10 clés pour la sécurité de l’information - ISO/CEI 27001:2013

218 pages

Français

Découvre YouScribe en t'inscrivant gratuitement

Je m'inscris

10 clés pour la sécurité de l’information - ISO/CEI 27001:2013 , livre ebook

Afnor éditions - Claude Pinet

Découvre YouScribe en t'inscrivant gratuitement

Je m'inscris

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

218 pages

Français

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

A propos
Informations
Extrait

Description

Notre environnement quotidien est de plus en plus complexe et donc de plus en plus difficile à comprendre. Des techniques et des outils de plus en plus sophistiqués apparaissent et se développent. Toute organisation, avant d’entreprendre une action quelle qu’elle soit, doit se poser la question de l’évaluation des conséquences que cette action est susceptible d’entraîner. Et c’est probablement dans le domaine de l’information que l’impact des décisions et des actions peut s’avérer le plus difficile à appréhender. Or, l’absence de maîtrise des risques liés à la sécurité de l’information peut entraîner de lourdes répercussions. Dans cet ouvrage, Claude Pinet fait œuvre utile et s’adresse, d’une part, à tous les intervenants liés au système d’information et, d’autre part, à tout utilisateur de l’information afin d’améliorer la confiance dans les informations véhiculées. En s’appuyant sur la norme internationale ISO/CEI 27001, dans sa dernière mouture de 2013, il présente une approche basée sur la maîtrise des risques associés à la sécurité de l’information et sur l’amélioration continue. Il détaille et explique la structure et le contenu de la série des normes ISO/CEI 27000 qui traitent de la sécurité de l’information sans oublier de les replacer dans leur contexte. Il montre comment ces normes, bien comprises et bien mises en œuvre, constituent le référentiel pour l’élaboration et la certification d’un système de management de la sécurité de l’information (SMSI).

Informations

Publié par	Afnor éditions
Date de parution	01 janvier 2016
Nombre de lectures	73
EAN13	9782128004283
Langue	Français
Poids de l'ouvrage	16 Mo

Extrait

www.afnor.org/editions

Claude Pinet

Nouvelle édition

mise à jour et augmentée

cléspour lasécurité del’information

ISO/CEI 27001:2013

© AFNOR 2016 Couverture : créatîon AFNOR Édîtîons – Crédît photo © 2016 Fotolîa ISBN 978-2-12-465567-0 Toute reproductîon ou représentatîon întégrale ou partîelle, par quelque procédé que ce soît, des pages publîées dans le présent ouvrage, faîte sans l’autorîsatîon de l’édîteur est îllîcîte et constîtue une contrefaçon. Seules sont autorîsées, d’une part, les reproductîons strîctement réservées à l’usage prîvé du copîste et non destînées à une utîlîsatîon collectîve et, d’autre part, les analyses et courtes cîtatîons justîiées par le caractère scîentîique ou d’înformatîon de l’œuvre dans laquelle elles sont încorporées (loî er du 1 juîllet 1992, art. L 122-4 et L 122-5, et Code pénal, art. 425). AFNOR – 11, rue Francîs de Pressensé, 93571 La Plaîne Saînt-Denîs Cedex Tél. : + 33 (0) 1 41 62 80 00 – www.afnor.org/edîtîons

Du même auteur...................................................................................

Présentation de l’auteur......................................................................

Note de l’éditeur................................................................................... XVII

Préface.................................................................................................. XIX

Avant-propos........................................................................................ XXI

Introduction..........................................................................................XXIII

Rappel sur les éditions précédentes................................................. XXV

Partie I Sécurité et information

Clé n° 1 La sécurité, qu’est-ce que c’est ?........................................1.1 La dénition de la sécurité............................................................. 1.2 Les composantes de la sécurité.................................................... 1.3 Les acteurs de la sécurité.............................................................. 1.4 Monsieur Sécurité..........................................................................

Clé n° 2 L’information, qu’est-ce que c’est ?.....................................2.1 La dénition de l’information.......................................................... 2.2 La dénition de la donnée.............................................................. 2.3 Le système d’information............................................................... 2.4 Le traitement de l’information......................................................... 2.5 Le traitement automatisé de l’information......................................

3 3 5 5 7

9 9 10 11 11 12

10 clés pour la sécurité de l’information – ISO/CEI 27001:2013

Clé n° 3 Structure des normes ISO/CEI 27000..................................3.1 Structure normative........................................................................ 3.2 ISO/CEI 27000:2016......................................................................3.3 ISO/CEI 27001:2013....................................................................... 3.4 ISO/CEI 27002:2013...................................................................... 3.5 ISO/CEI 27003:2010...................................................................... 3.6 ISO/CEI 27004:2009...................................................................... 3.7 ISO/CEI 27005:2011....................................................................... 3.8 ISO/CEI FDIS 27011......................................................................

