Gérer concrètement ses risques avec lISO 27001
Gérer concrètement ses risques avec l'ISO 27001 SMSI Oui Certification ? Peut être 23 octobre 2008 « L’homme honorable commence par appliquer
Gestion des risques en sécurité de l’information
Gestion des risques en sécurité de l’information VI mençant son travail quelques années plus tard, mais de gérer les risques en sécurité de l’information au quotidien Ce changement majeur est imposé par l’approche continue de l’ISO 27001, mais il représente le principal changement par rapport aux méthodes antérieures
de l’information
La série des normes ISO 27001 est là pour répondre et anticiper ces besoins pour la sécurité de l’information dans un cadre global L’ISO 27001 applique à la sécurité des systèmes d’information les principes de la qualité Cela permet de gérer la sécurité dans le temps, ce qui a tant manqué
La norme ISO 27005 - Anne Lupfer
Anne Lupfer est entrée chez HSC avec une expérience de gestion des risques dans l'assurance Elle a créé la formation à la gestion des risques en sécurité chez HSC et et a été une des premières à mettre en oeuvre concrètement la méthode ISO 27005 en clientèle
Norme minimale pour améliorer la résilience informatique
’Organisation internationale de normalisation (ISO) publie L une douzaine de normes de sécurité informatique complé-es connues sous le nom de « famille 2700x » mentair La norme ISO 27001 est la plus connue Elle détaille les exigences pour configurer, installer, assurer la maintenance
Les processus dun SMSI - club-27001fr
L'atteinte des objectifs est principalement liée à la bonne définition et à la formalisation des clauses contractuelles avec les tiers Un SMSI conforme à l'ISO-27001 est vide de sens dans ce contexte, les contrats et les audits des tiers suffisent à rassurer les parties prenantes Solution : ne considérer la mise en place d'un SMSI que sur un
INSTITUTE - Almond
• ISO 22301 Lead Implementer • ITIL V3 / ISO 20000 • COBIT CYBER SÉCURITÉ • ISO 27001 Lead Auditor, Lead Implementer • ISO 27005 Risk Manager • CISSP / CISM TRANSVERSE • PMP • Formation de formateur LA QUALITÉ L’ENGAGEMENT L’EXPERTISE Être un «learner» c’est choisir
Les processus dun SMSI
L'atteinte des objectifs est principalement liée à la bonne définition et à la formalisation des clauses contractuelles avec les tiers Un SMSI conforme à l'ISO-27001 est vide de sens dans ce contexte, les contrats et les audits des tiers suffisent à rassurer les parties prenantes Solution : ne considérer la mise en place d'un SMSI que sur
Une organisation prospère est - BSI Group
l’ensemble de ses parties prenantes et contribue à sa réussite commerciale BSI offre un large éventail de services en matière d’environnement, de santé et de sécurité, proposant par exemple la certification à la norme sur le Management de l’Environnement (ISO 14001) ou sur le Management de l’Énergie (ISO 50001)
CARTOGRAPHIE DU SYSTÈME D’INFORMATION
Concrètement, la cartographie doit permettre de : • réaliser l’inventaire patrimonial du système d’information, à savoir la liste des composants du SI et leur description détaillée ; • présenter le système d’information sous forme de vues, à savoir des représentations partielles du SI, de ses liens et de son fonctionnement
[PDF] PROTOCOLE D ENTENTE ENTRE LES GROUPES D INTÉRÊT ET LE CSRÉ
[PDF] Introduction à la norme ISO 27001. Eric Lachapelle
[PDF] Ce que les femmes enceintes doivent savoir au sujet de la grippe H1N1 (appelée grippe porcine auparavant)
[PDF] Extra en cuisine, concours étudiant, 2016
[PDF] Instruction civique et morale : Vivre et construire ensemble. Les éléments importants liés à la mise en scène
[PDF] Business Intelligence avec Excel, Power BI et Office 365
[PDF] 6.1. PRÉLÈVEMENTS SOCIAUX, COÛT DU TRAVAIL ET COMPÉTITIVITÉ : UNE ANALYSE COMPARÉE DE LA FRANCE ET DES PRINCIPAUX PAYS EUROPÉENS
[PDF] DISPOSITIF ADULTES-RELAIS
[PDF] Résultats provisoires du baccalauréat France métropolitaine et DOM Session de juin 2007
[PDF] 1999 : Première rencontre d un étudiant français avec les enfants des rues
[PDF] Master spécialité «Communication et ressources humaines» : formation par la voie de l apprentissage
[PDF] Management des organisations publiques
[PDF] Date de naissance :... /... /... Lieu de naissance... Adresse :... Code Postal : Ville :... Nom :... Prénom :... Tél. domicile :... Portable :...
