Академический Документы
Профессиональный Документы
Культура Документы
Un SMSI est avant tout un système de management. Pour paraphraser la norme ISO 9000, je
dirais qu’un système de management permet d'établir une politique, de fixer des objectifs et
de les atteindre. En d’autres termes, il s’agit de mettre en œuvre des actions (techniques,
organisationnelles) pour atteindre un objectif fixé.
Les systèmes de management dépassent largement le cadre de la SSI : les plus connus d’entre
eux sont actifs dans le domaine de la qualité (norme ISO 9001) ou
de l’environnement (norme 14001). Toutefois, les idées directrices sous-jacentes sont
invariantes :
Elle traite aussi bien de la gestion des risques que du pilotage de la fonction (indicateurs et
tableaux de bord).
La norme ISO 27001 est orientée processus et propose en toute logique une démarche
d'amélioration continue de type PDCA.
Le PDCA
L'installation d'un Système de Management de la Sécurité de l'Information ne se déroule
pas en un temps unique. Le système se doit de s'inscrire dans une démarche plus globale
de progrès continu du type roue de Deming ou PDCA.
La démarche n'est pas sans rappeler, dans son principe en tout cas, la mise en place d'un
référentiel ISO d'entreprise plus classique comme 9000 ou ISO 14000.
Plan
Elaboration de la politique sécurité des SI, précision du périmètre d'intervention,
définition des objectifs, analyse et maîtrise des risques, identification et évaluation,
cartographie.
Do
Plan et déploiement des mesures de sécurité, élaboration et application des
procédures spécifiques, sensibilisation et formation, sélection des indicateurs et
réalisation des tableaux de bord de la sécurité.
Check
Audit et contrôles internes, revue
Act
Action corrective, identification des voies d'amélioration, bouclage.
Iso 27000
Les principales normes du standard ISO 27000