SI_-ISO27001 (1)

7/24/2019 SI_-ISO27001 (1)

1/57

UNIVERSITE DE SETTATIT-LEARNING CAMPUS

Scurisation des informations

Pouruoi ! Comment !

Par EL "A# M$URAD

7/24/2019 SI_-ISO27001 (1)

2/57

OURAD EL BAZ

INFRASTRUCTURE MANAGER DANS UN ORGANISME FINANCIER

RESPONSQBLE SERVICE INFORMATIQUE AU SEIN DU MINISTERE

DE LAGRICULTURE

PROFESSUER AU SEIN DE PLUSIEURS ETABLISSEMENT

PROFESSUER ET ENCADRANT A IT-LEARNING CAMPUS DEPUIS

2006

CERTIFE : PMP-ITIL-COBIT-ISO 27002

EMAIL : elba!"#$a%&'!a(l)*"!

7/24/2019 SI_-ISO27001 (1)

3/57

Introduction

N%ou&'ie( )as de ra''umer *os )orta&'es ensortant +++

Tour de ta&'e , Vos attentes Vos uestions )rcises

oraires Matine , ./ .. 0 12 .. A)r3s-midi , 14 .. 0 15 4. Pause *ers 16 ..

7/24/2019 SI_-ISO27001 (1)

4/57

Sommaire 71

Introduction Dfinition d%un ISMS Pouruoi mettre en 8u*re un ISMS

Prsentation 9nra'e de 'a norme IS$ 2:... Les )rinci)a'es normes de scurit

istoriue des normes IS$ 2:..; $&

7/24/2019 SI_-ISO27001 (1)

5/57

Sommaire 71 =suite>

La norme IS$ ? IEC 2:..1 , 2..6 Cadre 9nra' et o&

7/24/2019 SI_-ISO27001 (1)

6/57

Sommaire 71 =suite et fin>

Consei' et mise en )'ace d%un ISMS

Conc'usions

uestions

7/24/2019 SI_-ISO27001 (1)

7/57

Dfinition d%un ISMS

Si9nification ,

ISMS , Information SecuritB Mana9ement

SBstem

$U

SMSI , SBst3me de Mana9ement de 'aScurit de '%Information

7/24/2019 SI_-ISO27001 (1)

8/57

Dfinition d%un ISMS

Un SMSI est un ensem&'e d%'mentsinteractifs )ermettant un or9anismed%ta&'ir une )o'itiue et des o&

7/24/2019 SI_-ISO27001 (1)

9/57

Dfinition d%un ISMS

L%efficacit est mesure )ar ra))ort au@o&

7/24/2019 SI_-ISO27001 (1)

10/57

Dfinition d%un ISMS

L%e@istence d%un SMSI dans '%or9anisme)ermet de renforcer 'a confiance dans 'emode de 9estion de 'a scurit de'%information

Dfinition du CLUSIJ

7/24/2019 SI_-ISO27001 (1)

11/57

Les sBst3mes de mana9ement

Le SMSI est coHrent a*ec 'es autres sBst3mes de mana9ementsde '%entitK

SBst3me de mana9ement de 'a ua'it =SM> , IS$ /..1 0 2..2 SBst3me de mana9ement de '%en*ironnementa' =SME> , IS$ 1..1

0 2.. SBst3me de mana9ement de 'a sant et 'a scurit au tra*ai'

=SMSST> , $SAS 1..1 0 1/// SBst3me de mana9ement de 'a scurit a'imentaire =SMSA> , IS$

22... 0 2..6 SBst3me de mana9ement des ser*ices informatiues des

or9anismes , IS$ 2.... 0 ITIL 0 "S 16... SBst3me de mana9ement de 'a suret )our 'a cHane

d%a))ro*isionnement , IS$ 2... 0 2..6 SBst3me de mana9ement de 'a scurit de '%information =SMSI> ,

IS$ 2:..1 - 2..6

7/24/2019 SI_-ISO27001 (1)

12/57

L%am'ioration continue

Le Mod3'e de Demin9O

Le mod3'e e@)os )ar i''iam EdQardsDEMING se dfinit en ta)es rcurrentes ,

1 - P'an , Trou*er 'es so'utions )'anifier2 - Do , Mettre en 8u*re4 - CHec , *rifier '%efficacit des so'utions

- Act , Am'iorerO a))e' aussi roue de Demin9 cBc'e de Demin9

ou roue de 'a ua'it

7/24/2019 SI_-ISO27001 (1)

13/57

Pouruoi mettre en 8u*re uneISMS !

