|
SMSI Système de Management de la Sécurité des Informations |
|
|
|
|
11-01-2007 |
Un SMSI est un système de management adapté à la sécurité des informations,
il est basé sur les mêmes principes et sur le même modèle d'amélioration continue (Roue de Deming : Plan Do Chek Act) que les systèmes de management de la Qualité.
Les étapes de mise en oeuvre peuvent être résumées sur le même mode :
Les différentes phases :
Plan : Préparer
- Définir le champ du Système de Management,
- Définir la politique du SMSI
- Définir une méthodologie de gestion des risques
- Évaluer et traiter les risques,
- Choisir les mesures de sécurité réduisant les risques
- Produire le SOA (Statement of Appicability) qui énumère les mesures de sécurité à appliquer,
Do : Mettre en oeuvre
- Écrire et implémenter le plan de réduction des risques
- Affecter les ressources nécessaires,
- rédiger la documentation,
- former le personnel,
- appliquer les mesures décidées,
- identifier les risques résiduels
- Mettre en place les mesures de détection et de traitement des incidents de sécurité
Check : Contrôler
- Mettre en place les indicateurs et tableaux de bord,
- Revue des risques résiduels,
- Revue des risques acceptés,
- Audit et revue périodiques du SMSI,
- Produisent des constats
- Permettent d’apporter corrections et améliorations
Act : Améliorer
- Prendre les mesures qui permettent de réaliser les corrections et améliorations du SMSI,
- Communication,
- Préparer une nouvelle itération de la phase Plan.
Les obligations génériques à toutes les phases :
Toutes ces étapes doivent faire l'objet de traces écrites (enregistrement) :
- Système documentaire,
- Engagement formel des managers,
- Décisions du management,
- Revues formelles du fonctionnement du SMSI,
- Amélioration permanente du SMSI.
|
|
Dernière mise à jour : ( 18-03-2009 )
|
