ENIGMA Services

Dmarche de certification dun Systme de

Management de la Scurit de lInformation

Rfrence: ISO27001-27003_Dmarche de certification

Mars 2012 - J.GODIN

Formateur
Jennifer GODIN
Formatrice agre par LSTI, Consultante Lead Auditor ISO /IEC 27001 :2005
certifie par BSI
38 ans, ingnieur diplme de LEISTI (Ecole Internationale des Sciences du
Traitement de linformation), spcialise en Conseil aux Entreprises.
Ancienne Auditrice Informatique chez Arthur Andersen.
Ancienne Consultante Scurit chez XS Ple Scurit du Groupe Lexsi.
Ancienne Associe de la socit BYWARD et responsable de lAgence de Lyon.
Fondatrice et grante de la socit ENIGMA Services.
Ralisation depuis plus de 10 ans, de missions daudit, de conseil et de
formation en France et ltranger, pour des grands comptes et entreprises de
tout secteur dactivit.
Appartenance au Groupe de Coordination AFNOR Scurit des Systmes
d'Information .

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

Thmes de la prsentation
Prsentation dune dmarche de certification rpondant :
Pourquoi dvelopper un ISMS sur le modle ISO/IEC 27001 ?
Que gagne-t-on mettre en uvre un ISMS?
Pourquoi mettre en uvre la norme et viser la certification ?

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

sommaire
section 1

La scurit de linformation et ses enjeux

section 2
Les notions et principes de lISO 27001
Pourquoi dvelopper un ISMS sur le modle ISO/IEC 27001 ?
section 3
Limplmentation de lISMS
Que gagne-t-on mettre en uvre un ISMS?
section 4
Lorganisation de la scurit et du projet ISMS
Pourquoi mettre en uvre la norme et viser la certification ?

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

LA SCURIT DE LINFORMATION ET
SES ENJEUX

ENIGMA Services

5
ISO 27001 27003/ Mars 2012/ J. Godin

La scurit de linformation et ses enjeux

Quest-ce que linformation?
Elle est un actif qui, comme dautres actifs business importants a de la valeur
pour une organisation et doit donc, en consquence, tre protge de
manire adquate.
Elle peut tre de diffrente nature: manuscrite ou imprime, numrique,
transmise par courrier ou courriel, diffuse par vido confrence, verbale.
Quelque soit la forme des informations, ou les moyens de partage ou de stockage,
l'information doit toujours tre correctement protge.
(ISO 17799:2005)

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

La scurit de linformation et ses enjeux

La protection de linformation se dfinit suivant ces critres de scurit:
Disponibilit: assurer que le systme dinformation est en toute
situation actif et oprant
Intgrit: assurer que les actifs ne sont pas corrompus
Confidentialit: assurer que linformation nest accessible quaux
individus, entits ou processus qui y sont autoriss.
Preuve: assurer que les actions ralises sont conserves afin
dtre en mesure dapporter la certitude de leur ralisation et leur
imputabilit

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

La scurit de linformation et ses enjeux

Les risques et menaces pour linformation
A tous les niveaux de l'exploitation (stockage, traitement et flux) les critres de
scurit de la donne sont menacs:
Malveillance: vol, sabotage matriel, fraude, intrusion, virus, indiscrtion,
divulgation, copie illicite
Accidents: incendie, dgt des eaux, pannes, vnement naturel,
catastrophe, lectricit, transmission
Erreurs: erreur dutilisation, erreur de conception.

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

La scurit de linformation et ses enjeux

Panorama cyber criminalit 2006

En 2006, les professionnels de lattaque Informatique :

Ne construisent plus de virus diffusion massive,
Visent le portefeuille ou un maximum de cibles vulnrables,
Ciblent et dmontent mthodiquement les environnements viss,
Lancent des attaques discrtes et violentes pour tre efficaces.

