SlideShare uma empresa Scribd logo

Information Security - Les changements de la nouvelle version ISO 27001:2013

Transferir como PPTX, PDF
Digicomp Academy Suisse Romande SA
Digicomp Academy Suisse Romande SA

Digicomp, forte de son expérience dans le domaine, vous invite à une soirée d'information pour vous permettre de comprendre pourquoi, comment et à quelles fins les changements d’ISO 27001:2013 vont affecter les spécialistes de la sécurité informatique et leur métier et vous présenter les nombreux changements de fonds, telle la structure, comme les plus subtils avec la réduction du nombre de points de contrôles. http://www.digicomp.ch/fr/securite_informatique

Negócios
1 de 33
Les Normes ISO 27000 Version 2013 La nouvelle version 2013 de la norme. Différences et nouveautés Stéphane Perroud - Georges Torti Digicomp Romandie SA 14 janvier 2014, Digicomp Lausanne ISO 27000 2013
Stéphane Perroud  Expériences  Consultant en Gouvernance, Audit et Management de la Sécurité des SI  Formateur en Gouvernance, Sécurité et Audit  Auditeur informatique  12 ans développeur J2EE et Web  Certifications        CISSP CISA COBIT Foundation 4.1 & 5 ITIL v3 Foundation ISO 20000 Foundation ISO 27001 Lead Auditor ISO 27005 Risk Manager ISO 27000 2013
Georges Torti  Expériences       Responsable sécurité informatique (au DEFR) 12 ans de direction des systèmes d’information Responsable du développement informatique Chef de projet informatique Support informatique et formation Président ADI (Gouvernance, Projet, Services, Sécurité)  Certifications      CISA (Certified Information System Auditor) CISM (Certified Information Security Manager) Certificat d’Aptitude à la Protection des Données Cobit Foundation 4.1 & 5 ISO 27001 Foundation ISO 27000 2013
Plan de la conférence  Notions de base  Bref rappel historique sur BSI 17799 et ISO 27001:2005  Les changements dans ISO 27001:2013  Les changements dans ISO 27002 :2013  Impacts pour l’entreprise  Questions / Réponses ISO 27000 2013
La sécurité de l’information Notions de base ISO 27000 2013
La sécurité de l’information L’humain Les processus La technique ISO 27000 2013
La sécurité de l’information  Les quatre piliers de la sécurité de l’information : Sécurité de l’Information NonRépudiation Disponibilité Intégrité Confidentialité ISO 27000 2013
Vue d’ensemble Les normes ISO 27000 ISO 27000 2013
Les normes ISO 27000  Famille des normes de sécurité de l’information  Recommandation des meilleures pratiques en management de la sécurité de l’information  S’adresse à tous les types d’organismes  S’intègrent avec les autres normes internationales ISO 27000 2013
Les normes 27000  Avantages  description pratique et détaillée de la mise en œuvre des objectifs et mesures de sécurité  audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises  Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître  Meilleure maîtrise des risques  Une certification qui améliore la confiance avec les parties prenantes  Homogénéisation : c’est un référentiel international. Cela facilite les échanges ISO 27000 2013
Vue d’ensemble des normes ISO 27000 Exigences ISO 27001 SMSI ISO 27006 Audit de SMSI Guides ISO 27000 Vocabulaire ISO 27004 Métriques ISO 27002 Mesures BSI 17799 ISO 27005 Analyse risques ISO 27000 2013 ISO 27003 Implémentation Secteurs ISO 27034 Sécurité des Applications
Vue d’ensemble des normes ISO 27000 Norme Titre ISO/IEC 27000 Vue d'ensemble et vocabulaire ISO/IEC 27001 SMSI - Exigences ISO/IEC 27002 Code de bonne pratique ISO/IEC 27003 Lignes directrices pour la mise en œuvre du SMSI ISO/IEC 27004 Mesurage ISO/IEC 27005 Gestion des risques liés à la sécurité de l’information ISO/IEC 27006 Exigences pour les organismes procédant à l'audit et à la certification ISO/IEC 27007 Lignes directrices pour l'audit du SMSI ISO/IEC 27008 Lignes directrices pour les auditeurs des contrôles ISO/IEC 27010 LD - Communications intersectorielles/interorganisationnelles ISO/IEC 27011 LD - Organismes de télécommunications ISO 27000 2013
Vue d’ensemble des normes ISO 27000 Norme Titre ISO/IEC 27013 LD - Mise en œuvre intégrée d'ISO 27001 et ISO 20000 ISO/IEC 27014 Gouvernance de la sécurité de l'information ISO/IEC 27015 LD - Management de la sécurité de l'information pour les services financiers ISO/IEC 27031 LD - Préparation des TIC pour la continuité d'activité ISO/IEC 27032 LD - Cybersécurité ISO/IEC 27033 LD - Sécurité de réseau ISO/IEC 27034 LD - Sécurité des applications ISO/IEC 27035 LD - Gestion des incidents de sécurité ISO/IEC 27037 LD - Identification, la collecte, l'acquisition et la préservation de preuves numériques ISO/IEC 27799 Management de la sécurité de l'information relative à la santé en utilisant l'ISO 27002 ISO 27000 2013
