SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil arrow ISO 27000 arrow Assistance ISO 27001
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Assistance ISO 27001 Convertir en PDF Version imprimable Suggérer par mail
15-06-2006
La Norme ISO 27001 (ex BS 7799-2) définit un certain nombre de critères pour planifier, implémenter, contrôler un SMSI ( ou ISMS) : Système de Management de la Sécurité des Informations.
Elle bénéficie d'une reconnaissance internationale et prévoit une certification du SMSI (ISMS)  lui-même.

La certification ISO 27001 (voir flowchart ISO27001security.com) n'est pas un but en soi.
La certification ISO 27001 n'est pas non plus une certitude de disposer d'un SI sécurisé à 100%.
Elle peut cependant rapidement devenir un avantage compétitif vis à vis de l'extérieur, notamment pour les fournisseurs qui se verront challengés sur la certification ISO 27001 dans les appels d'Offre.

SSi-Conseil, Certifié Lead Auditor ISO 27001 peut accompagner les entreprises désireuses de se conformer à cette norme devenue LE référentiel internationnal de sécurité de l'entreprise.

Il s'agit alors de vérifier l'adhéquation de l'ISMS en place avec :
  1. Les clauses ISO 27001 (Chapitres 4 à 8 de l'ISO 27001)
  2. Les contrôles ISO 27001 (Annexe A5 à A15 de l'ISO 27001)
Dûment documenté et régulièrement audité, et ceci pour un périmètre représentatif du domaine d'application de la politique de sécurité de l'entreprise (ou SOA).

En principe l'Organisme certificateur procède en 2 étapes distinctes :

  • Audit de Documentation (avez-vous bien dit et décrit ce que vous avez mis en place ?)
  • Audit d'implémentation (avez-vous effectivement fait ce que vous avez dit ?).

La démarche d'assistance proposée par SSi-Conseil concerne les étapes suivantes :

Analyse des écarts :

Cette étape va permettre d'établir un diagnostic entre les pratiques actuelles de sécurité de l'entreprise dans le domaine concerné, en principe conforme au référentiel ISO 27002, et les exigences de la norme ISO 27001 (Clauses et Contrôles) afin d'évaluer les écarts tant sur la documentation que sur l'implémentation.
Cette analyse permettra d'élaborer un plan d'action susceptible de réduire ces écarts, mais aussi de qualifier l'opportunité
  • soit de mettre en œuvre une réelle démarche de préparation à la certification,
  • soit de différer la certification pour renforcer le SMSI (ISMS).

Mise en place et lancement du projet :

Cette étape permet de définir le cadre de mise en œuvre d'un projet de préparation à la conformité ISO 27001, le domaine de la conformité, la cible et la trajectoire pour l'atteindre,  les ressources humaines et techniques nécéssaires, le système documentaire choisi, la planification.


Conformité de l' analyse et évaluation des enjeux et des risques :

l'ISO 27001 exige la mise en oeuvre d'une analyse des risques (Plan , Clauses = 4.2.1 c,d,e,f,g)..
Il s'agit de s'assurer que celle-ci a bien été mise en oeuvre et documentée en vue de  :
  1. Faire un inventaire et une classification des actifs (classification processus / Informations et actifs entrant dans ces processus)
  2. Réaliser une analyse des menaces et des risques : Il s'agit de valider les Enjeux, puis d'effectuer un diagnostic des vulnérabilité
  3. Faire un choix ordonnancé des mesures de sécurité conforme aux clauses et contôles de l'ISO 27001
  4. Mettre en place et valider un plan d'action de mise en œuvre des mesures de sécurité.
SSi-Conseil s'appuyera sur la méthode Méhari™ : voir :  analyse de risque. pour conforter ou compléter cette analyse.

Conformité d'Implémentation du SMSI (ou ISMS) :

Il s'agit de contrôler la mise en ordre de marche effective de la démarche d'organisation d'un SMSI : (DO, Clause 4.2.2)
voir aussi : organisation d'un SMSI
et s'assurer de sa conformité dans les 4 phases: (P,D,C,A) + leur système de documentation et l'implication du personnel et du management.
  1. Plan, (Domaine, Politique de Sécurité, Analyse des risques, Traitement des risques, alignement du Management)
  2. Do, (Implémentation de l'ISMS proprement dite, Sensibilisation du personnel, Mise en place des mesures de sécurité, Mise en place des mesures de Continuité d'activité)
  3. Check, (Indicateurs, Tableaux de bord, Revues, audits internes et contrôles, implication du management)
  4. Act.(Maintenir et Améliorer)
Définition du SOA (Statement of Applicability) :

Il s'agit  de  définir globalement le Statement Of Applicability c'est à dire un document justifiant formellement les choix d'implémentation (ou non) dans le SMSI de tout ou partie des clauses ISO 27001 (Chapitres 4 à 8 de l'ISO 27001) et/ou des contrôles ISO 27001 (Annexe A5 à A15 de l'ISO 27001)  dans la mise en oeuvre et la documentation du SMSI.

Pré-Audit ISO 27001 :

SSi-Conseil, bénéficiant de la certification "Lead Auditor ISO 27001" du BSI  peut vous assister en effectuant sur tous ces points un pré-audit ISO 27001, c'est à dire un audit INTERNE susceptible d'établir si la certification ISO 27001 peut être atteinte lors d'un Audit Externe réalisé par un  organisme certificateur.

Post-Audit ISO 27001 :

Il s'agit, après un audit ISO 27001, d'assister à la mise en place d'un programme continu d'amélioration du système de sécurité en vue de préparer les Audits de surveillance de l'organisme certificateur (en principe tous les 6 mois), voire la Re-certification (en principe tous les 3 ans).

Formations et Workshop :

SSi-Conseil peut proposer (à la demande) des formations ou workshops susceptibles de mieux préparer les personnels à la logique de certification ISO 27001.






Dernière mise à jour : ( 21-03-2014 )
< Précédent
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.