Conclusions

Les menaces voluent, lexpertise et le nombre des attaquants se dveloppent

La recherche de faille sest automatise et systmatise (fuzzers)
Le risque de fraude financire ou dune compromission de donne et bien plus important quil y a 5
ans
La menace est devenue plus pernicieuse : beaucoup plus discrte, et beaucoup plus puissante

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

La scurit de linformation et ses enjeux

En rsum,
La scurit de l'Information protge l'information d'un grand nombre
de menaces dans le but d'assurer la continuit des activits, minimiser
les dommages pour lactivit, optimiser le retour sur investissement et
permettre de saisir les opportunits dactivit.
Votre tablissement doit tablir ses propres exigences en termes de
contrle et de niveau de confidentialit, d'intgrit, de disponibilit et
de preuve; et fournir les moyens ncessaires pour les mettre en uvre
et les amliorer.
Un projet de mise en uvre dun systme de management de la
Scurit de linformation avec une certification ISO 27001 doit
permettre datteindre ces objectifs.

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

10

LES NOTIONS ET PRINCIPES DE LISO

27001

ENIGMA Services

11
ISO 27001 27003/ Mars 2012/ J. Godin

Les normes ISO

ISO : International Standard Organization
Des rfrences connues de tous
ISO9000 : Systme de Management de la Qualit
ISO14000 : Systme de Management Environnemental
Et
ISO27001 : Systme de Management de la Scurit de lInformation (ISMS)

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

12

Lhistorique de la norme ISO 27001

ISO 17799:2005
Code de bonnes pratiques pour la gestion du
systme d'Information
+
BS7799-2
Systme de gestion de la Scurit de lInformation

ISO 27001:2005
Systme de gestion de la Scurit de l'Information
Exigences
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

13

La collection ISO27000
27000 : Principes et vocabulaire

270
00

27001 : Exigences ISMS

270
01

270
07

27002 : 17799

27003 : Guide dimplmentation

27004 : Mtrique et mesure

270
02

Collection
27000

270
06

27005 : Risk Management

27006 : Continuit dactivit

27007 : Certification

270
03

270
05
270
04

ENIGMA Services

14
ISO 27001 27003/ Mars 2012/ J. Godin

Le contenu de lISO 27001:2005

SMSI (clause 4)
Exigences gnrales
tablissement et management de lISMS
Exigences relatives la documentation
Responsabilit de la direction (clause 5)
Implication de la direction
Management des ressources (mise disposition; formation,
sensibilisation et comptence)
Audits internes du SMSI (clause 6)
Revue de direction du SMSI (clause 7)
Amlioration du SMSI (clause 8)
Objectifs et mesures de scurit (Annexe A) (*)
(*) : Annexe A normative = ISO 17799:2005

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

15

Le contenu de lannexe A de lISO

27001:2005

Politique de scurit (A5)

Organisation de la scurit de linformation (A6)
Gestion des biens (A7)
Scurit lie aux ressources humaines (A8)
Scurit physique et environnementale (A9)
Gestion de lexploitation et des tlcommunications (A10)
Contrle daccs (A11)
Acquisition, dveloppement et maintenance des systmes (A12)
Gestion des incidents lis la scurit de linformation (A13)
Gestion du plan de continuit de lactivit (A14)
Conformit (A15)

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

16

La dmarche ISO 27001: PDCA

Act

Plan

Agir

Planifier

Check

Do

Contrler

Dployer

Amlioration continue de la scurit de linformation

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

17

Lobjectif de lISO 27001

La mise en place dun Systme de
Management de la Scurit de lInformation
(ISMS) permettant de sassurer que la
disponibilit, lintgrit, la confidentialit et la
traabilit des informations traites par votre
tablissement sont prises en compte, suivies
et garanties.

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

18

LES PRINCIPES DE LISO 27001

Pourquoi dvelopper un Systme de
Mangement sur le modle ISO/CEI
27001:2005?

