Les Normes ISO 27000 Version 2013

La nouvelle version 2013 de la norme.

Diffrences et nouveauts

Stphane Perroud - Georges Torti

Digicomp Romandie SA
14 janvier 2014, Digicomp Lausanne

ISO 27000 2013

Stphane Perroud
Expriences
Consultant en Gouvernance, Audit et Management
de la Scurit des SI
Formateur en Gouvernance, Scurit et Audit
Auditeur informatique
12 ans dveloppeur J2EE et Web

Certifications
CISSP
CISA
COBIT Foundation 4.1 & 5
ITIL v3 Foundation
ISO 20000 Foundation
ISO 27001 Lead Auditor
ISO 27005 Risk Manager
ISO 27000 2013
Georges Torti
Expriences
Responsable scurit informatique (au DEFR)
12 ans de direction des systmes dinformation
Responsable du dveloppement informatique
Chef de projet informatique
Support informatique et formation
Prsident ADI (Gouvernance, Projet, Services,
Scurit)

Certifications
CISA (Certified Information System Auditor)
CISM (Certified Information Security Manager)
Certificat dAptitude la Protection des Donnes
Cobit Foundation 4.1 & 5
ISO 27001 Foundation
ISO 27000 2013
Plan de la confrence
Notions de base
Bref rappel historique sur BSI 17799 et ISO
27001:2005
Les changements dans ISO 27001:2013
Les changements dans ISO 27002 :2013
Impacts pour lentreprise
Questions / Rponses

ISO 27000 2013

La scurit de linformation

Notions de base

ISO 27000 2013

La scurit de linformation

Lhumain

Les processus La technique

ISO 27000 2013

La scurit de linformation
Les quatre piliers de la scurit de linformation :

Scurit de lInformation
Confidentialit

Disponibilit

Rpudiation
Non-
Intgrit

ISO 27000 2013

Vue densemble

Les normes ISO 27000

ISO 27000 2013

Les normes ISO 27000
Famille des normes de scurit de linformation
Recommandation des meilleures pratiques en management
de la scurit de linformation
Sadresse tous les types dorganismes
Sintgrent avec les autres normes internationales

ISO 27000 2013

Les normes 27000
Avantages
description pratique et dtaille de la mise en uvre des objectifs et
mesures de scurit
audit rgulier qui permet le suivi entre les risques initialement
identifis, les mesures prises et les risques nouveaux ou mis jour,
afin de mesurer lefficacit des mesures prises
Processus d'amlioration continue de la scurit, donc le niveau de
scurit a plutt tendance crotre
Meilleure matrise des risques
Une certification qui amliore la confiance avec les parties
prenantes
Homognisation : cest un rfrentiel international. Cela facilite les
changes

ISO 27000 2013

Vue densemble des normes ISO 27000

ISO 27001 ISO 27006

Exigences SMSI Audit de SMSI

Guides

ISO 27000 ISO 27002 ISO 27003

Vocabulaire Mesures BSI Implmentation
17799
Secteurs
ISO 27004 ISO 27005
Mtriques Analyse risques ISO 27034
Scurit des
Applications
ISO 27000 2013
 Vue densemble des normes ISO 27000
Norme Titre
ISO/IEC 27000 Vue d'ensemble et vocabulaire
ISO/IEC 27001 SMSI - Exigences
ISO/IEC 27002 Code de bonne pratique
ISO/IEC 27003 Lignes directrices pour la mise en uvre du SMSI
ISO/IEC 27004 Mesurage
ISO/IEC 27005 Gestion des risques lis la scurit de linformation
ISO/IEC 27006 Exigences pour les organismes procdant l'audit et la
certification
ISO/IEC 27007 Lignes directrices pour l'audit du SMSI
ISO/IEC 27008 Lignes directrices pour les auditeurs des contrles
ISO/IEC 27010 LD - Communications intersectorielles/interorganisationnelles
ISO/IEC 27011 LD - Organismes de tlcommunications

ISO 27000 2013

 Vue densemble des normes ISO 27000
Norme Titre
ISO/IEC 27013 LD - Mise en uvre intgre d'ISO 27001 et ISO 20000
ISO/IEC 27014 Gouvernance de la scurit de l'information
ISO/IEC 27015 LD - Management de la scurit de l'information pour les services
financiers
ISO/IEC 27031 LD - Prparation des TIC pour la continuit d'activit
ISO/IEC 27032 LD - Cyberscurit
ISO/IEC 27033 LD - Scurit de rseau
ISO/IEC 27034 LD - Scurit des applications
ISO/IEC 27035 LD - Gestion des incidents de scurit
ISO/IEC 27037 LD - Identification, la collecte, l'acquisition et la prservation de
preuves numriques
ISO/IEC 27799 Management de la scurit de l'information relative la sant en
utilisant l'ISO 27002
ISO 27000 2013
Bref historique

