21
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
Conception du SMSI; La planification du projet mise en œuvre. ISO/CEI 27004 : Management de la sécurité de l’information — Mesurage ISO / CEI 27004 couvre les mesures de management de sécurité de l’information, généralement connu comme les mesures de sécurité. Élaborée par l’ISO et la Commission électrotechnique internationale (CEI). Son nom complet est la technologie de l’information – Techniques de sécurité – Management de la sécurité de l’information — Mesurage. Objectifs Le but de la norme ISO / IEC 27004 est d’aider les organisations à mesurer, rapporter et donc d’améliorer systématiquement l’efficacité de leurs systèmes de gestion de sécurité de l’information (SGSI). La norme est destinée à aider les organisations à mesurer, rendre compte et donc d’améliorer systématiquement l’efficacité de leurs systèmes de gestion de l’information de sécurité. ISO/CEI 27005 : Gestion des risques liés à la sécurité de l’information La première norme de gestion des risques de la Sécurité des Systèmes d’Information : l’ISO/CEI 27005. Cette norme est un standard international qui décrit le Système de Management des risques liés à la Sécurité de l’information. Certains expliquent que cette norme est en fait une méthode quasi-applicable en se servant des annexes et en les adaptant à leur contexte. D’ailleurs dans l’enquête 2010 du CLUSIF, 35% des entreprises qui font analyses de risques déclarent le faire en utilisant la norme ISO 27005. Objectifs La norme ISO 27005 explique en détail comment conduire l’appréciation des risques et le traitement des risques, dans le cadre de la sécurité de l’information. La norme ISO 27005 propose une méthodologie de gestion des risques en matière d’information dans l’entreprise conforme à la norme ISO/CEI 27001. La nouvelle norme a donc pour but d’aider à mettre en œuvre l’ISO/CEI 27001, la norme relative aux systèmes de management de la sécurité de l’information (SMSI), qui est fondée sur une approche de gestion du risque. Néanmoins, la norme ISO 27005 peut être utilisée de manière autonome dans différentes situations. La norme ISO 27005 applique à la gestion de risques le cycle d’amélioration continue PDCA (Plan, Do, Check, Act) utilisé dans toutes les normes de systèmes de management.