Norme ISO 27001

Expertises judiciaires ICE et Audit Sécurité des systèmes d’information Bientôt une norme NF sur les systèmes de management de la sécurité informatique… La norme ISO 27001 définit la Politique du Management de la Sécurité des SI au sein d’une entreprise. Elle est issue de la BS 7799-2:1999 « Specification for information security management systems » qui définit les exigences à respecter pour créer un ISMS (Information Security Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus : Définir une politique de la sécurité des informations, Définir le périmètre du Système de Management de la sécurité de l’information, Réaliser une évaluation des risques liés à la sécurité, Gérer les risques identifiés, Choisir et mettre en oeuvre les contrôles, Préparer un SoA ( « statement of applicability »). Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place de facteurs d’amélioration (PDCA). Pour former sa position, l’AFNOR soumet le projet ISO 27001 à une enquête probatoire nationale qui se terminera le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête est ouverte à tous. Les résultats seront dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information ». Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF. Projet PR NF ISO 27001 (indice de classement : Z74-221PR), avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007 (Mise en ligne Juillet 2007)

Dématérialisation et archivage électronique Normes Bientôt une norme NF sur les systèmes de management de la sécurité informatique… La norme ISO 27001 définit la Politique du Management de la Sécurité des SI au sein d’une entreprise. Elle est issue de la BS 7799-2:1999 « Specification for information security management systems » qui définit les exigences à respecter pour créer un ISMS (Information Security Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus : Définir une politique de la sécurité des informations, Définir le périmètre du Système de Management de la sécurité de l’information, Réaliser une évaluation des risques liés à la sécurité, Gérer les risques identifiés, Choisir et mettre en oeuvre les contrôles, Préparer un SoA ( « statement of applicability »). Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place de facteurs d’amélioration (PDCA). Pour former sa position, l’AFNOR soumet le projet ISO 27001 à une enquête probatoire nationale qui se terminera le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête est ouverte à tous. Les résultats seront dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information ». Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF. Projet PR NF ISO 27001 (indice de classement : Z74-221PR), avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007 (Mise en ligne Juillet 2007)

Sécurité des systèmes d’information Normes Bientôt une norme NF sur les systèmes de management de la sécurité informatique La norme ISO 27001 définit la Politique du Management de la Sécurité des SI au sein d’une entreprise. Elle est issue de la BS 7799-2:1999 « Specification for information security management systems » qui définit les exigences à respecter pour créer un ISMS (Information Security Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus : Définir une politique de la sécurité des informations, Définir le périmètre du Système de Management de la sécurité de l’information, Réaliser une évaluation des risques liés à la sécurité, Gérer les risques identifiés, Choisir et mettre en oeuvre les contrôles, Préparer un SoA ( « statement of applicability »). Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place de facteurs d’amélioration (PDCA). Pour former sa position, l’AFNOR soumet le projet ISO 27001 à une enquête probatoire nationale qui se terminera le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête est ouverte à tous. Les résultats seront dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information ». Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF. Projet PR NF ISO 27001 (indice de classement : Z74-221PR), avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007 (Mise en ligne Juillet 2007)

Contentieux informatique Sécurité Le management de la sécurité des SI enfin normalisé par l’AFNOR ! La norme NF ISO/CEI 27001 : 2007-12 homologuée par l’AFNOR le 14 novembre 2007 vient d’être publiée pour prendre effet le 14 décembre 2007 (1). Elle spécifie les exigences relatives au management de la sécurité (établissement, mise en oeuvre, fonctionnement, surveillance, réexamen, mise à jour et amélioration d’un Système de Management de la Sécurité et de l’Information (SMSI) documenté, dans le contexte des risques globaux liés à l’activité de tout type d’organisme, public comme privé, y compris à but non lucratif. Comme les normes ISO 9001 : 2000 et ISO 14001 : 2004, l’ISO 27001 : 2007 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence et la mise en place de facteurs d’amélioration selon le modèle PDCA (2). Autrement dit, son objectif n’est pas de garantir un niveau de sécurité, mais de garantir que lorsqu’on l’a atteint, on le garde ! Elle encourage ainsi, l’adoption d’une approche « processus » pour l’établissement, la mise en oeuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l’amélioration d’un SMSI. Elle applique les principes de la qualité à la sécurité de l’information et constitue un référentiel précis et auditable permettant d’apporter la confiance nécessaire au développement du commerce en ligne. La norme 27001 : 2007 présente de nombreux avantages. Mais il en est un auquel on ne saurait rester insensible : sa valeur légale. La norme prévoit en effet, l’obligation pour l’entreprise de tenir compte non seulement des exigences liées à son activité mais également « des exigences légales ou réglementaires, ainsi que des obligations de sécurité contractuelles ». Pour cela, l’entreprise doit identifier une méthodologie d’appréciation du risque adaptée à son SMSI, ainsi qu’à la sécurité de l’information identifiée et aux exigences légales et réglementaires. Ensuite, les objectifs de sécurité et les mesures de sécurité proprement dites doivent être sélectionnés et mis en oeuvre pour répondre aux exigences identifiées par le processus d’appréciation du risque et de traitement du risque. Cette sélection doit tenir compte des critères d’acceptation des risques ainsi que des exigences légales, réglementaires et contractuelles. Enfin, la norme décrit des procédures de preuve et d’enregistrements formels permettant de faciliter la constitution des dossiers de preuves et de préjudice. (1) NF ISO/CEI 27001 : 2007-12. (2) « Planifier-Déployer-Contrôler-Agir » ou roue de Deming Paru dans la JTIT n°71/2007 (Mise en ligne Décembre 2007) Autres brèves Bientôt une norme NF sur les systèmes de management de la sécurité informatique… (Mise en ligne Juillet 2007) Renforcer sa politique de sécurité par l’intégration d’une charte (Mise en ligne Mars 2006)

Contentieux informatique Sécurité Bientôt une norme NF sur les systèmes de management de la sécurité informatique… La norme ISO 27001 définit la Politique du Management de la Sécurité des SI au sein d’une entreprise. Elle est issue de la BS 7799-2:1999 « Specification for information security management systems » qui définit les exigences à respecter pour créer un ISMS (Information Security Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus : Définir une politique de la sécurité des informations, Définir le périmètre du Système de Management de la sécurité de l’information, Réaliser une évaluation des risques liés à la sécurité, Gérer les risques identifiés, Choisir et mettre en oeuvre les contrôles, Préparer un SoA ( « statement of applicability »). Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place de facteurs d’amélioration (PDCA). Pour former sa position, l’AFNOR soumet le projet ISO 27001 à une enquête probatoire nationale qui se terminera le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête est ouverte à tous. Les résultats seront dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information ». Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF. Projet PR NF ISO 27001 (indice de classement : Z74-221PR), avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007 (Mise en ligne Juillet 2007)