Digicomp, forte de son expérience dans le domaine, vous invite à une soirée d'information pour vous permettre de comprendre pourquoi, comment et à quelles fins les changements d’ISO 27001:2013 vont affecter les spécialistes de la sécurité informatique et leur métier et vous présenter les nombreux changements de fonds, telle la structure, comme les plus subtils avec la réduction du nombre de points de contrôles.
http://www.digicomp.ch/fr/securite_informatique
Information Security - Les changements de la nouvelle version ISO 27001:2013
1. Les Normes ISO 27000 Version 2013
La nouvelle version 2013 de la norme.
Différences et nouveautés
Stéphane Perroud - Georges Torti
Digicomp Romandie SA
14 janvier 2014, Digicomp Lausanne
ISO 27000 2013
2. Stéphane Perroud
Expériences
Consultant en Gouvernance, Audit et Management
de la Sécurité des SI
Formateur en Gouvernance, Sécurité et Audit
Auditeur informatique
12 ans développeur J2EE et Web
Certifications
CISSP
CISA
COBIT Foundation 4.1 & 5
ITIL v3 Foundation
ISO 20000 Foundation
ISO 27001 Lead Auditor
ISO 27005 Risk Manager
ISO 27000 2013
3. Georges Torti
Expériences
Responsable sécurité informatique (au DEFR)
12 ans de direction des systèmes d’information
Responsable du développement informatique
Chef de projet informatique
Support informatique et formation
Président ADI (Gouvernance, Projet, Services,
Sécurité)
Certifications
CISA (Certified Information System Auditor)
CISM (Certified Information Security Manager)
Certificat d’Aptitude à la Protection des Données
Cobit Foundation 4.1 & 5
ISO 27001 Foundation
ISO 27000 2013
4. Plan de la conférence
Notions de base
Bref rappel historique sur BSI 17799 et ISO
27001:2005
Les changements dans ISO 27001:2013
Les changements dans ISO 27002 :2013
Impacts pour l’entreprise
Questions / Réponses
ISO 27000 2013
5. La sécurité de l’information
Notions de base
ISO 27000 2013
6. La sécurité de l’information
L’humain
Les processus
La technique
ISO 27000 2013
7. La sécurité de l’information
Les quatre piliers de la sécurité de l’information :
Sécurité de l’Information
NonRépudiation
Disponibilité
Intégrité
Confidentialité
ISO 27000 2013
9. Les normes ISO 27000
Famille des normes de sécurité de l’information
Recommandation des meilleures pratiques en management
de la sécurité de l’information
S’adresse à tous les types d’organismes
S’intègrent avec les autres normes internationales
ISO 27000 2013
10. Les normes 27000
Avantages
description pratique et détaillée de la mise en œuvre des objectifs et
mesures de sécurité
audit régulier qui permet le suivi entre les risques initialement
identifiés, les mesures prises et les risques nouveaux ou mis à jour,
afin de mesurer l’efficacité des mesures prises
Processus d'amélioration continue de la sécurité, donc le niveau de
sécurité a plutôt tendance à croître
Meilleure maîtrise des risques
Une certification qui améliore la confiance avec les parties
prenantes
Homogénéisation : c’est un référentiel international. Cela facilite les
échanges
ISO 27000 2013
11. Vue d’ensemble des normes ISO 27000
Exigences
ISO 27001
SMSI
ISO 27006
Audit de SMSI
Guides
ISO 27000
Vocabulaire
ISO 27004
Métriques
ISO 27002
Mesures BSI
17799
ISO 27005
Analyse risques
ISO 27000 2013
ISO 27003
Implémentation
Secteurs
ISO 27034
Sécurité des
Applications
12. Vue d’ensemble des normes ISO 27000
Norme
Titre
ISO/IEC 27000
Vue d'ensemble et vocabulaire
ISO/IEC 27001
SMSI - Exigences
ISO/IEC 27002
Code de bonne pratique
ISO/IEC 27003
Lignes directrices pour la mise en œuvre du SMSI
ISO/IEC 27004
Mesurage
ISO/IEC 27005
Gestion des risques liés à la sécurité de l’information
ISO/IEC 27006
Exigences pour les organismes procédant à l'audit et à la
certification
ISO/IEC 27007
Lignes directrices pour l'audit du SMSI
ISO/IEC 27008
Lignes directrices pour les auditeurs des contrôles
ISO/IEC 27010
LD - Communications intersectorielles/interorganisationnelles
ISO/IEC 27011
LD - Organismes de télécommunications
ISO 27000 2013
13. Vue d’ensemble des normes ISO 27000
Norme
Titre
ISO/IEC 27013
LD - Mise en œuvre intégrée d'ISO 27001 et ISO 20000
ISO/IEC 27014
Gouvernance de la sécurité de l'information
ISO/IEC 27015
LD - Management de la sécurité de l'information pour les services
financiers
ISO/IEC 27031
LD - Préparation des TIC pour la continuité d'activité
ISO/IEC 27032
LD - Cybersécurité
ISO/IEC 27033
LD - Sécurité de réseau
ISO/IEC 27034
