19
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
ISO/CEI 27001 : Systèmes de management de la sécurité de l’information — Exigences L’ISO/CEI 27001 est la norme centrale de la famille ISO 2700x, c’est la norme d’exigences qui définit les conditions pour mettre en œuvre et documenter un SMSI, publiée en octobre 2005 par l’ISO. Objectifs La norme ISO 27001 publiée en octobre 2005 succède à la norme BS 7799-2 de BSI (British Standards Institution). Elle s’adresse à tous les types d’organismes (entreprises commerciales, administrations, etc…). La norme ISO/CEI 27001 décrit les exigences pour la mise en place d’un Système de Management de la Sécurité de l’Information. Le SMSI est destiné à choisir les mesures de sécurité afin d’assurer la protection des biens sensibles d’une entreprise sur un périmètre défini. C’est le modèle de qualité PDCA (Plan-Do-Check-Act) qui est recommandé pour établir un SMSI afin d’assurer une amélioration continue de la sécurité du système d’information. La norme dicte également les exigences en matières de mesures de sécurité propres à chaque organisme, c’est-à-dire que la mesure n’est pas la même d’un organisme à l’autre. Les mesures doivent être adéquates et proportionnées à l’organisme pour ne pas être ni trop laxistes ni trop sévères. La norme ISO 27001 intègre aussi le fait que la mise en place d’un SMSI et d’outils de mesures de sécurité aient pour but de garantir la protection des actifs informationnels. L’objectif est de protéger les informations de toute perte ou intrusion. Cela apportera la confiance des parties prenantes. L’ISO/CEI 27001 définit l’ensemble des contrôles à effectuer pour s’assurer de la pertinence du SMSI, à l’exploiter et à le faire évoluer. Plus précisément, l’annexe A de la norme est composée des 133 mesures de sécurité de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classées dans 11 sections. Comme pour les normes ISO 9001 et ISO 14001, il est possible de se faire certifier ISO 27001. ISO/CEI 27002 : Code de bonne pratique pour le management de la sécurité de l’information La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l’information, publiée en 2005 par l’ISO, dont le titre en français est Code de bonnes pratiques pour le management de la sécurité de l’information. L’ISO/CEI 27002 est un ensemble de 133 mesures dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d’un Système de Management de la Sécurité de l’Information.