Pour )rot9er dans 'a dure 'es informations et'es sBst3mes d%information de '%entre)rise

Pour renforcer 'a confiance dans 'e sBst3med%information de '%entre)rise =*is--*is des c'ientset des fournisseurs ou en interne>

Pour am'iorer 'es )rocessus et '%or9anisation

interne en mati3re de scurit informatiuePour o&tenir une certification IS$ ? IEC 2:..1 -2..6

7/24/2019 SI_-ISO27001 (1)

14/57

ue'ues normes re'ati*es au SIK

IS$ ? IEC 2:..1 , 2..6 et IS$ ? IEC 1::// ,2..6 =IS$ 2:..2 - .?2..:> , ISMS

IS$ ? IEC 14446 1 6 , Guide'ines for tHe

mana9ement of IT SecuritB IS$ ? IEC 16. , Crit3res communs Certification des tecHno'o9ies de scurit

IS$ ? IEC TR 1615 , 2..2 'i9nes directrices)our '%uti'isation et 'a 9estion des ser*ices detiers de confiance

7/24/2019 SI_-ISO27001 (1)

15/57


IS$ ? IEC D 1. SecuritB IncidentMana9ement

IS$ ? IEC D 1.4 Guide'ines for

im)'ementation o)eration and mana9ement ofIntrusion Detection SBstem =IDS>

IS$ ? IEC 1465/ "anin9 and re'ated financia'ser*ices - information securitB 9uide'ines

IS$ ? IEC TS 1:./. =ea'tH Informatics , )u&'iceB infrastructure>

7/24/2019 SI_-ISO27001 (1)

16/57


Cette 'iste a))e''e une rf'e@ion ,

Dans 'e cadre de 'a 9'o&a'isation des

cHan9es '%interconne@ion dessBst3mes d%informations

ncessiterait sans doute uneARM$NISATI$Ndes normes

7/24/2019 SI_-ISO27001 (1)

17/57

Les normes IS$ 2:...

Prsentation ,

IS$ 2:... , Princi)e et *oca&u'aire IS$ 2:..1 , E@i9ences )our 'e SMSI

IS$ 2:..2 , Guide de &onnes )ratiues IS$ 2:..4 , Guide d%im)'mentation IS$ 2:.. , Mtriue et Mesure IS$ 2:..6 , Ana'Bse des risues

IS$ 2:..5 , Certification E@i9ences )our '%accrditationdes auditeurs IS$ 2:..: , Certification 9uide d%audit )our '%ISMS IS$ 2:..! , PCA - PRA

7/24/2019 SI_-ISO27001 (1)

18/57


istoriue , 1//2 , Code de &onnes )ratiues 1//6 , Le "SI dicte "S ::// 1// , Le "SI dicte "S ::// - )art 2

1/// , R*ision de 'a "S ::// - )art 1 et 2 2... , IS$ 1::// "S ::// - )art 1 =. et 12?2...> 2..1 , Dmarra9e r*ision IS$ 1:// 0 2... 2..2 , Pu&'ication "S ::// - )art 2 2..6 , IS$ 1::// 0 Parue en

7/24/2019 SI_-ISO27001 (1)

19/57


L%tat des documents ,

Pu&'is ,

IS$ 2:..1 , E@i9ences )our 'e SMSI - 2..6 IS$ 2:..2 , Guide de &onnes )ratiues - 2..6 IS$ 2:..5 , Certification E@i9ences )our '%accrditation

des auditeurs - 2..: IS$ 2:..6 , Ana'Bse des risues - 2..