[PDF] Montant de retenue et obligation de remboursement
Gestiondes
risques en sécurité de l"information© Groupe Eyrolles, 2008, 2010, ISBN 1Avant-p
La norme ISO 27001 permet d'organiser sereinement la sécurité de son système d'information sous forme d'un système de management de la sécurité de l'infor- mation (SMSI). Cette norme ISO 27001 impose une approche par la gestion des risques, et l'obligation de réaliser une appréciation des risques est une caracté- ristique fondamentale, en opposition avec les approches conformité. L'ISO 27001 précise en un peu plus d'une page ce que doit obligatoirement com- porter une gestion des risques en sécurité de l'information. C'était un peu léger et la norme ISO 27005 est venue combler ce manque en détail, tout en allant plus loin, car l'ISO 27005 s'applique non seulement aux SMSI mais à tout type de situation, de manière autonome, tel un système embarqué, par exemple. De nombreuses méthodologies avaient été développées tant en France qu'ailleurs, et désormais l'ISO 27005 propose une méthode structurée et norma- lisée, une approche qui se définit elle-même dans la norme comme systémati- que, c'est-à-dire une approche répétable, que l'on peut apprendre par une procédure pas à pas. L'ISO 27005 est simple à comprendre - il n'y a aucune notion très complexe, elle utilise un vocabulaire conforme au langage courant et cohérent de bout en bout -, elle est pragmatique et accessible à tout type d'organisme, adaptée à la réalité complexe des sociétés actuelles, et permet de produire un travail exploitable et utile rapidement sans aucune étape irréalisa- ble, même si la précédente n'est pas terminée. La gestion des risques en sécurité de l'information est une approche courante en France, mais pas partout dans le monde. Aux États-Unis, par exemple, il est plus courant de voir une gestion des risques opérationnels d'un côté et une ges- tion des risques purement informatiques de la DSI de l'autre (exemple : RiskIT), et moins une approche globale sécurité de l'information gérée par le RSSI (res- ponsable de la sécurité des systèmes d'information). La méthode ISO 27005 devrait permettre une meilleure compréhension à travers le monde. L'ISO 27005 a fait des choix structurants, comme l'approche par scénario d'incidents, qui la rendent facilement accessibles à ceux qui utilisaient des méthodes françaises comme Mehari ou Ebios, alors que la norme américaine NIST SP 800-30 n'avait pas cette caractéristique. L'ISO 27005 apporte une nouveauté fondamentale par rapport aux méthodes qui l'ont précédées : la gestion des risques dans la durée, dans le temps. Il ne s'agit plus de gérer les risques en y travaillant dur quelques semaines, puis en recom-00-1-Preface.fm Page V Lundi, 30. août 2010 3:41 15
Gestion des risques en sécurité de l"information 12 mençant son travail quelques années plus tard, mais de gérer les risques en sécurité de l'information au quotidien. Ce changement majeur est imposé par l'approche continue de l'ISO 27001, mais il représente le principal changement par rapport aux méthodes antérieures. L'ISO 27005 est également la première méthode qui impose à la direction géné- rale d'être parfaitement informée, et lui impose de prendre ses responsabilités en toute connaissance de cause, ce qui clarifie les responsabilités et facilite les arbitrages budgétaires. L'ISO 27005 est une norme dont l'élaboration a imposé de nombreux brouillons successifs pour obtenir un consensus international. Anne Lupfer m'a suivi et m'a accompagné dans mes lectures et commentaires de ces brouillons au sein de la normalisation. Anne Lupfer est entrée chez HSC avec une expérience de gestion des risques dans l'assurance. Elle a créé la formation à la gestion des risques en sécurité chez HSC et a été l'une des premières à mettre en oeuvre concrètement la méthode ISO 27005 en clientèle. C'est à la fois son expérience sur le terrain et ses échanges avec les stagiaires que nous avons eu le plaisir de préparer à la certification " ISO 27005 Risk Manager » que vous retrouverez dans cet ouvrage. Et comme toutes les normes, l'ISO 27005 est peu didactique, payante de surcroît, et vendue plus chère que ce livre qui offre en plus une partie entière d'exemples concrets.Hervé Schauer
00-1-Preface.fm Page VI Lundi, 30. août 2010 3:41 15
122Avant -tp rvosÀqtp
4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4 6
Ë-qui-sÕadresse-cet-ouvrage-?-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4 6
Structure-de-lÕouvrage-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4 8
Ë-propos-de-lÕauteur- 4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4 9
Remerciements--4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4-4 4