Information Security - Les changements de la nouvelle version ISO 27001:2013

3,443 views
3,334 views

Published on

Digicomp, forte de son expérience dans le domaine, vous invite à une soirée d'information pour vous permettre de comprendre pourquoi, comment et à quelles fins les changements d’ISO 27001:2013 vont affecter les spécialistes de la sécurité informatique et leur métier et vous présenter les nombreux changements de fonds, telle la structure, comme les plus subtils avec la réduction du nombre de points de contrôles.

http://www.digicomp.ch/fr/securite_informatique

Published in: Business

Information Security - Les changements de la nouvelle version ISO 27001:2013

  1. 1. Les Normes ISO 27000 Version 2013 La nouvelle version 2013 de la norme. Différences et nouveautés Stéphane Perroud - Georges Torti Digicomp Romandie SA 14 janvier 2014, Digicomp Lausanne ISO 27000 2013
  2. 2. Stéphane Perroud  Expériences  Consultant en Gouvernance, Audit et Management de la Sécurité des SI  Formateur en Gouvernance, Sécurité et Audit  Auditeur informatique  12 ans développeur J2EE et Web  Certifications        CISSP CISA COBIT Foundation 4.1 & 5 ITIL v3 Foundation ISO 20000 Foundation ISO 27001 Lead Auditor ISO 27005 Risk Manager ISO 27000 2013
  3. 3. Georges Torti  Expériences       Responsable sécurité informatique (au DEFR) 12 ans de direction des systèmes d’information Responsable du développement informatique Chef de projet informatique Support informatique et formation Président ADI (Gouvernance, Projet, Services, Sécurité)  Certifications      CISA (Certified Information System Auditor) CISM (Certified Information Security Manager) Certificat d’Aptitude à la Protection des Données Cobit Foundation 4.1 & 5 ISO 27001 Foundation ISO 27000 2013
  4. 4. Plan de la conférence  Notions de base  Bref rappel historique sur BSI 17799 et ISO 27001:2005  Les changements dans ISO 27001:2013  Les changements dans ISO 27002 :2013  Impacts pour l’entreprise  Questions / Réponses ISO 27000 2013
  5. 5. La sécurité de l’information Notions de base ISO 27000 2013
  6. 6. La sécurité de l’information L’humain Les processus La technique ISO 27000 2013
  7. 7. La sécurité de l’information  Les quatre piliers de la sécurité de l’information : Sécurité de l’Information NonRépudiation Disponibilité Intégrité Confidentialité ISO 27000 2013
  8. 8. Vue d’ensemble Les normes ISO 27000 ISO 27000 2013
  9. 9. Les normes ISO 27000  Famille des normes de sécurité de l’information  Recommandation des meilleures pratiques en management de la sécurité de l’information  S’adresse à tous les types d’organismes  S’intègrent avec les autres normes internationales ISO 27000 2013
  10. 10. Les normes 27000  Avantages  description pratique et détaillée de la mise en œuvre des objectifs et mesures de sécurité  audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises  Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître  Meilleure maîtrise des risques  Une certification qui améliore la confiance avec les parties prenantes  Homogénéisation : c’est un référentiel international. Cela facilite les échanges ISO 27000 2013
  11. 11. Vue d’ensemble des normes ISO 27000 Exigences ISO 27001 SMSI ISO 27006 Audit de SMSI Guides ISO 27000 Vocabulaire ISO 27004 Métriques ISO 27002 Mesures BSI 17799 ISO 27005 Analyse risques ISO 27000 2013 ISO 27003 Implémentation Secteurs ISO 27034 Sécurité des Applications
  12. 12. Vue d’ensemble des normes ISO 27000 Norme Titre ISO/IEC 27000 Vue d'ensemble et vocabulaire ISO/IEC 27001 SMSI - Exigences ISO/IEC 27002 Code de bonne pratique ISO/IEC 27003 Lignes directrices pour la mise en œuvre du SMSI ISO/IEC 27004 Mesurage ISO/IEC 27005 Gestion des risques liés à la sécurité de l’information ISO/IEC 27006 Exigences pour les organismes procédant à l'audit et à la certification ISO/IEC 27007 Lignes directrices pour l'audit du SMSI ISO/IEC 27008 Lignes directrices pour les auditeurs des contrôles ISO/IEC 27010 LD - Communications intersectorielles/interorganisationnelles ISO/IEC 27011 LD - Organismes de télécommunications ISO 27000 2013
  13. 13. Vue d’ensemble des normes ISO 27000 Norme Titre ISO/IEC 27013 LD - Mise en œuvre intégrée d'ISO 27001 et ISO 20000 ISO/IEC 27014 Gouvernance de la sécurité de l'information ISO/IEC 27015 LD - Management de la sécurité de l'information pour les services financiers ISO/IEC 27031 LD - Préparation des TIC pour la continuité d'activité ISO/IEC 27032 LD - Cybersécurité ISO/IEC 27033 LD - Sécurité de réseau ISO/IEC 27034 LD - Sécurité des applications ISO/IEC 27035 LD - Gestion des incidents de sécurité ISO/IEC 27037 LD - Identification, la collecte, l'acquisition et la préservation de preuves numériques ISO/IEC 27799 Management de la sécurité de l'information relative à la santé en utilisant l'ISO 27002 ISO 27000 2013