Bref historique BSI 17799 ISO 27001 ISO 27002 ISO 27000 2013
Historique  En 1995, le standard britannique "BS 7799" créé par BSI définit des mesures de sécurité détaillées  En 1998, le BSI introduit le SMSI  En 2000, ISO édite la norme ISO/CEI 17799:2000 (codes des bonnes pratiques issues de la BS 7799)  En 2005, deux normes sont éditées :  ISO/CEI 17799:2005 qui remanie les domaines et objectifs  ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la possibilité de certification  En 2007, ISO 27002 remplace ISO/CEI 17799  En 2013, ISO révise les norme ISO/CEI 27001:2013 et ISO/CEI 27002:2013 ISO 27000 2013
Les changements ISO 27001:2013 ISO 27000 2013
ISO 27001 ISO 27000 2013
Contrôles obligatoires ISO 27000 2013
Les changements ISO 27002:2013 ISO 27000 2013
Les changements ISO27002  114 mesures dans 14 domaines (Version 2005 : 133 mesures dans 11 domaines)               A.5: Information security policies A.6: Organization of information security A.7: Human resources security A.8: Asset management A.9: Access control A.10: Cryptography A.11: Physical and environmental security A.12: Operations security A.13: Communication security A.14: System acquisition, development, and maintenance A.15: Supplier relationships A.16: Information security Incident management A.17: Information security aspects of business continuity management A.18: Compliance ISO 27000 2013
Les changements ISO27002  Réorganisation / déplacement de mesures Mesures 2005 2013 Mobile/Télétravail Access control Organization of info sec Gestion médias Communication Asset Gestion clés Cryptography Acquisition/Dev …  Nouvelles mesures  Suppression de mesures ISO 27000 2013
Nouvelles mesures ISO 27002:2013            Information security in project management Restrictions on software installation Secure development policy Secure system engineering principles Secure development environment System security testinging Information security policy for supplier relationships Information and communication technology supply chain Assessment and decision on information security events Response to information security incidents Availability of information processing facilities ISO 27000 2013
Mesures supprimées (1)            Management commitment to information security Information security coordination Authorisation process for information processing facilities Identification of risks related to external parties Addressing security when dealing with customers Security of system documentation Business Information Systems User authentication for external connections Equipment identification in networks Remote Diagnostic and configuration port protection Network Connection control ISO 27000 2013
Mesures supprimées (2)          Network routing control Sensitive system isolation Input data validation Control of internal processing Message integrity Output data validation Information leakage Prevention of misuse of information processing facilities Protection of information systems audit tools ISO 27000 2013
Impacts pour l’entreprise Certifications Implémentation Formation ISO 27000 2013
Certification  Impact sur l’interprétation de la norme et le déploiement du système de gestion de la sécurité de l’information des organisations  Majorité de la norme reste la même. Important de comprendre les changements et d’assurer la conformité du système d’information à la nouvelle norme pour les futurs audits  Période transitoire de 2 ans accordée aux organisations certifiées pour se conformer à la nouvelle version ISO 27000 2013
Implémentation  Commencer par une analyse d’écart entre le SMSI existant et la nouvelle version  Lancer les initiatives de mise à jour du SMSI  Changements significatifs     Politique Appréciation des risques Déclaration d’applicabilité (Annexe A) Identification des problèmes ISO 27000 2013
Formation  Digicomp vous propose, à partir de janvier 2014, des cours et des certifications internationales en phase avec la nouvelle version du standard :  ISO/IEC 27001 Lead Auditor  ISO/IEC 27001 Lead Implementer www.digicomp.ch/fr ISO 27000 2013
Questions / Réponses ISO 27000 2013
Informations et contacts  Plus d’informations :  Retrouvez nous sur : http://www.digicomp.ch/fr/ securite_informatique Facebook Twitter Google + Slideshare ISO 27000 2013
Merci de votre attention! Stéphane Perroud - Georges Torti Digicomp Academy Suisse Romande SA Tél. 021 321 65 00 E-Mail: romandie@digicomp.ch ISO 27000 2013
ISO 27001 Annexe A ISO 27000 2013
ISO 27002 ISO 27000 2013

