20
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
La sécurité de l’information est définie au sein de la norme comme la « préservation de la confidentialité, de l’intégrité et de la disponibilité de l’information ». Cette norme n’a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait ainsi s’engager à respecter les pratiques normalisées dans ses relations avec un client. Objectifs ISO/IEC 27002 est plus un code de pratique, qu’une véritable norme ou qu’une spécification formelle telle que l’ISO/IEC 27001. Elle présente une série de contrôles (39 objectifs de contrôle) qui suggèrent de tenir compte des risques de sécurité des informations relatives à la confidentialité, l’intégrité et les aspects de disponibilité. Les entreprises qui adoptent l’ISO/CEI 27002 doivent évaluer leurs propres risques de sécurité de l’information et appliquer les contrôles appropriés, en utilisant la norme pour orienter l’entreprise. La norme ISO 27002 n’est pas une norme au sens habituel du terme. En effet, ce n’est pas une norme de nature technique, technologique ou orientée produit, ou une méthodologie d’évaluation d’équipement telle que les critères communs CC/ISO 15408. Elle n’a pas de caractère d’obligation, elle n’amène pas de certification, ce domaine étant couvert par la norme ISO/IEC 27001. ISO/CEI 27003 : Lignes directrices pour la mise en œuvre du système de management de la sécurité de l’information La norme ISO/CEI 27003 fournit une approche orientée processus pour la réussite de la mise en œuvre d’un SMSI conformément à l’ISO 27001. Objectifs Le but de l’ISO / CEI 27003 est de fournir aide et les conseils à mettre en œuvre un Système de Management de la Sécurité de l’Information. ISO / IEC 27003 guide la conception d’une norme ISO / IEC 27001-SGSI conforme, conduisant à l’ouverture d’un SMSI [la mise en œuvre du projet]. Il décrit le processus du SMSI et la spécification de conception, du début jusqu’à la production des plans d’exécution des projets, couvrant la préparation et la planification des activités préalables à la mise en œuvre effective, et en prenant des éléments clés tels que: Approbation de la direction et l’autorisation définitive de procéder à l’exécution des projets; Détermination de la portée et la définition des limites en termes de TIC et les lieux physiques; L’évaluation des risques sécurité de l’information et de la planification des traitements de risque appropriés, le cas échéant en définissant des exigences de contrôle de sécurité de l’information;