BSI 17799
ISO 27001
ISO 27002

ISO 27000 2013

Historique
En 1995, le standard britannique "BS 7799" cr par BSI
dfinit des mesures de scurit dtailles
En 1998, le BSI introduit le SMSI
En 2000, ISO dite la norme ISO/CEI 17799:2000 (codes
des bonnes pratiques issues de la BS 7799)
En 2005, deux normes sont dites :
ISO/CEI 17799:2005 qui remanie les domaines et objectifs
ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la
possibilit de certification
En 2007, ISO 27002 remplace ISO/CEI 17799
En 2013, ISO rvise les norme ISO/CEI 27001:2013 et
ISO/CEI 27002:2013
ISO 27000 2013
Les changements

ISO 27001:2013

ISO 27000 2013

ISO 27001

ISO 27000 2013

Contrles obligatoires

ISO 27000 2013

Les changements

ISO 27002:2013

ISO 27000 2013

Les changements ISO27002

114 mesures dans 14 domaines (Version 2005 : 133 mesures

dans 11 domaines)
A.5: Information security policies
A.6: Organization of information security
A.7: Human resources security
A.8: Asset management
A.9: Access control
A.10: Cryptography
A.11: Physical and environmental security
A.12: Operations security
A.13: Communication security
A.14: System acquisition, development, and maintenance
A.15: Supplier relationships
A.16: Information security Incident management
A.17: Information security aspects of business continuity management
A.18: Compliance
ISO 27000 2013
Les changements ISO27002

Rorganisation / dplacement de mesures

Mesures 2005 2013
Mobile/Tltravail Access control Organization of
info sec
Gestion mdias Communication Asset
Gestion cls Cryptography Acquisition/Dev

Nouvelles mesures
Suppression de mesures

ISO 27000 2013

Nouvelles mesures ISO 27002:2013

Information security in project management

Restrictions on software installation
Secure development policy
Secure system engineering principles
Secure development environment
System security testinging
Information security policy for supplier relationships
Information and communication technology supply chain
Assessment and decision on information security events
Response to information security incidents
Availability of information processing facilities
ISO 27000 2013
Mesures supprimes (1)
Management commitment to information security
Information security coordination
Authorisation process for information processing facilities
Identification of risks related to external parties
Addressing security when dealing with customers
Security of system documentation
Business Information Systems
User authentication for external connections
Equipment identification in networks
Remote Diagnostic and configuration port protection
Network Connection control

ISO 27000 2013

Mesures supprimes (2)
Network routing control
Sensitive system isolation
Input data validation
Control of internal processing
Message integrity
Output data validation
Information leakage
Prevention of misuse of information processing facilities
Protection of information systems audit tools

ISO 27000 2013

Impacts pour lentreprise

Certifications
Implmentation
Formation

ISO 27000 2013

Certification
Impact sur linterprtation de la norme et le dploiement du
systme de gestion de la scurit de linformation des
organisations
Majorit de la norme reste la mme. Important de comprendre les
changements et dassurer la conformit du systme dinformation
la nouvelle norme pour les futurs audits
Priode transitoire de 2 ans accorde aux organisations certifies
pour se conformer la nouvelle version

ISO 27000 2013

Implmentation
Commencer par une analyse dcart entre le SMSI existant et
la nouvelle version
Lancer les initiatives de mise jour du SMSI

Changements significatifs
Politique
Apprciation des risques
Dclaration dapplicabilit (Annexe A)
Identification des problmes

ISO 27000 2013

Formation
Digicomp vous propose, partir de janvier 2014, des cours et
des certifications internationales en phase avec la nouvelle
version du standard :
ISO/IEC 27001 Lead Auditor
ISO/IEC 27001 Lead Implementer

www.digicomp.ch/fr

ISO 27000 2013

Questions / Rponses

ISO 27000 2013

Informations et contacts
Plus dinformations : Retrouvez nous sur :

http://www.digicomp.ch/fr/ Facebook
securite_informatique
Twitter

Google +

Slideshare

ISO 27000 2013

Merci de votre attention!

Stphane Perroud - Georges Torti

Digicomp Academy Suisse Romande SA

Tl. 021 321 65 00

E-Mail: romandie@digicomp.ch

ISO 27000 2013

ISO 27001 Annexe A

ISO 27000 2013

ISO 27002

ISO 27000 2013