Contact

Poser une question en ligne Contacter nos équipes

Besoin d'aide ?

Assistant IA Aide et tutos FAQ
Série ISO/CEI 27000
Référentiels normatifs, sécurité de l'information - NF EN ISO/CEI 27001 : 2013
H5070 v2 Archive

Série ISO/CEI 27000
Référentiels normatifs, sécurité de l'information - NF EN ISO/CEI 27001 : 2013

Auteur(s) : Claude PINET

Date de publication : 10 févr. 2015 | Read in English

Logo Techniques de l'Ingenieur Cet article est réservé aux abonnés
Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?

Présentation

1 - Généralités et concepts de base

  • 1.1 - Sécurité, une exigence pour l'information
  • 1.2 - Référentiels normatifs applicables
  • 1.3 - Organisation des articles
  • 1.4 - Rappel sur les instances officielles
  • 1.5 - Concepts de base

2 - Série ISO/CEI 27000

3 - Norme ISO 27001

4 - Déclaration d'applicabilité

  • 4.1 - Annexe normative
  • 4.2 - Objectifs et mesures de sécurité
  • 4.3 - Thèmes sécurité imposés
  • 4.4 - Comment y répondre ?

5 - Norme ISO 27002

6 - Recenser les actifs

  • 6.1 - Qu'est-ce qu'un actif ?
  • 6.2 - Comment identifier un actif ?
  • 6.3 - Attribuer un propriétaire à un actif
  • 6.4 - Comment utiliser correctement un actif ?
  • 6.5 - Comment restituer un actif ?

7 - Identifier les risques

  • 7.1 - Qu'est-ce qu'un risque ?
  • 7.2 - Comment identifier un risque ?

8 - Analyser les risques

9 - Évaluer les risques

  • 9.1 - Critères d'importance de risque
  • 9.2 - Évaluer l'impact d'un risque (gravité)
  • 9.3 - Évaluer la probabilité d'apparition d'un risque (fréquence)
  • 9.4 - Déterminer les risques acceptables
  • 9.5 - Approuver les risques résiduels
  • 9.6 - Méthodes pour appréhender les risques

10 - Incidents de sécurité

11 - Conclusion

12 - Glossaire – Définitions

Sommaire

Présentation

NOTE DE L'ÉDITEUR

La norme NF EN ISO 19011 de janvier 2012 citée dans cet article a été remplacée par la norme NF EN ISO 19011 (X50-136) "Lignes directrices pour l'audit des systèmes de management" Révision 2018

Pour en savoir plus, consultez le bulletin de veille normative VN1806 (juillet 2018).

11/01/2019

RÉSUMÉ

La sécurité de l'information fait partie du périmètre de la normalisation (ISO et AFNOR). À savoir les normes suivantes : ISO/CEI 27001 Exigences pour la certification, ISO/CEI 27002 Code de pratiques, ISO/CEI 27005 Gestion des risques. La sécurité de l'information est organisée dans un Système de Management de la sécurité de l'Information (SMSI). La démarche méthodologique nécessite de recenser les actifs et d'analyser les risques au regard des trois facteurs : Disponibilité, Intégrité, Confidentialité. En fonction de l'impact (gravité) et de la probabilité d'apparition (fréquence) les risques seront classés soit acceptables soit risques résiduels. Les incidents de sécurité doivent être gérés. Des plans de traitement des risques contribuent à l'amélioration du SMSI.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Claude PINET : Ingénieur diplômé du Conservatoire National des Arts et Métiers (CNAM) - Ingénieur européen EUR ING - Responsable d'audit certifié IRCA (International Register of Certificated Auditors) n 1182803 - Directeur fondateur CPI CONSEIL, France

INTRODUCTION

L'information constitue un capital très important pour tout organisme. Elle représente une ressource vitale pour exercer des activités. À ce titre, l'information nécessite la mise en place et la gestion d'une protection adaptée.

La sécurité de l'information a pour objectif de protéger l'information contre les nombreuses menaces qui pèsent sur elle, et peuvent entraîner la dégradation ou l'interruption de la continuité de l'activité de l'organisme. Des mesures doivent être définies, mises en œuvre, suivies, réexaminées et améliorées afin d'atteindre un certain nombre d'objectifs dédiés à la sécurité.

Des processus particuliers doivent être définis et déployés pour y parvenir. Toutefois, ces derniers doivent s'organiser harmonieusement avec les autres processus dans le cadre du système de management global de l'organisme.

Afin de préciser les exigences de sécurité relatives à l'information, un référentiel normatif international a été élaboré. Bien évidemment, il est applicable aux différents systèmes qui traitent l'information.

Le contenu de cet article a été actualisé suite à la dernière version de la norme internationale NF EN ISO/CEI 27001 publiée au mois de décembre 2013.

