Objectif : Réduire à un niveau acceptable les risques liés à la sécurité des informations.
La démarche générale de SSI-Conseil est avant tout organisée autour des trois principes suivants :
- Respect des spécificités sectorielles et organisationnelles de nos clients
- Alignement des objectifs de sécurité sur les enjeux réels de nos clients
- Respect des Normes, standards, lois et règlements
- ISO 27002:2005 pour l'ensemble des pratiques de sécurité,
- ISO 27001 pour l'organisation du Système de Management de la Sécurité des informations (SMSI),
- ISO 27003 pour la démarche de mise en œuvre d'un SMSI
- ISO 27005 pour la gestion des risques,
- Méthodologie Mehari® du Clusif pour la partie Risk Management et analyse des enjeux,
- Risicare® pour l'analyse et le traitement des risques,
- PAS56 et Good Practice Guidelines du Buiness Continuity Institute (BCI) BS 25999-1 et -2 pour les PRA et PCA
- ITIL pour la partie Plan de Reprise d'Activité technique
- Cobit et les recommandations de l'ISACA pour les aspects d'Audit
- Règlements sectoriels tels CRBF 05-03 (ex 97-02), Bale II, Solvency par exemple pour la banque ou les assurances ou les recommandations de l' ISA pour l'industrie
- SOX et LSF etc...
La sécurité est un processus : pour mettre en oeuvre cette stratégie, SSI-Conseil préconise la mise en place, le suivi et l'amélioration permanente d'un Système de Management de la Sécurité de l 'Information ou SMSI.
Il faut garder en tête qu'un SMSI documenté peut être la base d'une future certification sécurité ISO 27001, mais surtout la preuve de l'implication effective du management dans la mise en oeuvre de l'état de l'art en matière de sécurité des informations.
|
|
|
|
|
Démarche Sécurité