IS$ 2:.. , Mtriue et Mesure - 2.. IS$ 2:... , Princi)e et *oca&u'aire - 2../ IS$ 2:..4 , Guide d%im)'mentation - 2../

7/24/2019 SI_-ISO27001 (1)

20/57


L%tat des documents ,

Tra*au@ en cours ,

IS$ 2:..: , Certification Guide de '%audit duSMSI

IS$ 2:..! , PCA 0 PRA

IS$ 2:.11 , Li9nes directrices )our 'es t'coms IS$ 2::// , Li9nes Directrices )our 'a sant

7/24/2019 SI_-ISO27001 (1)

21/57


La certification des SI ,

E''e en9endre ,

La mise e@cution sBstmatiue de 'a)o'itiue en mati3re de scurit de'%information

Une 9estion des risues en ra))ort a*ec'a scurit de '%information et 'es sBst3mescorres)ondants '%cHe''e de '%entre)rise

7/24/2019 SI_-ISO27001 (1)

22/57


La certification en9endre =2> ,La sur*ei''ance efficace et '%am'ioration

)ermanente de 'a scurit de '%informationL%assurance du res)ect des &ases '9a'es

et contractue''esLa mise en 8u*re de mtHodes 9'o&a'es

ou Ho'istiues =B com)ris dans desdomaines non tecHniues>

7/24/2019 SI_-ISO27001 (1)

23/57


La certification en9endre =4> ,Le d*e'o))ement de re'ations de

confiance a*ec 'a c'ient3'e 'esor9anismes )u&'ics ainsi ue dans 'edomaine de '%e-commerce

La 9arantie aduate et )ermanente de 'a

dis)oni&i'it du caract3re confidentie' etde '%int9rit

7/24/2019 SI_-ISO27001 (1)

24/57


La certification en9endre => ,

La )rotection de '%ensem&'e desinformations ind)endamment de 'amani3re dont e''es sont re)rsenteset?ou sau*e9ardes

7/24/2019 SI_-ISO27001 (1)

25/57


Les certificats ,Peu*ent e@c'usi*ement tre attri&us )ar

une Institution de certification accrditeSont reconnus au )'an Internationa'Sont *a'a&'es trois ans '%issue desue's

une nou*e''e certification a 'ieu dans un

souci de d*e'o))ement continuAnnue''ement des *rifications de sui*i

sont ra'ises )endant 'eur *a'idit

7/24/2019 SI_-ISO27001 (1)

26/57


Les ta)es de 'a *ie du certificat ,Une fois '%tude de faisa&i'it ra'iseA T. , d&ut de 'a re*ue documentaireA T 4 5 semaines , d&ut ta)es 2Si tout $ $&tention du certificatA T 1 an , Audits de sur*ei''anceAudits de sur*ei''ance T 2 ansA T 4 ans Audit de renou*e''ement

7/24/2019 SI_-ISO27001 (1)

27/57


Processus de certification ,

1 - L%or9anisme demande tre certifi2 - L%or9anisme de certification missionne une ui)e

d%audit4 - L%ui)e d%audit audite '%or9anisme demandeur - L%ui)e d%audit rend son ra))ort6 - Si ra))ort $ '%or9anisme de certification d'i*re 'e

certificat5 - L%or9anisme certifi communiue '%information 'a

)artie )renante: - La )artie )renante *rifie 'a *a'idit du certificat au)r3s

de '%or9anisme de certification

7/24/2019 SI_-ISO27001 (1)

28/57


Le scHma directeur de 'a certification ,

En Jrance '%autoritd%accrditation est ,'a C$JRAC

=ui accrdite 'es $r9anismes de certification>

7/24/2019 SI_-ISO27001 (1)

29/57


Le scHma de 'a certification ,

ScHma identiue )our toutes 'es certifications

Une seu'e autorit d%accrditation )ar )aBs

Un ou )'usieurs or9anismes de certificationse'on 'es scHmas de certificationGnra'ement des socits )ri*esJont tra*ai''er 'es auditeurs sa'aris ou ind)endants