ENIGMA Services

19
ISO 27001 27003/ Mars 2012/ J. Godin

Pourquoi dvelopper un Systme de

Management sur le modle ISO/IEC 27001 ?
Pour garantir que la politique de scurit mise
en uvre soit adapte aux enjeux et aux
risques rels et donc garantir la justesse des
investissements.
Pour formaliser vos exigences de scurit vis-vis de vos sous traitants et partenaires.
Pour adopter un langage commun travers un
groupe et linternational.
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

20

Pourquoi dvelopper un Systme de

Management sur le modle ISO/IEC 27001 ?
(suite)
Pour s'inscrire dans une dmarche de
gouvernance.
Pour instaurer une scurit durable aligne sur
les objectifs mtiers.
Pour rationaliser les processus existants.
Pour la synergie avec les autres Systmes de
Management.
Etc.
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

21

LIMPLMENTATION DU SMSI

ENIGMA Services

22
ISO 27001 27003/ Mars 2012/ J. Godin

Le cadre de limplmentation
Le guide ISO 27003 (WD)
Pour chaque phase PDCA :

Prsentation globale
Objectifs
Pr-requis
Organisation du travail
Qui impliquer ?
Comment faire ?
Rsultats

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

23

Les facteurs clefs de succs

Engagement managrial
Revue (rexamen) priodique et plan daction reliant la russite du SMSI au
mtier
Surveillance et approbation du SMSI par le management
Budget identifi pour limplmentation du SMSI
Cration dun comit Scurit
Rexamen du risque rsiduel
Mise disposition de ressources organisationnelles et humaines adquates
pour limplmentation

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

24

Les facteurs clefs de succs

Gouvernance

Dfinition des responsabilits pour la scurit de linformation

Intgration de la scurit de linformation
Management et maintien de la scurit de linformation
Dfinition dobjectifs atteignables
Analyse de la rentabilit de la scurit de linformation

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

25

Les facteurs clefs de succs

Aspects financiers
Avoir un mcanisme en place pour surveiller :
Le retour sur Investissement du SMSI
Le cot induit dans le cas de non atteinte de la stratgie de scurit
pour le mtier ou dans le cas dincapacit maintenir le SMSI

Prise en compte des considrations

spcifiques par secteur professionnel
Environnement rglementaire, standards et directives sectoriels

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

26

Les facteurs clefs de succs

Gestion du risque
Identification du besoin dvolution ou de
mise jour du SMSI
Coopration lintrieur de lorganisation et
avec les autres organisations
Synergie avec les rfrentiels existants
Liaisons transverses et critres de succs relatifs au SMSI
Assurer que les exigences de scurit soient en phase avec les attentes des
actionnaires
Architecture documentaire du SMSI

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

27

La roadmap de limplmentation du SMSI

Identification du
primtre

Attribution des
responsabilits

Analyse du

politique SMSI

risque
Amlioration
continue
Implmentation SMSI

Surveillance, r
examen et
maintenance

Slection des objectifs et

mesures de contrle

Implmentation

Objectifs et mesures de contrle

Management de la Continuit dActivit

Formation et sensibilisation

Gestion des incidents

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

28

Diagramme des flux (Plan-Do-Check-Act)

Primtres et
limites SMSI

Check

Politique SMSI

Revue
managriale
du SMSI 3

Plan
Elaborer le
SMSI 1
Exigences
pour la
protection
de
lorganisme

Vulnrabilits

Evolutions ou
changements
fondamentaux ou tendus

Management du
protocole

CHECK

PLAN

ACT

SMSI amlior
en
fonctionnement

DO
Dclaration
dapplicabilit

Systmes de
Management pr
existants

Mesures
pertinentes

Do

Check

Implmenter

Surveiller,
mesurer et
auditer le
SMSI 3

Et faire
fonctionner le
SMSI 2

SMSI en
fonctionnment

Revue (re
examen)

Act
Maintenir et
amliorer

le SMSI 4
Changements
ncessaires

Amliorations
dployes

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

29

LISMS (clause 4)

Dfinir lISMS (4.2.1)

Mettre en uvre et exploiter lISMS (4.2.2)

Superviser et revoir lISMS (4.2.3)

Maintenir et Amliorer (4.2.4)

Matriser les exigences documentaires (4.3)

Act

Plan

Agir

Planifier

Check

Do

Contrler

Dployer

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

30

Phase Plan
Actions
Act

Plan

Agir

Planifier

Check

Do

Contrler

Dployer

Dfinir le primtre
Dfinir la politique SMSI
Dfinir une mthodologie danalyse de
risques et raliser leur valuation
Obtenir lapprobation de la direction
Prparer une dclaration dapplicabilit
(SOA)

Responsabilits
Le RSSI
Le comit SMSI
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

