SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil arrow Démarche Sécurité arrow Le projet SMSI ISO27001
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Le projet SMSI ISO27001 Convertir en PDF Version imprimable Suggérer par mail
14-09-2011
La mise en œuvre d'un projet SMSI "certifiable" iso 27001nécessite un certain nombre d'étapes :

Image
le projet smsi certifiable


L’entreprise désireuse de se doter d’un SMSI ISO 27001 dispose d’une certain niveau de « maturité SSI » et d’un existant plus ou moins structuré autour de la sécurité des informations.
Elle devra avant tout mesurer l’écart qui la sépare d’un SMSI « certifiable » avant de lancer le projet SMSI.
Cette démarche préalable sera réalisée par une étude d’opportunité stratégique basée sur une analyse préliminaire mais suffisamment détaillée
  • Pour définir le périmètre initial et la cible à atteindre
  • Pour définir les principales étapes d’évolution possibles en trajectoire
  • Pour mesurer l’effort de transformation nécessaire (coût, compétences)
Cette étude d’opportunité sera complétée par un état des lieux permettant de juger de la situation actuelle de la sécurité des informations et d’effectuer une analyse d’écart capable de quantifier les efforts restant à faire pour atteindre un niveau compatible avec la cible retenue dans l’étape précédente.
Ces étapes préalables devront faire l’objet d’une décision formelle (GO/NO-GO) sur le projet, et les engagements politiques, techniques et financiers associés (Organisation, personnel, expertise,…etc.)

Il est assez fréquent à ce stade de lancer en parallèle quelques actions "coup de poing" pour améliorer les mesures de sécurité les plus faibles ou mettant l'entreprise à risque, sans attendre le déroulement du projet qui peut durer entre 6 mois (pour les meilleurs) et  2 ans (pour la plupart).

L'analyse d'écart va alimenter les "chantiers" SMSI et permettre d'en connaître les reste à faire et les charges.
L'analyse des écarts sur les mesures de sécurité en place nécessite une analyse de risques compatible ISO 27005 pour compléter le diagnostic initial de sécurité (DIAG FLASH ISO 27002) et alimenter notamment le SOA.
La structuration du SMSI concerne la mise en place de tous les dispositifs sous-tendus par les CLAUSES ISO 27001
Le reste du projet SMSI ISO 27001 sera piloté comme un projet classique.
  • Couts : Ressources internes, externes, couts de certification, couts d'implémentation (en fonction de l'analyse d'écart)
  • Délais : 12 à 18 mois pour les plus rapides (ou les petits scopes)
  • Qualité: c'est la certification qui arbitrera ...
  • Gestion du changement
La revue initiale du SMSI sera effectuée après un premier cycle PDCA,donc en principe après les conclusions d'un premier audit interne et une première phase effective d'amélioration des mesures existantes du SMSI (ISO27001 + ISO27002).
La suite du projet sera consacrée à l'audit à blanc (externe) et à la préparation à la certification initiale.

Pour aller plus loin
: référence incontournable, le livre d' Alexandre Fernandez-Toro : Management de la sécurité de l'information, Implémentation ISO 27001 chez EYROLLES

Dernière mise à jour : ( 20-05-2012 )
Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.