7/24/2019 SI_-ISO27001 (1)

30/57


Prsentation

de la norme

ISO / IEC 27001

2005

7/24/2019 SI_-ISO27001 (1)

31/57

IS$ ? IEC 2:..1 - 2..6

Structure de 'a norme ,

Document de 44 )a9es

CHa)itre . 4 , Introduction et descri)tion9nra'e de 'a norme

CHa)itre , Descri)tion des e@i9encesde 'a norme

Anne@e A , $&

7/24/2019 SI_-ISO27001 (1)

32/57

IS$ ? IEC 2:..1 - 2..6

Descri)tion des e@i9ences de 'a norme ,CHa) , Descri)tion de '%ISMS ? PDCA

CHa) 6 , En9a9ement et res)onsa&i'itdu mana9ementCHa) 5 , Audits Internes de '%ISMS

CHa) : , R*ision de '%ISMS )ar 'emana9ementCHa) , Am'ioration de '%ISMS

7/24/2019 SI_-ISO27001 (1)

33/57

IS$ ? IEC 2:..1 - 2..6

$&

7/24/2019 SI_-ISO27001 (1)

34/57

IS$ ? IEC 2:..1 - 2..6

$& ,

La dfinition et 'a mise en 8u*re de '%ISMS doittre ada)t au@ &esoins au@ o&

7/24/2019 SI_-ISO27001 (1)

35/57

IS$ ? IEC 2:..1 - 2..6

Mod3'e PDCA a))'iu au@ )rocessusSMSI ,

1 - P'an , Eta&'ir 'a )o'itiue 'es o&

7/24/2019 SI_-ISO27001 (1)

36/57

IS$ ? IEC 2:..1 - 2..6

Descri)tion des e@i9ences de 'a )Hase )'an ,

SBntH3se des e@i9ences Dfinir 'e )rim3tre de '%ISMS Dfinir 'a )o'itiue de scurit de '%ISMS

Dfinir '%a))rocHe )our *a'uer 'es risues Identifier 'es risues Ana'Bse et mesure des risues Identifier et dfinir 'es o)tions de traitement des risues Dfinir 'es o&

7/24/2019 SI_-ISO27001 (1)

37/57

IS$ ? IEC 2:..1 - 2..6

La Strat9ie du SMSI =e@ de document> ,

S$MMAIRE

1. Systme de management de la Scurit de lin!ormation11 Dfinition d%un SMSI12 Domaine d%a))'ication14 Po'itiue et )rinci)e 9nrau@1 A))rciation et traitement des risues16 $&

7/24/2019 SI_-ISO27001 (1)

38/57

IS$ ? IEC 2:..1 - 2..6

Descri)tion des e@i9ences de 'a )Hase do ,

SBntH3se des actions accom)'ir ,

Dfinir un )'an d%actions dtai'' de traitement des risues Mettre en 8u*re 'e )'an et '%or9anisation de traitement des risues D)'oBer 'es mesures de )rotection dfinies Dfinir 'es moBens de mesure de '%efficacit des actions en9a9es D*e'o))er un )ro9ramme de sensi&i'isation et de formation Grer 'es as)ects o)rationne's de d)'oiement de '%ISMS Grer 'es ressources im)'iues dans '%ISMS

Dfinir 'es )rocdures d%identification et de traitement des incidents Soit e@i9ences

7/24/2019 SI_-ISO27001 (1)

39/57

IS$ ? IEC 2:..1 - 2..6

Descri)tion des e@i9ence de 'a )Hase cHec ,

SBntH3se des e@i9ences ,

Mettre en )'ace 'es )rocdures de monitorin9 et de contrF'e des mesuresd)'oBes

$r9aniser des r*isions r9u'i3res de '%ISMS Vrifier '%efficacit des mesures de )rotection )our s%assurer u%e''esr)ondent &ien au@ o&