31

Phase Do
Actions

Act

Plan

Agir

Planifier

Check

Do

Contrler

Dployer

Matriser la politique
Implmenter lISMS
Appliquer les procdures
Respecter les exigences de scurit

Responsabilits
Chaque manager
Chaque collaborateur
Le comit ISMS

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

32

Phase Check
Actions
Act

Plan

Agir

Planifier

Check

Do

Contrler

Dployer

Signaler les incidents et failles de scurit

Contrler lefficacit de lISMS
Conduire des audits

Responsabilits
Chaque collaborateur
Le comit ISMS

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

33

Phase Act
Actions
Act

Plan

Agir

Planifier

Check

Do

Contrler

Dployer

Mettre en uvre les amliorations

Corriger les carts
Communiquer aux parties concernes
Vrifier latteinte des objectifs fixs

Responsabilits
Le comit ISMS
Chaque manager
Chaque collaborateur

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

34

Matriser les exigences documentaires

Formaliser la documentation du SMSI (Politique, SOA,..)
Etablir une procdure documente pour:
Approuver les documents avant diffusion
Mettre jour les documents
Assurer le suivi et le statut des modifications
Assurer la disponibilit des versions pertinentes
Assurer la maitrise de la diffusion.
Assurer la stockage et la destruction conformment leur niveau de
classification
Matriser les enregistrements (preuves, conservation, )

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

35

Responsabilits de la direction (clause 5)

La direction doit fournir la preuve de son
implication par :

Ltablissement dune politique SMSI;

L assurance que des objectifs et des plans sont tablis;
La dfinition de rles et de responsabilits;
La sensibilisation de lorganisme au projet; ses responsabilits et aux lois.
La fourniture de ressources suffisantes;
La dtermination des critres dacceptation des risques;
Lacceptation des niveaux de risques acceptables.
Lassurance que les audits internes sont raliss.
La ralisation des revues de directions.

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

36

Responsabilits de la direction (clause 5)

La direction doit assurer la mise disposition
des ressources pour :
tablir, implmenter, exploiter, surveiller, revoir, maintenir et amliorer
lISMS;
assurer que les procdures de scurit de linformation supportent les
exigences mtier;
identifier et prendre en compte les exigences lgales et rglementaires et
les obligations contractuelles;
maintenir une scurit adapte par lapplication correcte des mesures
implmentes;
mener les revues si ncessaire, et ragir de faon approprie aux rsultats
de ces revues;
amliorer lefficacit du SMSI si ncessaire.
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

37

Audits Internes du SMSI (clause 6)

Rdaction dune procdure
documente

Planification du programme daudits

internes

Ralisation des audits internes

Plan dactions correctives
Suivi et vrification des actions
correctives
27/03/2012
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

38

Revue de direction de lISMS (clause 7)

lments dentre:
Rsultats des audits SMSI et des revues
Retour des parties concernes
Techniques, produits et procdures qui pourraient tre
utiliss
Statut des actions prventives et correctives
Vulnrabilits ou menaces qui nont pas t
correctement adresses dans lanalyse de risques
prcdente;
Rsultats des mesures defficacit:
Suivi des actions
Tout nouveau changement qui pourrait affecter le SMSI
Recommandations damliorations
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

39

Revue de direction de lISMS (clause 7)

lments de sortie:
Dcisions et actions lies :
Lamlioration de lefficacit du SMSI;
La mise jour de lvaluation et du plan de traitement du
risque;
Les modifications des procdures et mesures qui
affectent la scurit de linformation, faisant suite des
volutions (exigences mtiers, scurit, processus mtier,
lgales et rglementaires, contractuelles critres
dacceptation du risque,..)
Besoin en ressource
Amlioration sur la faon de mesurer lefficacit des
mesures.
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

40

Amlioration de lISMS (clause 8)

8.1 Amlioration continue
8.2 Actions correctives
8.3 Actions prventives
= procdure documente.
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

41

LIMPLMENTATION DU SMSI
Que gagne-t-on mettre en uvre un
SMSI?

