Le Portail du Manager Innovant

ISO 27001 Système de Management de la sécurité de l'information

ISO 27001 est une norme internationale pécisant les exigences en matière de sécurité informatique en étroite phase avec les risques courus selon la définition. Cette norme est fondée sur le PDCA afin de guider au mieux les responsables de sa mise en action.

SMSI Manager la sécurité du Système d'Information

humour sécurité du SI

Définition ISO 27001

ISO 27001 est une norme d'origine britannique dédiée au système de management de la sécurité de l'information. L'ensemble ISO 27000 est décliné en plusieurs sous-normes indicées, thématiques et sectorielles.

Elle traite aussi bien de la gestion des risques que du pilotage de la fonction (indicateurs et tableaux de bord).

La norme ISO 27001 est orientée processus et propose en toute logique une démarche d'amélioration continue de type PDCA.

Le PDCA
L'installation d'un Système de Management de la Sécurité de l'Information ne se déroule pas en un temps unique. Le système se doit de s'inscrire dans une démarche plus globale de progrès continu du type roue de Deming ou PDCA.

La démarche n'est pas sans rappeler, dans son principe en tout cas, la mise en place d'un référentiel ISO d'entreprise plus classique comme 9000 ou ISO 14000.

On retrouve ainsi non seulement le coutumier PDCA mais aussi l'approche processus.

Le PDCA propose 4 temps : Plan Do Check Act

  • Plan
    Elaboration de la politique sécurité des SI, précision du périmètre d'intervention, définition des objectifs, analyse et maîtrise des risques, identification et évaluation, cartographie.
  • Do
    Plan et déploiement des mesures de sécurité, élaboration et application des procédures spécifiques, sensibilisation et formation, sélection des indicateurs et réalisation des tableaux de bord de la sécurité.
  • Check
    Audit et contrôles internes, revue
  • Act
    Action corrective, identification des voies d'amélioration, bouclage.

Certification ISO 27001

Pour exprimer auprès de ses partenaires clients et fournisseurs la conformité de son SMSI aux exigences de la spécification, il est tout à fait possible de procéder à une démarche de certification. Celle-ci sera délivrée par un organisme habilité après une série d'audits successifs. Cette démarche, souvent plus contraignante qu'il n'y paraît, reste encore assez rare, en France en tout cas.

Iso 27000

Les principales normes du standard ISO 27000
  • 27000 Présentation, glossaire
  • 27001 La norme internationale SMSI
  • 27002 Sécurité de l'information, les 133 bonnes pratiques
  • 27004 Les indicateurs de sécurité, la mesure et la métrique pour le suivi du SMSI
  • 27005 La gestion des risques

À ce sujet, voir aussi

  • Comment Sécuriser le Système d'Information ?
    Paradoxalement, la question de la sécurité du système d'information est encore aujourd'hui pour bien des entreprises le parent pauvre lorsqu'il s'agit de définir les enveloppes budgétaires. Malgré la multiplication des menaces, malgré l'importance prise par le numérique et donc le SI dans le fonctionnement de l'entreprise, nombre de décideurs s'imaginent protégés par leur bonne étoile. Le jour où celle-ci s'est inscrite aux abonnées absents, c'est la catastrophe. Pourtant, les solutions préventives existent, il suffit de les mettre en oeuvre, voyons comment.
  • Le métier de Responsable Sécurité du Systèmes d'Information (RSSI)
    RSSI Responsable Sécurité du Système d'Information : Rôle, métiers et fonctions, prévention et amélioration continue. Le Responsable de la Sécurité des Systèmes d'Information, le RSSI (Chief Information Security Officer, CISO) détient désormais un rôle de première importance. Le fonctionnement de l'entreprise intégrée est totalement dépendant...
  • La gestion des risques du projet
    Bien trop de managers peu expérimentés négligent l'analyse des risques, une étape pourtant indispensable de la conduite de projet, indépendamment de son périmètre et de sa portée. En ne considérant pas la prévention des risques à sa juste valeur on se condamne à répéter sans fin les mêmes échecs. Bâcler l'analyse de risques n'est rien d'autre qu'une lourde erreur de management. Voyons comment identifier les risques du projet et les évaluer pour mieux les maîtriser.
  • Gestion des risques et sécurité du projet
    La gestion des risques bien conduite se complète d'une gestion de la sécurité : confidentialité & intégrité. Au cours de la réalisation d'un projet, une multitude de documents circulent. Des documents courants dont la divulgation ne prête pas à conséquence, mais aussi des documents plus confidentiels destinés à un nombre de destinataires restreint et bien identifiés. Exemple pratique...

Ressources web

  • www.iso.org Norme ISO 27000 Information Security Management System ISMS


Lecture recommandée

Une bonne introduction à la sécurité informatique vue dans son ensemble.

Principles of Information Security Principles of Information Security
Michael Whitman, Herbert Mattord
Course Technology Inc (Langue anglaise)
4ème édition 2011
656 pages
Prix librairie : 54,90 Euros
Dispo chez www.amazon.fr


1 autre livre sur le même sujet :

Management des systèmes d'informationManagement des systèmes d'information
Kenneth Laudon, Jane Laudon
Pearson
16ème édition 2020
636 pages
Dispo :
www.amazon.fr & Format Kindle


Partagez cet article...

Envoyer le lien de cet article par e-mail   
(total partages cumulés > 65)

           

Tous les articles