Академический Документы
Профессиональный Документы
Культура Документы
Formateur
Jennifer GODIN
Formatrice agre par LSTI, Consultante Lead Auditor ISO /IEC 27001 :2005
certifie par BSI
38 ans, ingnieur diplme de LEISTI (Ecole Internationale des Sciences du
Traitement de linformation), spcialise en Conseil aux Entreprises.
Ancienne Auditrice Informatique chez Arthur Andersen.
Ancienne Consultante Scurit chez XS Ple Scurit du Groupe Lexsi.
Ancienne Associe de la socit BYWARD et responsable de lAgence de Lyon.
Fondatrice et grante de la socit ENIGMA Services.
Ralisation depuis plus de 10 ans, de missions daudit, de conseil et de
formation en France et ltranger, pour des grands comptes et entreprises de
tout secteur dactivit.
Appartenance au Groupe de Coordination AFNOR Scurit des Systmes
d'Information .
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
Thmes de la prsentation
Prsentation dune dmarche de certification rpondant :
Pourquoi dvelopper un ISMS sur le modle ISO/IEC 27001 ?
Que gagne-t-on mettre en uvre un ISMS?
Pourquoi mettre en uvre la norme et viser la certification ?
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
sommaire
section 1
section 2
Les notions et principes de lISO 27001
Pourquoi dvelopper un ISMS sur le modle ISO/IEC 27001 ?
section 3
Limplmentation de lISMS
Que gagne-t-on mettre en uvre un ISMS?
section 4
Lorganisation de la scurit et du projet ISMS
Pourquoi mettre en uvre la norme et viser la certification ?
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
LA SCURIT DE LINFORMATION ET
SES ENJEUX
ENIGMA Services
5
ISO 27001 27003/ Mars 2012/ J. Godin
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
Conclusions
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
10
ENIGMA Services
11
ISO 27001 27003/ Mars 2012/ J. Godin
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
12
ISO 27001:2005
Systme de gestion de la Scurit de l'Information
Exigences
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
13
La collection ISO27000
27000 : Principes et vocabulaire
270
00
270
01
270
07
27002 : 17799
270
02
Collection
27000
270
06
27007 : Certification
270
03
270
05
270
04
ENIGMA Services
14
ISO 27001 27003/ Mars 2012/ J. Godin
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
15
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
16
Act
Plan
Agir
Planifier
Check
Do
Contrler
Dployer
17
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
18
ENIGMA Services
19
ISO 27001 27003/ Mars 2012/ J. Godin
20
21
LIMPLMENTATION DU SMSI
ENIGMA Services
22
ISO 27001 27003/ Mars 2012/ J. Godin
Le cadre de limplmentation
Le guide ISO 27003 (WD)
Pour chaque phase PDCA :
Prsentation globale
Objectifs
Pr-requis
Organisation du travail
Qui impliquer ?
Comment faire ?
Rsultats
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
23
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
24
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
25
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
26
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
27
Attribution des
responsabilits
Analyse du
politique SMSI
risque
Amlioration
continue
Implmentation SMSI
Surveillance, r
examen et
maintenance
Implmentation
Formation et sensibilisation
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
28
Primtres et
limites SMSI
Check
Politique SMSI
Revue
managriale
du SMSI 3
Plan
Elaborer le
SMSI 1
Exigences
pour la
protection
de
lorganisme
Vulnrabilits
Evolutions ou
changements
fondamentaux ou tendus
Management du
protocole
CHECK
PLAN
ACT
SMSI amlior
en
fonctionnement
DO
Dclaration
dapplicabilit
Systmes de
Management pr
existants
Mesures
pertinentes
Do
Check
Implmenter
Surveiller,
mesurer et
auditer le
SMSI 3
Et faire
fonctionner le
SMSI 2
SMSI en
fonctionnment
Revue (re
examen)
Act
Maintenir et
amliorer
le SMSI 4
Changements
ncessaires
Amliorations
dployes
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
29
LISMS (clause 4)
Act
Plan
Agir
Planifier
Check
Do
Contrler
Dployer
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
30
Phase Plan
Actions
Act
Plan
Agir
Planifier
Check
Do
Contrler
Dployer
Dfinir le primtre
Dfinir la politique SMSI
Dfinir une mthodologie danalyse de
risques et raliser leur valuation
Obtenir lapprobation de la direction
Prparer une dclaration dapplicabilit
(SOA)
Responsabilits
Le RSSI
Le comit SMSI
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
31
Phase Do
Actions
Act
Plan
Agir
Planifier
Check
Do
Contrler
Dployer
Matriser la politique
Implmenter lISMS
Appliquer les procdures
Respecter les exigences de scurit
Responsabilits
Chaque manager
Chaque collaborateur
Le comit ISMS
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
32
Phase Check
Actions
Act
Plan
Agir
Planifier
Check
Do
Contrler
Dployer
Responsabilits
Chaque collaborateur
Le comit ISMS
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
33
Phase Act
Actions
Act
Plan
Agir
Planifier
Check
Do
Contrler
Dployer
Responsabilits
Le comit ISMS
Chaque manager
Chaque collaborateur
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
34
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
35
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
36
37
38
39
40
41
LIMPLMENTATION DU SMSI
Que gagne-t-on mettre en uvre un
SMSI?