Recomendados

Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Digicomp Academy Suisse Romande SA
 
Cobit
Cobit Cobit
Cobit Houda Elmoutaoukil
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performanceAntoine Vigneron
 
Certification ISO/CEI 27001
Certification ISO/CEI 27001Certification ISO/CEI 27001
Certification ISO/CEI 27001Valoricert Group
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobitYoussef Bensafi
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 

Recomendados

Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Digicomp Academy Suisse Romande SA
 
Cobit
Cobit Cobit
Cobit Houda Elmoutaoukil
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performanceAntoine Vigneron
 
Certification ISO/CEI 27001
Certification ISO/CEI 27001Certification ISO/CEI 27001
Certification ISO/CEI 27001Valoricert Group
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobitYoussef Bensafi
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...Antoine Vigneron
 
Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000ISACA Chapitre de Québec
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Cobit
CobitCobit
Cobitmoussadiom
 
CobIT presentation
CobIT presentationCobIT presentation
CobIT presentationMarc Vael
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationMiguel Iriart
 
Innovation et gestion de projet
Innovation et gestion de projetInnovation et gestion de projet
Innovation et gestion de projetDigicomp Academy Suisse Romande SA
 
VMware vSphere 6 & Horizon View 6.1 – What's New ?
VMware vSphere 6 & Horizon View 6.1 – What's New ?VMware vSphere 6 & Horizon View 6.1 – What's New ?
VMware vSphere 6 & Horizon View 6.1 – What's New ?Digicomp Academy Suisse Romande SA
 
What's new in Windows 10 ?
What's new in Windows 10 ?What's new in Windows 10 ?
What's new in Windows 10 ?Digicomp Academy Suisse Romande SA
 
Customer Case : Citrix et Nutanix
Customer Case : Citrix et NutanixCustomer Case : Citrix et Nutanix
Customer Case : Citrix et NutanixDigicomp Academy Suisse Romande SA
 
Citrix Day 2015 Net Scaler Release 10.5 Update v10
Citrix Day 2015 Net Scaler Release 10.5 Update v10Citrix Day 2015 Net Scaler Release 10.5 Update v10
Citrix Day 2015 Net Scaler Release 10.5 Update v10Digicomp Academy Suisse Romande SA
 
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10Digicomp Academy Suisse Romande SA
 
Google Analytics pour l'innovation entrepreneuriale
Google Analytics pour l'innovation entrepreneurialeGoogle Analytics pour l'innovation entrepreneuriale
Google Analytics pour l'innovation entrepreneurialeDigicomp Academy Suisse Romande SA
 
L'impression 3D et ses nouvelles perspectives métiers
L'impression 3D et ses nouvelles perspectives métiersL'impression 3D et ses nouvelles perspectives métiers
L'impression 3D et ses nouvelles perspectives métiersDigicomp Academy Suisse Romande SA
 
Digicomp Citrix Day 2015 : Upate
Digicomp Citrix Day 2015 : UpateDigicomp Citrix Day 2015 : Upate
Digicomp Citrix Day 2015 : UpateDigicomp Academy Suisse Romande SA
 
Digicomp Citrix Day 2015 : Mobility
Digicomp Citrix Day 2015 : MobilityDigicomp Citrix Day 2015 : Mobility
Digicomp Citrix Day 2015 : MobilityDigicomp Academy Suisse Romande SA
 
Digicomp citrix day 2015 : Introduction
Digicomp citrix day 2015 : IntroductionDigicomp citrix day 2015 : Introduction
Digicomp citrix day 2015 : IntroductionDigicomp Academy Suisse Romande SA
 
Digicomp Citrix Day 2015 : Keynote
Digicomp Citrix Day 2015 : KeynoteDigicomp Citrix Day 2015 : Keynote
Digicomp Citrix Day 2015 : KeynoteDigicomp Academy Suisse Romande SA
 
MS Project VS ProjectLibre
MS Project VS ProjectLibreMS Project VS ProjectLibre
MS Project VS ProjectLibreDigicomp Academy Suisse Romande SA
 