LD - Sécurité des applications
ISO/IEC 27035
LD - Gestion des incidents de sécurité
ISO/IEC 27037
LD - Identification, la collecte, l'acquisition et la préservation de
preuves numériques
ISO/IEC 27799
Management de la sécurité de l'information relative à la santé en
utilisant l'ISO 27002
ISO 27000 2013
15. Historique
En 1995, le standard britannique "BS 7799" créé par BSI
définit des mesures de sécurité détaillées
En 1998, le BSI introduit le SMSI
En 2000, ISO édite la norme ISO/CEI 17799:2000 (codes
des bonnes pratiques issues de la BS 7799)
En 2005, deux normes sont éditées :
ISO/CEI 17799:2005 qui remanie les domaines et objectifs
ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la
possibilité de certification
En 2007, ISO 27002 remplace ISO/CEI 17799
En 2013, ISO révise les norme ISO/CEI 27001:2013 et
ISO/CEI 27002:2013
ISO 27000 2013
20. Les changements ISO27002
114 mesures dans 14 domaines (Version 2005 : 133 mesures
dans 11 domaines)
A.5: Information security policies
A.6: Organization of information security
A.7: Human resources security
A.8: Asset management
A.9: Access control
A.10: Cryptography
A.11: Physical and environmental security
A.12: Operations security
A.13: Communication security
A.14: System acquisition, development, and maintenance
A.15: Supplier relationships
A.16: Information security Incident management
A.17: Information security aspects of business continuity management
A.18: Compliance
ISO 27000 2013
21. Les changements ISO27002
Réorganisation / déplacement de mesures
Mesures
2005
2013
Mobile/Télétravail
Access control
Organization of
info sec
Gestion médias
Communication
Asset
Gestion clés
Cryptography
Acquisition/Dev
…
Nouvelles mesures
Suppression de mesures
ISO 27000 2013
22. Nouvelles mesures ISO 27002:2013
Information security in project management
Restrictions on software installation
Secure development policy
Secure system engineering principles
Secure development environment
System security testinging
Information security policy for supplier relationships
Information and communication technology supply chain
Assessment and decision on information security events
Response to information security incidents
Availability of information processing facilities
ISO 27000 2013
23. Mesures supprimées (1)
Management commitment to information security
Information security coordination
Authorisation process for information processing facilities
Identification of risks related to external parties
Addressing security when dealing with customers
Security of system documentation
Business Information Systems
User authentication for external connections
Equipment identification in networks
Remote Diagnostic and configuration port protection
Network Connection control
ISO 27000 2013
24. Mesures supprimées (2)
Network routing control
Sensitive system isolation
Input data validation
Control of internal processing
Message integrity
Output data validation
Information leakage
Prevention of misuse of information processing facilities
Protection of information systems audit tools
ISO 27000 2013
26. Certification
Impact sur l’interprétation de la norme et le déploiement du
système de gestion de la sécurité de l’information des
organisations
Majorité de la norme reste la même. Important de comprendre les
changements et d’assurer la conformité du système d’information
à la nouvelle norme pour les futurs audits
Période transitoire de 2 ans accordée aux organisations certifiées
pour se conformer à la nouvelle version
ISO 27000 2013
27. Implémentation
Commencer par une analyse d’écart entre le SMSI existant et
la nouvelle version
Lancer les initiatives de mise à jour du SMSI
Changements significatifs
Politique
Appréciation des risques
Déclaration d’applicabilité (Annexe A)
Identification des problèmes
ISO 27000 2013
28. Formation
Digicomp vous propose, à partir de janvier 2014, des cours et
des certifications internationales en phase avec la nouvelle
version du standard :
ISO/IEC 27001 Lead Auditor
ISO/IEC 27001 Lead Implementer
www.digicomp.ch/fr
ISO 27000 2013
30. Informations et contacts
Plus d’informations :
Retrouvez nous sur :
http://www.digicomp.ch/fr/
securite_informatique
Facebook
Twitter
Google +
Slideshare
ISO 27000 2013
31. Merci de votre attention!
Stéphane Perroud - Georges Torti
Digicomp Academy Suisse Romande SA
Tél. 021 321 65 00
E-Mail: romandie@digicomp.ch
ISO 27000 2013