  14. 14. Bref historique BSI 17799 ISO 27001 ISO 27002 ISO 27000 2013
  15. 15. Historique  En 1995, le standard britannique "BS 7799" créé par BSI définit des mesures de sécurité détaillées  En 1998, le BSI introduit le SMSI  En 2000, ISO édite la norme ISO/CEI 17799:2000 (codes des bonnes pratiques issues de la BS 7799)  En 2005, deux normes sont éditées :  ISO/CEI 17799:2005 qui remanie les domaines et objectifs  ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la possibilité de certification  En 2007, ISO 27002 remplace ISO/CEI 17799  En 2013, ISO révise les norme ISO/CEI 27001:2013 et ISO/CEI 27002:2013 ISO 27000 2013
  16. 16. Les changements ISO 27001:2013 ISO 27000 2013
  17. 17. ISO 27001 ISO 27000 2013
  18. 18. Contrôles obligatoires ISO 27000 2013
  19. 19. Les changements ISO 27002:2013 ISO 27000 2013
  20. 20. Les changements ISO27002  114 mesures dans 14 domaines (Version 2005 : 133 mesures dans 11 domaines)               A.5: Information security policies A.6: Organization of information security A.7: Human resources security A.8: Asset management A.9: Access control A.10: Cryptography A.11: Physical and environmental security A.12: Operations security A.13: Communication security A.14: System acquisition, development, and maintenance A.15: Supplier relationships A.16: Information security Incident management A.17: Information security aspects of business continuity management A.18: Compliance ISO 27000 2013
  21. 21. Les changements ISO27002  Réorganisation / déplacement de mesures Mesures 2005 2013 Mobile/Télétravail Access control Organization of info sec Gestion médias Communication Asset Gestion clés Cryptography Acquisition/Dev …  Nouvelles mesures  Suppression de mesures ISO 27000 2013
  22. 22. Nouvelles mesures ISO 27002:2013            Information security in project management Restrictions on software installation Secure development policy Secure system engineering principles Secure development environment System security testinging Information security policy for supplier relationships Information and communication technology supply chain Assessment and decision on information security events Response to information security incidents Availability of information processing facilities ISO 27000 2013
  23. 23. Mesures supprimées (1)            Management commitment to information security Information security coordination Authorisation process for information processing facilities Identification of risks related to external parties Addressing security when dealing with customers Security of system documentation Business Information Systems User authentication for external connections Equipment identification in networks Remote Diagnostic and configuration port protection Network Connection control ISO 27000 2013
  24. 24. Mesures supprimées (2)          Network routing control Sensitive system isolation Input data validation Control of internal processing Message integrity Output data validation Information leakage Prevention of misuse of information processing facilities Protection of information systems audit tools ISO 27000 2013
  25. 25. Impacts pour l’entreprise Certifications Implémentation Formation ISO 27000 2013
  26. 26. Certification  Impact sur l’interprétation de la norme et le déploiement du système de gestion de la sécurité de l’information des organisations  Majorité de la norme reste la même. Important de comprendre les changements et d’assurer la conformité du système d’information à la nouvelle norme pour les futurs audits  Période transitoire de 2 ans accordée aux organisations certifiées pour se conformer à la nouvelle version ISO 27000 2013
  27. 27. Implémentation  Commencer par une analyse d’écart entre le SMSI existant et la nouvelle version  Lancer les initiatives de mise à jour du SMSI  Changements significatifs     Politique Appréciation des risques Déclaration d’applicabilité (Annexe A) Identification des problèmes ISO 27000 2013
  28. 28. Formation  Digicomp vous propose, à partir de janvier 2014, des cours et des certifications internationales en phase avec la nouvelle version du standard :  ISO/IEC 27001 Lead Auditor  ISO/IEC 27001 Lead Implementer www.digicomp.ch/fr ISO 27000 2013
  29. 29. Questions / Réponses ISO 27000 2013
  30. 30. Informations et contacts  Plus d’informations :  Retrouvez nous sur : http://www.digicomp.ch/fr/ securite_informatique Facebook Twitter Google + Slideshare ISO 27000 2013
  31. 31. Merci de votre attention! Stéphane Perroud - Georges Torti Digicomp Academy Suisse Romande SA Tél. 021 321 65 00 E-Mail: romandie@digicomp.ch ISO 27000 2013
  32. 32. ISO 27001 Annexe A ISO 27000 2013
  33. 33. ISO 27002 ISO 27000 2013

×