SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Principes généraux d'un SMSI (ou ISMS) Convertir en PDF Version imprimable Suggérer par mail
03-10-2005
La démarche de SSI-Conseil vise à la mise en place d'un Système continu de Management de la Sécurité du système d'Information (SMSI).

La Norme ISO 27001 définit un certain nombre de critères pour planifier, implémenter, contrôler un SMSI. Elle bénéficie d'une reconnaissance internationale :

Elle est basée sur quelques principes fondamentaux :

  1. Le pilotage par les risques,
  2. L’amélioration continue (cycle PDCA),
  3. L’implication du management,
  4. L’approche processus.

Elle met en œuvre des processus essentiels :

  1. Piloter le SMSI,
  2. Analyser les risques,
  3. Traiter et gérer des risques,
  4. Former et sensibiliser,
  5. Gérer les mesures de sécurité via un Comité Sécurité
  6. Contrôler le SMSI par la mise en place d'indicateurs,
  7. Gérer les incidents et les vulnérabilités,
  8. Gérer les documentations et les preuves.
  9. Auditer le SMSI - Contrôle interne

Elle prévoit la certification du SMSI lui-même,

Elle est basée sur des principes de communication devant permettre :

  • Dialogue et communication,
  • Adhésion et support de la direction générale,
  • Inclure la SSI dans la gouvernance générale,
  • Faciliter l'implication des métiers,
  • Lien avec les processus ISO 20000-1 (ITIL)pour la production informatique,
  • Meilleure lisibilité de la SSI et du rôle du RSSI.

La Norme ISO 27002 définit un code de bonnes pratiques pour la Gestion de la sécurité de l'information. C'est un recueil de recommandations qui décrit les meilleures pratiques en matière de sécurité de l'information autour de 11 domaines, 36 Objectifs de sécurité, 127 points de contrôles.

Les domaines sont les suivants :

  1.  -Politique de sécurité;
  2. - Structure et Organisation  de gestion de la sécurité;
  3. - Classification et contrôle des actifs;
  4. - Sécurité des ressources humaines;
  5. - Sécurité physique et sécurité de l’environnement;
  6. - Exploitation et réseaux;
  7. - Contrôle des accès;
  8. - Développement (acquisition, traitement) et maintenance des systèmes;
  9. - Gestion de crise et d'incidents
  10. - Continuité de service;
  11. - Conformité réglementaire et juridique

Nous nous inspirerons de ces deux normes pour notre démarche de conception d'un SMSI :
Respectant le modèle classique des méthodologies de management organisationnel (planifier, mettre en œuvre, vérifier, améliorer), elle définit un processus continu d'amélioration de la sécurité des information :

Image

Planifier :

  • Définir les domaines d'application ciblés et définir l'organisation de la gestion de la sécurité
  • Identifier et mesurer les risques et en déduire une expression de besoins de sécurité
  • Choisir et planifier les mesures de sécurité
  • Rédiger la politique de sécurité

Mettre en œuvre :

  • Mise en place des mesures de sécurité
  • Mise en place de l'information et de la sensibilisation des personnes
  • Mise en place d'une gestion des incidents de sécurité
  • Mise en place d'un plan de gestion de crise
  • Mise en place d'un plan de reprise d'activité

Vérifier :

  • Construire des tableaux de bord et des reportings
  • Revue régulière des risques (actuels, nouveaux, résiduels)
  • Mener audits et tests intrusifs de contrôle des mesures de sécurité

Améliorer :

  • Tirer profit des mises en œuvre et des audits pour ré-adapter besoins et solutions de sécurité
  • Corriger plan stratégique politique de sécurité et plan opérationnel

 

Dernière mise à jour : ( 01-09-2011 )
< Précédent
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.