Ces normes ISO qui percent dans les DSI ISO 27000 : un cadre pour relever le défi de la sécurité des informations

L'ISO/CEI 27001spécifie les processus qui permettent à une entreprise d'établir, de mettre en œuvre, de revoir et de surveiller, de gérer et d'actualiser un système de gestion de la sécurité de l'information.

Spécifier les différentes briques d'un réseau de sécurité

ISO/CEI 27002:2005, est le code international de bonnes pratiques pour la gestion de sécurité de l'information. D'autres normes viennent s'ajouter à la série 27000. Au programme : ISO/IEC 27003 :2010 qui porte sur la mise en œuvre du système de management de la sécurité de l'information, ou encore ISO/CEI et ISO/CEI 27033-1 :2009 Partie 1 qui fournissent une vue d'ensemble des réseaux de sécurité et les définitions qui s'y rapportent.



Conception d'un Système de Management des Systèmes d'Information


 


Quant à ISO/CEI 27033-1 :2009, elle couvre le processus de spécification et de conception d'un Système de Management des Systèmes d'Information (SMSI), de la phase initiale à la production de plans d'exécution. La norme donne des recommandations sur la façon de convaincre la direction de lancer un tel projet, ainsi que les différents concepts pour concevoir et planifier un projet SMSI.

 

"ISO 27 / 17799 est un excellent outil de travail et offre un cadre pragmatique et intéressant à utiliser" (Thierry Chiofalo - RSSI Bolloré Logistics)

"ISO 27 / 17799 est un excellent outil de travail et offre un cadre pragmatique, intéressant à utiliser comme outil même sans démarche de certification [...] L'utilisation de normes, sans parler de certification, est utile pour structurer et rationaliser sa façon de travailler sur la sécurité des systèmes d'information en utilisant un modèle pragmatique", fait savoir Thierry Chiofalo RSSI/CSO chez Bolloré Logistics.

 "L'intérêt de la démarche de certification qui implique un engagement humain et financier est fonction de l'avantage que pourra en retirer l'entreprise, au-delà de la DSI. Dans les deux cas, le choix du périmètre est essentiel puisqu'il déterminera la pertinence du projet et sa faisabilité." 

Projets informatiques / Gouvernance