Préparation à la certification ISO 27001

Normes BS 7799, ISO 17799 et ISO 27001 – Préparation à la certification ISO 27001

BS7799 est un code des bonnes pratiques pour la sécurité des systèmes d’information créé par le BSI (British Standard Institute) dans les années 90.
Plusieurs versions ont été élaborées et la dernière est devenue la norme ISO/IEC 17799.
Parallèlement, le BSI a ajouté une seconde partie à sa norme, dite BS 7799-2. Cette seconde partie devrait être acceptée en 2005-2006 comme norme ISO/IEC 27001. La terminologie BS 7799 devrait alors disparaître.

Sécurité des systèmes d’information

Schématiquement, la démarche de sécurisation du système d’information doit passer par 4 étapes de définition :

  1. périmètre à protéger (liste des biens sensibles),
  2. nature des menaces,
  3. impact sur le système d’information,
  4. mesures de protection à mettre en place.

BS 7799-1 et ISO 17799 donnent des exemples et des indications sur les niveaux 1 à 3, mais ne traitent vraiment que le niveau 4 en listant ce qui est nécessaire de mettre en place, sans toutefois préciser en détail comment.
La BS 7799-2 défini les exigences d’un ISMS (Information Security Management System) chargé de gérer et d’améliorer la sécurité du système d’information.
Enfin, pour les étapes préliminaires (définition du périmètre à protéger et analyse des risques), il faut se tourner vers d’autres méthodologies comme MEHARI ou EBIOS.

BS 7799-1 et ISO 17799

BS7799 – Code of practice for information security management est un code des bonnes  pratiques pour la sécurité des systèmes d’information créé par le BSI dans les années 90. La version actuelle est BS 7799-1.
La norme ISO 17799 est directement tirée de la BS 7799-1. C’est une liste détaillée et commentée de mesures de sécurité.
Ce document de référence ne donne pas lieu à des certifications.

Elle comporte dix chapitres :

  • existence d’une politique de sécurité dans l’entreprise,
  • organisation de la sécurité :
    • organisation humaine, implication hiérarchique,
    • notion de propriétaire d’une information et mode de classification,
    • évaluation des nouvelles informations,
    • mode d’accès aux informations par une tierce partie,
    • cas de l’externalisation des informations.
  • classification des informations et procédures de traitement,
  • risques créés par le personnel et mesures de sécurité,
  • risques liés à l’environnement :
    • organisation des locaux et des accès,
    • protection contre les risques physiques (incendies, inondations…)
    • systèmes de surveillance et d’alerte,
    • sécurité des locaux ouverts et des documents circulant.
  • administration de la sécurité :
    • prise en compte de la sécurité dans les procédures de l’entreprise,
    • mise en oeuvre des systèmes de sécurisation (anti-virus, alarmes..),
  • contrôle de l’accès aux informations :
    • définition des niveaux d’utilisateurs et de leur droit d’accès,
    • gestion dans le temps des droits,
  • développement, exploitation et maintenance des systèmes,
  • plan de continuité,
  • audit de contrôle, légalité:

BS 7799-2, ISO 27001, ISMS

BS 7799-2:1999 Specification for information security management systems définit les exigences pour créer un ISMS (Information Security Management System) – en français SMSI (Système de Management de la Sécurité de l’Information), systèmes de gestion de la sécurité des informations.
Elle spécifie les contrôles de sécurité devant être mis en oeuvre et débouche sur une certification.
Elle permet de fournir une preuve de sérieux en terme de sécurité.

Principe de l’amélioration continue : modèle PDCA

Pour garantir que la sécurité reste optimale au fil du temps, la norme BS 7799 utilise le principe de l’amélioration continue suivant le modèle PDCA qui se définit en 4 étapes récurrentes :

  • Plan : planifier,
  • Do : mettre en œuvre,
  • Check : vérifier,
  • Act : améliorer.

En quoi consiste notre service ?

Que vous soyez certifié ou non, notre service ISO 27001 va consister à évaluer votre système de management de la sécurité informatique actuel sous trois angles différents et complémentaires:

  • D’une part, en termes d’efficacité, d’efficience et de performance, notamment pour ce qui concerne les coûts et la cohérence des actions mises en oeuvre pour atteindre vos
    objectifs,
  • D’autre part, en termes d’écarts par rapport aux exigences de la norme,
  • Enfin, en termes de perception par le personnel (participant et bénéficiaire) du système de management.

Sur la base de cette évaluation, des recommandations d’amélioration détaillées vous seront soumises pour préparer leur mise en œuvre.

Comment allons-nous travailler ensemble ?

Nos méthodes d’intervention partent toujours d’une évaluation fine de votre situation actuelle :
Quel est le niveau de performance et de conformité de votre système de management actuel ? Comment le client interne et externe est-il considéré tout au long de vos processus ? Comment est gérée la documentation du système de management de la sécurité informatique ? Vos indicateurs de performance et de maîtrise opérationnel sont-ils fiables et utiles à la prise de décision ?… sont autant de questions fondamentales auxquelles il conviendra de trouver des réponses précises avant de mettre en œuvre les méthodologies Optimum.

Un logiciel d’autoévaluation sera mis en place pour mesurer les écarts de perception, toujours riches d’enseignement, du système de management par les personnels de l’entreprise.

Sur la base des informations recueillies, 3 axes de travail seront mis en place en parallèle débouchant sur une conformité parfaite avec les exigences de la nouvelle norme ISO 27001:

  1. L’optimisation de votre système de management de la sécurité informatique par la mise en place d’un logiciel de gestion documentaire et d’un Intranet de communication
  2. La mise en place d’un dispositif d’écoute et de mesure en continu de la satisfaction de vos clients
  3. La mise en place de tableaux de bord vous garantissant un suivi rigoureux des paramètres fondamentaux

Quels sont les « plus » Optimum ?

  • Une équipe de professionnels aux compétences diversifiées.
  • Une approche pragmatique et participative des systèmes de management.
  • Une volonté d’intégration des systèmes de management.
  • Des méthodologies rigoureuses et originales inspirées des meilleures pratiques internationales.
  • Des logiciels spécifiques permettant d’alléger la collecte et le traitement des données.
  • Des références solides que nous tenons à votre disposition.

Contactez-nous

GENÈVE +41 (0)22 738 13 11

Top