ENIGMA Services

42
ISO 27001 27003/ Mars 2012/ J. Godin

Avantages de la mise en uvre dun ISMS

Avantages
Organisationnels

Avantages
Rglementaires

Performance au
quotidien

Avantages
Oprationnels

Prvention des
risques

Image &
concurrence

Baisse de la
sinistralit

Avantages
financiers

Enjeux business

43

ENIGMA Services

43
ISO 27001 27003/ Mars 2012/ J. Godin

Avantages organisationnels
Permettre d'attester d'un niveau de scurit et de
dmontrer l'efficacit des efforts dploys pour
scuriser le SI de l'entreprise
Formaliser un langage commun au sein de la socit
et les indicateurs de suivi associs
Favoriser l'appropriation de la scurit au quotidien
pour les diffrentes directions de la socit grce aux
formations et ateliers de sensibilisation
Favoriser une meilleure protection de linformation
confidentielle de lentreprise
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

44

Avantages organisationnels (suite)

Aborder le management de la scurit comme un
processus continu et transversal permettant de
traiter de manire systmatique les demandes
des clients et les requtes des mtiers en interne
Permettre de limiter le nombre d'audits externes
: la certification 27001 et le processus d'audit
interne rcurrent qui en dcoule rduit les
besoins d'audits externes vis vis des diffrentes
composantes du SI
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

45

Avantages oprationnels
Principe d'amlioration continue applique la gestion
du SI
=>amlioration de la productivit, diminution des
incidents
Gestion des risques: obtention d'une meilleure
connaissance des systmes d'informations, de leurs
failles et des moyens de protection. Assure galement
une meilleure disponibilit des matriels et des
donnes
Impose d'identifier et de classifier linformation selon
sa criticit et de dlivrer les droits daccs adquats
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

46

Avantages oprationnels (suite)

Mise en uvre d'une mthode d'analyse et de suivi
des risques tous les niveaux oprationnels : depuis
les spcifications et le dveloppement jusqu' la
mise en uvre et le suivi en production
Suivi prcis des incidents et des solutions apportes
Complmentarit avec la dmarche ITIL
Limite les consquences d'une attaque
Facilite la continuit ou la reprise des activits en cas
de sinistre majeur

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

47

Avantages rglementaires
La certification permet de dmontrer aux
autorits comptentes que l'organisation observe
toutes les lois et rglementations applicables
Ncessite la slection et mise en uvre d'une
mthodologie de gestion du risque qui peut tre
exige par une loi ou rglementation
Entrane une mise en conformit avec les lois sur
les informations personnelles
Permet de faire pression sur des socits tierces /
surs pour qu'elles alignent leurs pratiques
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

48

Image et concurrence
Crdibilit et confiance : Votre tablissement
peut communiquer auprs des partenaires, des
clients, des diffrentes entits du Groupe sur
l'importance que l'organisation accorde la
protection de l'information.
=> Gains de parts de march, amlioration de la
qualit de service, de l'image de marque, de la
confiance du client
La certification est applicable un fournisseur,
mme sur un primtre restreint, mais critique
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

49

Image et concurrence (suite)

Facteur diffrenciateur vis--vis de la concurrence :
Aujourd'hui, peu dentreprises sont certifies
Dans un appel doffres o les entreprises en
concurrence ont des propositions trs proches les
unes des autres, un certificat 27001 sera un atout
significatif
Dans le cadre de publications d'tudes comparatives
sur un secteur mtier, votre tablissement se
dmarquera en tant que structure certifie
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

50

Avantages financiers
Baisse des cots lis aux incidents et possibilit de
diminution des primes d'assurance.
Baisse des cots de dveloppement et de
maintenance (approche anticipative plutt que
corrective)
Diminution des audits demands par les partenaires et
clients.
Des clients ou partenaires potentiels peuvent revoir
la baisse leurs demandes de descriptions des mesures
de scurit.
Les quipes internes d'audit et de rvision
bnficieront d'une documentation de qualit
permettant de raliser les audits dans de meilleures
conditions d'efficacit.
Notion de retour sur investissement de scurit
(ROSI). Indicateurs : performance, analyse de risque,
incidents, enjeux mtier,
ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