Heat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12cHeat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12cDigicomp Academy Suisse Romande SA
 
Maximize Availability With Oracle Database 12c
Maximize Availability With Oracle Database 12cMaximize Availability With Oracle Database 12c
Maximize Availability With Oracle Database 12cDigicomp Academy Suisse Romande SA
 

Mais conteúdo relacionado

Destaque

MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...Antoine Vigneron
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
CobIT presentation
CobIT presentationCobIT presentation
CobIT presentationMarc Vael
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationMiguel Iriart
 

Destaque (7)

MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
 
Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Cobit
CobitCobit
Cobit
 
CobIT presentation
CobIT presentationCobIT presentation
CobIT presentation
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’information
 

Mais de Digicomp Academy Suisse Romande SA

Heat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12cHeat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12cDigicomp Academy Suisse Romande SA
 
Plan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégiquePlan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégiqueDigicomp Academy Suisse Romande SA
 

Mais de Digicomp Academy Suisse Romande SA (20)

Innovation et gestion de projet
Innovation et gestion de projetInnovation et gestion de projet
Innovation et gestion de projet
 
VMware vSphere 6 & Horizon View 6.1 – What's New ?
VMware vSphere 6 & Horizon View 6.1 – What's New ?VMware vSphere 6 & Horizon View 6.1 – What's New ?
VMware vSphere 6 & Horizon View 6.1 – What's New ?
 
What's new in Windows 10 ?
What's new in Windows 10 ?What's new in Windows 10 ?
What's new in Windows 10 ?
 
Customer Case : Citrix et Nutanix
Customer Case : Citrix et NutanixCustomer Case : Citrix et Nutanix
Customer Case : Citrix et Nutanix
 
Citrix Day 2015 Net Scaler Release 10.5 Update v10
Citrix Day 2015 Net Scaler Release 10.5 Update v10Citrix Day 2015 Net Scaler Release 10.5 Update v10
Citrix Day 2015 Net Scaler Release 10.5 Update v10
 
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
Citrix Day 2015 Cloud Bridge 7.3 and WSA v10
 
Google Analytics pour l'innovation entrepreneuriale
Google Analytics pour l'innovation entrepreneurialeGoogle Analytics pour l'innovation entrepreneuriale
Google Analytics pour l'innovation entrepreneuriale
 
L'impression 3D et ses nouvelles perspectives métiers
L'impression 3D et ses nouvelles perspectives métiersL'impression 3D et ses nouvelles perspectives métiers
L'impression 3D et ses nouvelles perspectives métiers
 
Digicomp Citrix Day 2015 : Upate
Digicomp Citrix Day 2015 : UpateDigicomp Citrix Day 2015 : Upate
Digicomp Citrix Day 2015 : Upate
 
Digicomp Citrix Day 2015 : Mobility
Digicomp Citrix Day 2015 : MobilityDigicomp Citrix Day 2015 : Mobility
Digicomp Citrix Day 2015 : Mobility
 
Digicomp citrix day 2015 : Introduction
Digicomp citrix day 2015 : IntroductionDigicomp citrix day 2015 : Introduction
Digicomp citrix day 2015 : Introduction
 
Digicomp Citrix Day 2015 : Keynote
Digicomp Citrix Day 2015 : KeynoteDigicomp Citrix Day 2015 : Keynote
Digicomp Citrix Day 2015 : Keynote
 
MS Project VS ProjectLibre
MS Project VS ProjectLibreMS Project VS ProjectLibre
MS Project VS ProjectLibre
 
Heat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12cHeat Map and Automatic Data Optimization with Oracle Database 12c
Heat Map and Automatic Data Optimization with Oracle Database 12c
 
Maximize Availability With Oracle Database 12c
Maximize Availability With Oracle Database 12cMaximize Availability With Oracle Database 12c
Maximize Availability With Oracle Database 12c
 
Oracle Database 12c : Multitenant
Oracle Database 12c : MultitenantOracle Database 12c : Multitenant
Oracle Database 12c : Multitenant
 
Augmenter la satisfaction de l'utilisateur
Augmenter la satisfaction de l'utilisateurAugmenter la satisfaction de l'utilisateur
Augmenter la satisfaction de l'utilisateur
 
L'expérience utilisateur
L'expérience utilisateurL'expérience utilisateur
L'expérience utilisateur
 
Plan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégiquePlan de continuité des activités: le vrai enjeu stratégique
Plan de continuité des activités: le vrai enjeu stratégique
 