Clé n° 4 Exigences de la norme ISO/CEI 27001:2013........................ 4.1 L’organisation de la norme............................................................. 4.2 Le contexte de l’organisme (§ 4 de la norme)................................................ 4.3 Leleadership(§ 5 de la norme).................................................... 4.4 Planication (§ 6 de la norme)........................................................ 4.5 Support (§ 7 de la norme).............................................................. 4.6 Fonctionnement (§ 8 de la norme).................................................4.7 Évaluation des performances.............................(§ 9 de la norme) 4.8 Amélioration (§ 10 de la norme).....................................................

Clé n° 5 La déclaration d’applicabilité...............................................5.1 Rôle de la Déclaration d’applicabilité (DdA).............................................. 5.2 Thèmes « sécurité » imposés........................................................ 5.3 Les sous-thèmes sécurité imposés................................................ 5.4 Comment y répondre ?..................................................................

Clé n° 6 La gestion des actifs.............................................................6.1 Qu’est-ce qu’un actif ?...................................................................... 6.2 Comment identier un actif ?......................................................... 6.3 Comment gérer un actif ?...............................................................

Clé n° 7 Les processus de gestion des risques...............................7.1 Qu’est-ce qu’un risque ?................................................................ 7.2 Comment identier un risque ?...................................................... 7.3 Typologie d’impacts sur les actifs – Notion de « DIC ».................. 7.4 Analyser et évaluer les risques......................................................

13 14 16 17 19 20 22 23 25

27 27 28 30 31 33 36 37 39

41 41 42 43 44

47 47 48 50

51 51 52 54 58

Sommaire

7.5 Déterminer les risques acceptables...............................................7.6 Traiter les risques...........................................................................7.7 Approuver les risques résiduels.....................................................7.8 Le management des risques..........................................................Clé n° 8 Les incidents de sécurité......................................................8.1 Un incident, qu’est-ce que c’est ?..................................................8.2 Les facteurs déclenchant d’un incident..........................................8.3 Les caractéristiques des incidents.................................................8.4 Le traitement des incidents............................................................8.5 Assurer la continuité de l’activité.................................................... Clé n° 9 Les exigences d’un système de gestion.............................9.1 Exigences d’un système de gestion............................................... 9.2 Le contexte de l’organisation (§ 4 de la norme)............................. 9.3Leadership(§ 5 de la norme)......................................................... 9.4 Planication (§ 6 de la norme)........................................................ 9.5 Support (§ 7 de la norme).............................................................. 9.6 Fonctionnement (§ 8 de la norme)................................................. 9.7 Évaluation (§ 9 de la norme).......................................................... 9.8 Amélioration (§ 10 de la norme)....................................................... Clé n° 10 Le processus de certiIcation.............................................10.1 Accréditation et certication........................................................... 10.2 Les acteurs, les instances.............................................................. 10.3 Les catégories de certications..................................................... 10.6 L’audit initial de certication............................................................

Conclusion............................................................................................

Partie II Fiches techniques

61 62 63 63 65 65 66 67 69 73

79 80 82 84 85 87 88 89 91 93 93 94 95 97

Fiche technique n° 1 : vocabulaire et déInitions............................. 103

Fiche technique n° 2 : sommaire de la norme ISO/CEI 27000:2016.............................................................................. 113

Fiche technique n° 3 : sommaire de la norme ISO/CEI 27001:2013.............................................................................. 117

VII

10 clés pour la sécurité de l’information – ISO/CEI 27001:2013

Fiche technique n° 4 : sommaire de la norme ISO/CEI 27002:2013.............................................................................. 119

Fiche technique n° 5 : sommaire de la norme ISO/CEI 27005:2011.............................................................................. 123

Fiche technique n° 6 : déInition du domaine d’application............ 127

VIII

Fiche technique n° 7 : thèmes de la déclaration d’applicabilité..... 129

Fiche technique n° 8 : exemples de catégories d’actifs.................. 131

Fiche technique n° 9 : exemple d’inventaire des actifs................... 133

Fiche technique n° 10 : types de menaces........................................ 135

Fiche technique n° 11 : sources de menaces humaines................. 137

Fiche technique n° 12 : vulnérabilités et menaces........................... 139

Fiche technique n° 13 : la disponibilité.............................................. 143

Fiche technique n° 14 : les niveaux de gravité................................. 145

Fiche technique n° 15 : probabilité des risques............................... 147

Fiche technique n° 16 : criticité et acceptabilité des risques......... 149

Fiche technique n° 17 : la criticité des risques................................. 151

Fiche technique n° 18 : activités de traitement des risques........... 153

Fiche technique n° 19 : exemple de tableau/plan de traitement des risques........................................................................................... 155

Fiche technique n° 20 : le processus de gestion du risque en matière de sécurité de l’information............................................. 157

Fiche technique n° 21 : management du risque............................... 159

Fiche technique n° 22 : exemple de pondération de probabilité d’un danger........................................................................................... 161

Fiche technique n° 23 : exemple de pondération de la fréquence d’exposition à un danger..................................................................... 163

Fiche technique n° 24 : la gestion des incidents.............................. 165

Fiche technique n° 25 : le plan de reprise (continuité).................... 167

Fiche technique n° 26 : le processus................................................. 169

Fiche technique n° 27 : le manuel de management de la sécurité de l’information.................................................................................... 173