de janvier 2014, des cours et des certifications internationales en phase avec la nouvelle version du standard : ISO/IEC 27001 Lead Auditor ISO/IEC 27001 Lead Implementer
ISO 27000 2013
www.digicomp.ch/fr
Informations et contacts
Plus d’informations :
http://www.digicomp.ch/fr/securite_informatique
Retrouvez nous sur :
Google +
Slideshare
ISO 27000 2013
Stéphane Perroud - Georges TortiDigicomp Academy Suisse Romande SA
Tél. 021 321 65 00E-Mail: [email protected]
Merci de votre attention!
ISO 27000 2013