51

LORGANISATION DE LA SCURIT ET DU
PROJET DE CERTIFICATION ISO 27001

ENIGMA Services

52
ISO 27001 27003/ Mars 2012/ J. Godin

Primtre
Direction
gnrale

Direction des
projets

Direction
administrative et
financire

Direction des
oprations

Direction
commerciale

Direction tudes
et mthodes

Direction
marketing et
communication

Direction des
ressources
humaines

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

53

Organisation (possible) de la scurit:

intgration du comit SMSI au sein du comit de direction
Responsabilits du comit dcisionnel SMSI

Comit de direction

Montrer lengagement de la direction

Mettre disposition les ressources et les moyens
Former les membres du comit oprationnel SMSI
Valider les propositions du comit oprationnel SMSI

Comit Dcisionnel ISMS

Responsabilits du comit oprationnel SMSI

Comit Oprationnel ISM

Manager SMSI
une quipe ddie

Promouvoir la dmarche
Piloter/raliser le PTR
Implmenter et dployer le SMSI
Mettre en place un rfrentiel documentaire SMSI
Informer le manager SMSI de tout dysfonctionnement
ou risque
Tenir des runions priodiques du comit projet ISMS
Remonter les propositions pour validation au Comit
Dcisionnel SMSI tenu lors des comits de direction

ENIGMA Services

54
ISO 27001 27003/ Mars 2012/ J. Godin

Planning de mise en uvre du SMSI

Approbation du SMSI par le comit de direction
Identification du budget pour limplmentation du SMSI N+1
Organisation du Comit ISMS:
Un comit est mis en place en tant que Comit Oprationnel SMSI en charge de son
implmentation
Un comit Dcisionnel SMSI est rattach au comit de direction pour garantir limplication
du management et la mise disposition des moyens (exemple: frquence mensuelle en
dbut de CODIR)

Mise disposition de ressources organisationnelles et humaines adquates

pour limplmentation (fiches de missions, charges projets, fonctions dune
quipe ddie)
Rvision de la classification des Actifs
Rvision de la procdure de gestion documentaire
Nouvelle boucle dAnalyse des Risques de Scurit du SI

ENIGMA Services

55
ISO 27001 27003/ Mars 2012/ J. Godin

Planning de mise en uvre du SMSI

Dfinition de la politique SMSI et du SOA

Validation des objectifs et mesures de scurit retenues
Formations et sensibilisation
Revue de lorganisation et de la politique de scurit
Pilotage de la scurit et tableaux de bord (gestion des identits,
suivi des incidents et audits)
Management de la continuit dactivit
Autres chantiers scurit pour rpondre aux exigences, objectifs
et mesures de scurit retenus

ENIGMA Services

56
ISO 27001 27003/ Mars 2012/ J. Godin

LORGANISATION DE LA SCURIT ET DU
PROJET DE CERTIFICATION ISO 27001
Pourquoi mettre en uvre la norme et
viser la certification?

ENIGMA Services

57
ISO 27001 27003/ Mars 2012/ J. Godin

Pourquoi mettre en uvre la norme et

viser la certification ?

Donner plus de garantie de scurit vos clients.

Renforcer limage de marque de la socit.
Garantir l'investissement et la confiance des actionnaires.
Faire baisser les primes dassurance pour les dommages
immatriels (Continuit dActivit).
Assurer le respect des exigences lgales.

ENIGMA Services

58
ISO 27001 27003/ Mars 2012/ J. Godin

Pourquoi mettre en uvre la norme et

viser la certification ? (suite)
Mobiliser tous les acteurs de lentreprise sur un challenge
commun.
Pouvoir communiquer sur une rfrence internationale de
Scurit de lInformation
Bnficier de lencadrement de la certification dans la dure.

ENIGMA Services

59
ISO 27001 27003/ Mars 2012/ J. Godin

Nous contacter
Votre interlocutrice:
ENIGMA Services
Jennifer GODIN
Directrice
Lead Auditor ISO 27001 & IS Risk Manager ISO 27005
GSM:
E-mail:

06 11 70 22 56
jennifer.godin@enigma-services.fr

Sige social
635 rue des corriaux
62136 LESTREM

www.enigma-services.fr

ENIGMA Services
ISO 27001 27003/ Mars 2012/ J. Godin

60