Introduction à Microsoft Project 2010
Introduction à Microsoft Project 2010Introduction à Microsoft Project 2010
Introduction à Microsoft Project 2010
 

Information Security - Les changements de la nouvelle version ISO 27001:2013

  • 1. Les Normes ISO 27000 Version 2013 La nouvelle version 2013 de la norme. Différences et nouveautés Stéphane Perroud - Georges Torti Digicomp Romandie SA 14 janvier 2014, Digicomp Lausanne ISO 27000 2013
  • 2. Stéphane Perroud  Expériences  Consultant en Gouvernance, Audit et Management de la Sécurité des SI  Formateur en Gouvernance, Sécurité et Audit  Auditeur informatique  12 ans développeur J2EE et Web  Certifications        CISSP CISA COBIT Foundation 4.1 & 5 ITIL v3 Foundation ISO 20000 Foundation ISO 27001 Lead Auditor ISO 27005 Risk Manager ISO 27000 2013
  • 3. Georges Torti  Expériences       Responsable sécurité informatique (au DEFR) 12 ans de direction des systèmes d’information Responsable du développement informatique Chef de projet informatique Support informatique et formation Président ADI (Gouvernance, Projet, Services, Sécurité)  Certifications      CISA (Certified Information System Auditor) CISM (Certified Information Security Manager) Certificat d’Aptitude à la Protection des Données Cobit Foundation 4.1 & 5 ISO 27001 Foundation ISO 27000 2013
  • 4. Plan de la conférence  Notions de base  Bref rappel historique sur BSI 17799 et ISO 27001:2005  Les changements dans ISO 27001:2013  Les changements dans ISO 27002 :2013  Impacts pour l’entreprise  Questions / Réponses ISO 27000 2013
  • 5. La sécurité de l’information Notions de base ISO 27000 2013
  • 6. La sécurité de l’information L’humain Les processus La technique ISO 27000 2013
  • 7. La sécurité de l’information  Les quatre piliers de la sécurité de l’information : Sécurité de l’Information NonRépudiation Disponibilité Intégrité Confidentialité ISO 27000 2013
  • 8. Vue d’ensemble Les normes ISO 27000 ISO 27000 2013
  • 9. Les normes ISO 27000  Famille des normes de sécurité de l’information  Recommandation des meilleures pratiques en management de la sécurité de l’information  S’adresse à tous les types d’organismes  S’intègrent avec les autres normes internationales ISO 27000 2013
  • 10. Les normes 27000  Avantages  description pratique et détaillée de la mise en œuvre des objectifs et mesures de sécurité  audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises  Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître  Meilleure maîtrise des risques  Une certification qui améliore la confiance avec les parties prenantes  Homogénéisation : c’est un référentiel international. Cela facilite les échanges ISO 27000 2013
  • 11. Vue d’ensemble des normes ISO 27000 Exigences ISO 27001 SMSI ISO 27006 Audit de SMSI Guides ISO 27000 Vocabulaire ISO 27004 Métriques ISO 27002 Mesures BSI 17799 ISO 27005 Analyse risques ISO 27000 2013 ISO 27003 Implémentation Secteurs ISO 27034 Sécurité des Applications
  • 12. Vue d’ensemble des normes ISO 27000 Norme Titre ISO/IEC 27000 Vue d'ensemble et vocabulaire ISO/IEC 27001 SMSI - Exigences ISO/IEC 27002 Code de bonne pratique ISO/IEC 27003 Lignes directrices pour la mise en œuvre du SMSI ISO/IEC 27004 Mesurage ISO/IEC 27005 Gestion des risques liés à la sécurité de l’information ISO/IEC 27006 Exigences pour les organismes procédant à l'audit et à la certification ISO/IEC 27007 Lignes directrices pour l'audit du SMSI ISO/IEC 27008 Lignes directrices pour les auditeurs des contrôles ISO/IEC 27010 LD - Communications intersectorielles/interorganisationnelles ISO/IEC 27011 LD - Organismes de télécommunications ISO 27000 2013
  • 13. Vue d’ensemble des normes ISO 27000 Norme Titre ISO/IEC 27013 LD - Mise en œuvre intégrée d'ISO 27001 et ISO 20000 ISO/IEC 27014 Gouvernance de la sécurité de l'information ISO/IEC 27015 LD - Management de la sécurité de l'information pour les services financiers ISO/IEC 27031 LD - Préparation des TIC pour la continuité d'activité ISO/IEC 27032 LD - Cybersécurité ISO/IEC 27033 LD - Sécurité de réseau ISO/IEC 27034 LD - Sécurité des applications ISO/IEC 27035 LD - Gestion des incidents de sécurité ISO/IEC 27037 LD - Identification, la collecte, l'acquisition et la préservation de preuves numériques ISO/IEC 27799 Management de la sécurité de l'information relative à la santé en utilisant l'ISO 27002 ISO 27000 2013
