La Norme ISO 27001 définit un certain nombre de critères pour planifier, implémenter, contrôler un SMSI. Elle bénéficie d'une reconnaissance internationale :

Elle est basée sur quelques principes fondamentaux :

1. Le pilotage par les risques,
2. L’amélioration continue (cycle PDCA),
3. L’implication du management,
4. L’approche processus.

Elle met en œuvre des processus essentiels :

1. Piloter le SMSI,
2. Analyser les risques,
3. Traiter et gérer des risques,
4. Former et sensibiliser,
5. Gérer les mesures de sécurité via un Comité Sécurité
   
6. Contrôler le SMSI par la mise en place d'indicateurs,
   
7. Gérer les incidents et les vulnérabilités,
8. Gérer les documentations et les preuves.
9. Auditer le SMSI - Contrôle interne
   

Elle prévoit la certification du SMSI lui-même,

Elle est basée sur des principes de communication devant permettre :

• Dialogue et communication,
• Adhésion et support de la direction générale,
• Inclure la SSI dans la gouvernance générale,
  
• Faciliter l'implication des métiers,
• Lien avec les processus ISO 20000-1 (ITIL)pour la production informatique,
• Meilleure lisibilité de la SSI et du rôle du RSSI.

La Norme ISO 27002 définit un code de bonnes pratiques pour la Gestion de la sécurité de l'information. C'est un recueil de recommandations qui décrit les meilleures pratiques en matière de sécurité de l'information autour de 11 domaines, 36 Objectifs de sécurité, 127 points de contrôles.

Les domaines sont les suivants :

1.  -Politique de sécurité;
2. - Structure et Organisation  de gestion de la sécurité;
3. - Classification et contrôle des actifs;
4. - Sécurité des ressources humaines;
5. - Sécurité physique et sécurité de l’environnement;
6. - Exploitation et réseaux;
7. - Contrôle des accès;
8. - Développement (acquisition, traitement) et maintenance des systèmes;
9. - Gestion de crise et d'incidents
   
10. - Continuité de service;
11. - Conformité réglementaire et juridique
    

Nous nous inspirerons de ces deux normes pour notre démarche de conception d'un SMSI :
Respectant le modèle classique des méthodologies de management organisationnel (planifier, mettre en œuvre, vérifier, améliorer), elle définit un processus continu d'amélioration de la sécurité des information :

• Définir les domaines d'application ciblés et définir l'organisation de la gestion de la sécurité
• Identifier et mesurer les risques et en déduire une expression de besoins de sécurité
• Choisir et planifier les mesures de sécurité
• Rédiger la politique de sécurité
  
  

• Mise en place des mesures de sécurité
• Mise en place de l'information et de la sensibilisation des personnes
• Mise en place d'une gestion des incidents de sécurité
  
• Mise en place d'un plan de gestion de crise
• Mise en place d'un plan de reprise d'activité

Vérifier :

• Construire des tableaux de bord et des reportings
• Revue régulière des risques (actuels, nouveaux, résiduels)
  
• Mener audits et tests intrusifs de contrôle des mesures de sécurité

Améliorer :

• Tirer profit des mises en œuvre et des audits pour ré-adapter besoins et solutions de sécurité
• Corriger plan stratégique politique de sécurité et plan opérationnel