7/24/2019 SI_-ISO27001 (1)

40/57

IS$ ? IEC 2:..1 - 2..6

Descri)tion des e@i9ences de 'a )Hase Act ,

SBntH3se des e@i9ences

Mettre en 8u*re 'es modifications identifies dans

'%ISMS Prendre des mesures )r*enti*es et correcti*es

ada)tes au@ &esoins Communiuer 'es modifications )r*ues au@ diffrents

acteurs de '%ISMS

S%assurer ue 'es am'iorations r)ondent au@ o&

7/24/2019 SI_-ISO27001 (1)

41/57

La documentation de '%ISMS

E@i9ences 9nra'es =41>

La documentation doit inc'ure toutes 'esdcisions de mana9ement 9arantir ue 'es

actions soient conformes au@ dcisions et au@o&

7/24/2019 SI_-ISO27001 (1)

42/57


La documentation de '%ISMS doit inc'ure ,

La descri)tion de 'a )o'itiue de '%ISMS =21&> et des o& Toutes 'es )rocdures mise en 8u*re )ar '%or9anisation )our

assurer 'e d)'oiement 'e )i'ota9e et 'e contrF'e des )rocessus de)rotection de '%information et 'es moBens uti'iss )our *a'uer

'%efficacit des actions entre)rises et des mesures de )rotectiond)'oBes =24c> Les ra))orts e@i9s )ar 'a norme =44> La dc'aration d%a))'ica&i'it

7/24/2019 SI_-ISO27001 (1)

43/57


Sui*i des documents =42> ,

Les documents e@i9s )ar 'a normedoi*ent tre )rot9s et contrF's Une)rocdure documente =dfinieforma'ise a))'iue et maintenue> doit

tre ta&'ies )our dfinir 'es actions de9estion ncessaire ,

7/24/2019 SI_-ISO27001 (1)

44/57


L%a))ro&ation des documents se'on des crit3res de )riorit ada)ts Une r*ision et une mise

7/24/2019 SI_-ISO27001 (1)

45/57

Res)onsa&i'it de 'a D-G

En9a9ement de 'a Direction Gnra'e=61> ,

La Direction 9nra'e doit fournir 'es)reu*es de son en9a9ement )our'%ta&'issement '%im)'mentation assurer

'a 9estion o)rationne''e )i'oter r*isermaintenir am'iorer '%ISMS en ,

7/24/2019 SI_-ISO27001 (1)

46/57


Yta&'issant 'a )o'itiue de '%ISMS S%assurant ue 'es o&

7/24/2019 SI_-ISO27001 (1)

47/57


Journissant 'es ressources et 'es moBensncessaires )our '%ta&'issement'%im)'mentation )our assurer 'a 9estiono)rationne''e )i'oter r*iser maintenir etam'iorer '%ISMS

Dcidant des crit3res de traitement des risueset des seui's d%acce)ta&i'its des risues

S%assurant ue 'es audits internes de '%ISMSsont ra'iss

Pi'otant 'es r*isions de '%ISMS

7/24/2019 SI_-ISO27001 (1)

48/57


Gestion des ressources =62> , La D-G doit fournir 'es ressources ncessaires )our , L%ta&'issement '%im)'mentation assurer 'a 9estion

o)rationne''e )i'oter r*iser maintenir et am'iorer'%ISMS

S%assurer ue 'es )rocdures de scurit de '%informationsu))ortent 'es e@i9ences mtiers

Identifier et r)ondre au@ e@i9ences r9'ementaires'9a'es et contractue''es

Maintenir une scurit aduate )ar 'e sui*i correct desmesures d)'oBes

Jaire effectuer 'es r*isions uand ce'a est ncessaireet )our ra9ir d%une mani3re a))ro)rie se'on 'esrsu'tats de ces r*isions

Am'iorer '%ISMS uand ce'a est ncessaire

7/24/2019 SI_-ISO27001 (1)