  • 14. Bref historique BSI 17799 ISO 27001 ISO 27002 ISO 27000 2013
  • 15. Historique  En 1995, le standard britannique "BS 7799" créé par BSI définit des mesures de sécurité détaillées  En 1998, le BSI introduit le SMSI  En 2000, ISO édite la norme ISO/CEI 17799:2000 (codes des bonnes pratiques issues de la BS 7799)  En 2005, deux normes sont éditées :  ISO/CEI 17799:2005 qui remanie les domaines et objectifs  ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la possibilité de certification  En 2007, ISO 27002 remplace ISO/CEI 17799  En 2013, ISO révise les norme ISO/CEI 27001:2013 et ISO/CEI 27002:2013 ISO 27000 2013
  • 20. Les changements ISO27002  114 mesures dans 14 domaines (Version 2005 : 133 mesures dans 11 domaines)               A.5: Information security policies A.6: Organization of information security A.7: Human resources security A.8: Asset management A.9: Access control A.10: Cryptography A.11: Physical and environmental security A.12: Operations security A.13: Communication security A.14: System acquisition, development, and maintenance A.15: Supplier relationships A.16: Information security Incident management A.17: Information security aspects of business continuity management A.18: Compliance ISO 27000 2013
  • 21. Les changements ISO27002  Réorganisation / déplacement de mesures Mesures 2005 2013 Mobile/Télétravail Access control Organization of info sec Gestion médias Communication Asset Gestion clés Cryptography Acquisition/Dev …  Nouvelles mesures  Suppression de mesures ISO 27000 2013
  • 22. Nouvelles mesures ISO 27002:2013            Information security in project management Restrictions on software installation Secure development policy Secure system engineering principles Secure development environment System security testinging Information security policy for supplier relationships Information and communication technology supply chain Assessment and decision on information security events Response to information security incidents Availability of information processing facilities ISO 27000 2013
  • 23. Mesures supprimées (1)            Management commitment to information security Information security coordination Authorisation process for information processing facilities Identification of risks related to external parties Addressing security when dealing with customers Security of system documentation Business Information Systems User authentication for external connections Equipment identification in networks Remote Diagnostic and configuration port protection Network Connection control ISO 27000 2013
  • 24. Mesures supprimées (2)          Network routing control Sensitive system isolation Input data validation Control of internal processing Message integrity Output data validation Information leakage Prevention of misuse of information processing facilities Protection of information systems audit tools ISO 27000 2013
  • 26. Certification  Impact sur l’interprétation de la norme et le déploiement du système de gestion de la sécurité de l’information des organisations  Majorité de la norme reste la même. Important de comprendre les changements et d’assurer la conformité du système d’information à la nouvelle norme pour les futurs audits  Période transitoire de 2 ans accordée aux organisations certifiées pour se conformer à la nouvelle version ISO 27000 2013
  • 27. Implémentation  Commencer par une analyse d’écart entre le SMSI existant et la nouvelle version  Lancer les initiatives de mise à jour du SMSI  Changements significatifs     Politique Appréciation des risques Déclaration d’applicabilité (Annexe A) Identification des problèmes ISO 27000 2013
  • 28. Formation  Digicomp vous propose, à partir de janvier 2014, des cours et des certifications internationales en phase avec la nouvelle version du standard :  ISO/IEC 27001 Lead Auditor  ISO/IEC 27001 Lead Implementer www.digicomp.ch/fr ISO 27000 2013
  • 30. Informations et contacts  Plus d’informations :  Retrouvez nous sur : http://www.digicomp.ch/fr/ securite_informatique Facebook Twitter Google + Slideshare ISO 27000 2013
  • 31. Merci de votre attention! Stéphane Perroud - Georges Torti Digicomp Academy Suisse Romande SA Tél. 021 321 65 00 E-Mail: romandie@digicomp.ch ISO 27000 2013
  • 32. ISO 27001 Annexe A ISO 27000 2013