ENIGMA Services
42
ISO 27001 27003/ Mars 2012/ J. Godin
Avantages
Organisationnels
Avantages
Rglementaires
Performance au
quotidien
Avantages
Oprationnels
Prvention des
risques
Image &
concurrence
Baisse de la
sinistralit
Avantages
financiers
Enjeux business
43
ENIGMA Services
43
ISO 27001 27003/ Mars 2012/ J. Godin
Avantages organisationnels
Permettre d'attester d'un niveau de scurit et de
dmontrer l'efficacit des efforts dploys pour
scuriser le SI de l'entreprise
Formaliser un langage commun au sein de la socit
et les indicateurs de suivi associs
Favoriser l'appropriation de la scurit au quotidien
pour les diffrentes directions de la socit grce aux
formations et ateliers de sensibilisation
Favoriser une meilleure protection de linformation
confidentielle de lentreprise
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
44
45
Avantages oprationnels
Principe d'amlioration continue applique la gestion
du SI
=>amlioration de la productivit, diminution des
incidents
Gestion des risques: obtention d'une meilleure
connaissance des systmes d'informations, de leurs
failles et des moyens de protection. Assure galement
une meilleure disponibilit des matriels et des
donnes
Impose d'identifier et de classifier linformation selon
sa criticit et de dlivrer les droits daccs adquats
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
46
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
47
Avantages rglementaires
La certification permet de dmontrer aux
autorits comptentes que l'organisation observe
toutes les lois et rglementations applicables
Ncessite la slection et mise en uvre d'une
mthodologie de gestion du risque qui peut tre
exige par une loi ou rglementation
Entrane une mise en conformit avec les lois sur
les informations personnelles
Permet de faire pression sur des socits tierces /
surs pour qu'elles alignent leurs pratiques
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
48
Image et concurrence
Crdibilit et confiance : Votre tablissement
peut communiquer auprs des partenaires, des
clients, des diffrentes entits du Groupe sur
l'importance que l'organisation accorde la
protection de l'information.
=> Gains de parts de march, amlioration de la
qualit de service, de l'image de marque, de la
confiance du client
La certification est applicable un fournisseur,
mme sur un primtre restreint, mais critique
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
49
50
Avantages financiers
Baisse des cots lis aux incidents et possibilit de
diminution des primes d'assurance.
Baisse des cots de dveloppement et de
maintenance (approche anticipative plutt que
corrective)
Diminution des audits demands par les partenaires et
clients.
Des clients ou partenaires potentiels peuvent revoir
la baisse leurs demandes de descriptions des mesures
de scurit.
Les quipes internes d'audit et de rvision
bnficieront d'une documentation de qualit
permettant de raliser les audits dans de meilleures
conditions d'efficacit.
Notion de retour sur investissement de scurit
(ROSI). Indicateurs : performance, analyse de risque,
incidents, enjeux mtier,
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
51
LORGANISATION DE LA SCURIT ET DU
PROJET DE CERTIFICATION ISO 27001
ENIGMA Services
52
ISO 27001 27003/ Mars 2012/ J. Godin
Primtre
Direction
gnrale
Direction des
projets
Direction
administrative et
financire
Direction des
oprations
Direction
commerciale
Direction tudes
et mthodes
Direction
marketing et
communication
Direction des
ressources
humaines
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
53
Comit de direction
Promouvoir la dmarche
Piloter/raliser le PTR
Implmenter et dployer le SMSI
Mettre en place un rfrentiel documentaire SMSI
Informer le manager SMSI de tout dysfonctionnement
ou risque
Tenir des runions priodiques du comit projet ISMS
Remonter les propositions pour validation au Comit
Dcisionnel SMSI tenu lors des comits de direction
ENIGMA Services
54
ISO 27001 27003/ Mars 2012/ J. Godin
ENIGMA Services
55
ISO 27001 27003/ Mars 2012/ J. Godin
ENIGMA Services
56
ISO 27001 27003/ Mars 2012/ J. Godin
LORGANISATION DE LA SCURIT ET DU
PROJET DE CERTIFICATION ISO 27001
Pourquoi mettre en uvre la norme et
viser la certification?
ENIGMA Services
57
ISO 27001 27003/ Mars 2012/ J. Godin
ENIGMA Services
58
ISO 27001 27003/ Mars 2012/ J. Godin
ENIGMA Services
59
ISO 27001 27003/ Mars 2012/ J. Godin
Nous contacter
Votre interlocutrice:
ENIGMA Services
Jennifer GODIN
Directrice
Lead Auditor ISO 27001 & IS Risk Manager ISO 27005
GSM:
E-mail:
06 11 70 22 56
jennifer.godin@enigma-services.fr
Sige social
635 rue des corriaux
62136 LESTREM
www.enigma-services.fr
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin
60