49/57


Jormation sensi&i'isation et com)tence=64> ,

La Direction Gnra'e doit s%assurer uetous 'es )ersonne's ui ont desres)onsa&i'its dfinies dans '%ISMS sontcom)tentes )our assurer 'es tZcHes ui

'eur incom&ent )ar ,Dterminer 'e ni*eau de com)tences

ncessaires )our cHacun des acteurs

7/24/2019 SI_-ISO27001 (1)

50/57


Pr*oir 'a formation ou tout autre action=em&aucHe )ar e@em)'e> )our r)ondreau@ e@i9ences de com)tences

E*a'uer '%efficacit des dcisions )rises etdes actions menes

Jaire des ra))orts sur 'es formations 'es

com)tences '%e@)rience et 'esua'ifications des acteurs

7/24/2019 SI_-ISO27001 (1)

51/57


De )'us '%or9anisme de*ra s%assurerue tous 'es acteurs im)'ius sontsuffisamment sensi&i'iss sur'%im)ortance de 'eur action dans 'a)rotection de '%information et sa*ent

comment i's doi*ent contri&uer 'ara'isation des o&

7/24/2019 SI_-ISO27001 (1)

52/57

Norme IS$ 2:..1 - 2..6

Audit interne de '%ISMS =5> ,

L%or9anisme doit conduire des audits internes de'%ISMS inter*a''e r9u'ier )our dterminer si 'es

o&

7/24/2019 SI_-ISO27001 (1)

53/57

Audit interne de '%ISMS =5>

Un )ro9ramme d%audit doit tre )'anifi en)renant en com)te 'e statut et '%im)ortance des)rocessus et du )rim3tre auditer ainsi ue

'es rsu'tats des audits )rcdents Les crit3res'a )orte 'a fruence et 'es mtHodes doi*enttre dfinis

Le cHoi@ des auditeurs doit 9arantir '%o&

7/24/2019 SI_-ISO27001 (1)

54/57


Les res)onsa&i'its et 'es e@i9ences de)'anification et de conduite des auditsainsi ue 'a )rsentation des rsu'tats et

'a rdaction des ra))orts doi*ent tredfinis dans une )rocdure documente

Le res)onsa&'e du domaine audit doit

9arantir ue 'es actions sont )rises sansd'ais e@cessifs )our 'iminer 'es non-conformits et 'eurs causes

7/24/2019 SI_-ISO27001 (1)

55/57


Le sui*i des acti*its doit inc'ure 'a*rification des actions )rises et 'ere)ortin9 des rsu'tats et *rifications

La norme IS$ 1/.11 0 2..2 , Guide'ines for ua'itB and?or

en*ironmenta' mana9ement sBstemauditin9 )eut ser*ir de su))ort 'a&onne conduite des audits internes

7/24/2019 SI_-ISO27001 (1)

56/57

R*ision de '%ISMS )ar 'e mana9ement =:>

Les 'i*ra&'es des runions de r*ision =:4> ,

Les 'i*ra&'es doi*ent inc'ure toutes 'es dcisionset 'es actions re'ati*es ,

L%am'ioration de '%efficacit de '%ISMS Les modifications concernant '%*a'uation des

risues et 'e )'an de traitement des risues Les &esoins en ressources L%am'ioration des moBens de contrF'e de

'%efficacit des actions de scurit

7/24/2019 SI_-ISO27001 (1)

57/57

R*ision de '%ISMS )ar 'e mana9ement =:>

Les 'i*ra&'es doi*ent inc'ure =K> Les modifications des )rocdures et des actions

ui toucHent 'a scurit de '%information )ourr)ondre au@ *3nements internes ou e@ternes

ui )eu*ent im)acter '%ISMS et notamment 'esmodifications , Des e@i9ences mtiers Des e@i9ences de scurit

Des )rocessus affectant 'es )rocessus mtierse@istants Des e@i9ences r9'ementaires et '9a'es Des o&'i9ations contractue''es Des crit3res et des seui's d%acce)tation des risues

SI_-ISO27001 (1)

Documents

Transcript of SI_-ISO27001 (1)