SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Les processus SSI Convertir en PDF Version imprimable Suggérer par mail
06-03-2009
La mise en œuvre d'une démarche sécurité de l'information conforme à l'ISO 27001 passe selon SSi-Conseil par une approche processus des processus de sécurité selon le schéma suivant :

Les processus SSI

Toutes les activités liées au SMSI doivent être conçues et formalisées sous forme de processus. Chaque processus doit décrire :
  • les entrées,
  • les sorties,
  • les rôles et responsabilités des acteurs de chaque processus,
  • les étapes,
  • les contrôles nécessaires,
  • les indicateurs générés,
  • les documents associés,
  • les preuves ou traces disponibles pour un audit interne ou externe

"La fonction du processus sécurité est de limiter les vulnérabilités du système, analyser d’une manière permanente les menaces éventuelles et d’être en capacité de garantir que tout changement du système d’information n’augmente pas l’évaluation des risques résiduels effectué, ce qui est la définition du SMSI (System Management Security Information)"(*)

Le pilotage du système de management de la sécurité de l'information (SMSI) :
C'est un processus transverse de management du SMSI (périmètre, organisation, rôles et responsabilités, objectifs, revues, indicateurs, preuve, audit interne et externe).

L'analyse des risques :
Ce processus permet de lister et classifier les actifs, évaluer les enjeux, évaluer les vulnérabilités, en déduire les scénarios de risque les plus critiques,

La gestion et le traitement des risques :
Ce processus permet de choisir les mesures de sécurité (SOA basé sur tout ou partie des 133 mesures de sécurité de l'annexe A) susceptibles de réduire les risques critiques à un niveau acceptable, évaluer les risques résiduels... basé sur ISO 27005 mais aussi et surtout sur des méthodologies opérationnelles basées sur des bases de connaissances éprouvées comme Méhari ou Ebios,

Le schéma directeur de sécurité ou Plan d'action sécurité

Ce processus permet de planifier la mise en oeuvre des mesures de sécurité selon un schéma pluri-annuel.

La gestion opérationnelle de la sécurité :

Ce processus, piloté par le RSSI, le RPCA et le Comité Sécurité va permettre :
  • le choix et l'implémentation technique des mesures des sécurité décidées dans le schéma directeur sécurité,
  • la formalisation et le suivi de la mise en œuvre de la politique de sécurité du SI,
  • la mise en œuvre opérationnelle des mesures de sécurité comme par exemple la sécurité physique et logique, la protection des données, les plans de reprise d'activité, la gestion des identités et des accès, ...etc.
  • la formation et la sensibilisation des acteurs de la sécurité,
  • l'administration de la sécurité: ensemble des actions réalisées sur les composants du SI qui contribuent à sa sécurité,
  • la gestion des événements de sécurité : ensemble des actions en réaction à des événements de sécurité comme par exemple les attaques virales ou les sinistres informatiques graves,
  • La gestion des incidents et des vulnérabilités : en mettant en place une gestion efficace des incidents de sécurité tant réactive que préventive
  • le contrôle (à priori et à postériori) de l'efficacité des mesures de sécurité mises en place : en établissant indicateurs, tableaux de bord, contrôles et revues régulières de management

L'audit du SMSI :
C'est le processus de contrôle interne ou externe exécuté par un tiers et qui est le seul qui permette de vérifier le bon alignement des mesures de sécurité sur le schéma directeur d'une par et sur le management des risques d'autre part.

La gestion documentaire et la gestion des preuves :
C'est un processus transverse :
pas de processus sans procédures, pas de contrôle sans procédures écrites et détaillées, pas d'audit sans preuve.


(*) Jean-Marc CHARTRES

Dernière mise à jour : ( 01-09-2011 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.