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-h5070

Lecture en cours
Présentation

Article inclus dans l'offre

"Technologies logicielles Architectures des systèmes"

(236 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

2. Série ISO/CEI 27000

On parle généralement de l'ISO/CEI 27000 pour les technologies de l'information dans la catégorie technique de sécurité. En fait, il s'agit d'une famille qui regroupe principalement huit normes, à savoir :

  • PR NF ISO/CEI 27000 (avant-projet publié en octobre 2013) – Technologies de l'information – Techniques de sécurité – Systèmes de management de la sécurité de l'information – Vue d'ensemble et vocabulaire ;

  • NF ISO/CEI 27001 (publiée en décembre 2013). Elle est l'équivalent français de la norme internationale ISO/IEC 27001 : octobre 2013 et porte le titre Technologies de l'information – Techniques de sécurité – Systèmes de management de la sécurité de l'information – Exigences ;

  • NF ISO/CEI 27002 (publiée en janvier 2014). Elle est l'équivalent français de la norme internationale ISO/IEC 27002 et porte le titre Technologies de l'information – Techniques de sécurité – Code de bonnes pratiques pour le management de la sécurité de l'information ;

  • ISO/CEI 27003 (publiée en février 2010). Cette norme internationale porte le titre Technologies de l'information – Techniques de sécurité – Lignes directrices pour la mise en œuvre du système de management de la sécurité de l'information ;

  • ISO/CEI 27004 (publiée en décembre 2009). Cette norme internationale porte le titre Technologies de l'information – Techniques de sécurité – Management de la sécurité de l'information – Mesurage ;

  • ISO/CEI 27005 (publiée en juin 2011). Cette norme internationale porte le titre Technologies de l'information – Techniques de sécurité – Gestion des risques liés à la sécurité de l'information ;

  • ISO/CEI 27006 (publiée en décembre 2011). Cette norme internationale porte le titre Technologies de l'information – Techniques de sécurité – Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information ;

  • ISO/CEI 27011 (publiée en décembre 2008). Cette norme internationale porte le titre Technologies de l'information – Techniques de sécurité – Lignes directrices pour le management de la sécurité de l'information pour les organismes de télécommunications sur...

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Lecture en cours
Série ISO/CEI 27000

Article inclus dans l'offre

"Technologies logicielles Architectures des systèmes"

(236 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - Sous la direction de PINET (C.) (Groupe des experts qualité du CNAM) -   La qualité du logiciel. Retour d'expériences.  -  AFNOR (1998).

  • (2) - PINET (C.) -   Mise en œuvre de la qualité.  -  Guide du responsable micro, Édition Dunod, Chap. 13 (1998 et mise à jour 2000).

  • (3) - PINET (C.) -   Système d'information : évolution des normes relatives au logiciel dans la mouvance des nouvelles normes ISO 9000.  -  Actes des conférences SISQUAL'99.

  • (4) - PINET (C.) -   Processus d'ingénierie du logiciel. Méthodes et qualité.  -  Pearson Éducation (2002).

  • (5) - PINET (C.) -   10 clés pour réussir sa certification ISO 9001.  -  AFNOR (2006).

  • (6) - PINET (C.) -   10 clés pour la gestion des...

DANS NOS BASES DOCUMENTAIRES

ANNEXES

  1. 1 Outils logiciels
    1. 2 Sites Internet
      1. 3 Normes et standards

        1 Outils logiciels

        Audit diagnostic évaluation système (ADES). Cet outil gère plusieurs grilles de référentiels. Il permet de saisir dans une base de données les constats des audits/évaluations et d'enregistrer des actions d'amélioration. Puis il restitue, sous la forme de rapports, les constats des audits/évaluations enregistrés dans la base de données. Des comparaisons entre deux audits/évaluations permettent d'apprécier les améliorations réalisées. Un diaporama de présentation des fonctionnalités est disponible en téléchargement à l'adresse suivante http://cpi.conseil.free.fr/ADES2/

        Amélioration système (AS). Cet outil permet de saisir dans une base de données des constats résultant des audits ou des réclamations clients. En regard de ces constats, des actions d'amélioration sont créées puis suivies et vérifiées. Un diaporama de présentation des fonctionnalités est disponible en téléchargement à l'adresse suivante :

        HAUT DE PAGE

        2 Sites Internet

        Association française de normalisation (AFNOR) http://www.afnor.fr

        Organisation internationale de normalisation (ISO) http://www.iso.ch

        Commission électronique Internationale (CEI) http://www.iec.ch

        International...

        Logo Techniques de l'Ingenieur

        Cet article est réservé aux abonnés.
        Il vous reste 94 % à découvrir.

        Pour explorer cet article Consulter l'extrait gratuit

        Déjà abonné ?

        Article inclus dans l'offre

        "Technologies logicielles Architectures des systèmes"

        (236 articles)

        Une base complète d’articles

        Actualisée et enrichie d’articles validés par nos comités scientifiques.

        Des contenus enrichis

        Quiz, médias, tableaux, formules, vidéos, etc.

        Des modules pratiques

        Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

        Des avantages inclus

        Un ensemble de services exclusifs en complément des ressources.

        Voir l'offre

        Ressources documentaires

        Cloud Computing - Informatique en nuage

        Le Cloud Computing est une révolution dans la manière d’organiser, de gérer et de distribuer des ...

        Référentiels normatifs - Gestion du cycle de vie du logiciel

        Le logiciel, objet immatériel, existe après avoir été conçu, fabriqué et testé avant d’être ...

        Protocoles SSL/TLS

        Cet article a pour objet la sécurisation des applications de type client-serveur sur Internet. La ...

        NIS2 et ISO/IEC 27001 – Vers une cyberrésilience de l’Union européenne

        L'objet de cet article est d’apporter des précisions sur la directive NIS2, les différences avec la ...

        Tous les livres blancs
        Toutes les actualités
        Toutes les conférences en ligne