Comment implémenter un SMSI – ISO 27001 ?

Posté par : Julie Grassin || 17 novembre 2016 à 18:29



Co-écrit par Guillaume


1.    Les enjeux de la norme ISO27001

La vie d’un système d’information est par essence vulnérable et exposée à des menaces. La question de la certification de son Système de Management de la Sécurité de l’Information (SMSI), sur les standards d’une norme de sécurité peut donc se poser… Il est nécessaire de bien distinguer la différence entre la mise en place d’un SMSI et sa certification (notamment à l’ISO27001). 

Le SMSI est un outil d’amélioration continue de la sécurité de l’information. Son but est de garantir la bonne maitrise des risques majeurs d’un organisme afin de gagner ou maintenir la confiance des clients et des partenaires.

La norme ISO2700X apparaît comme le cadre le plus pertinent pour ce faire, elle recouvre la notion de SMSI et un panel de bonnes pratiques de sécurité reconnues (ISO27002).

Il faut souligner que si la mise en conformité d’un SMSI à la norme ISO27001 assure un bon niveau de sécurité à un instant T, ne pas le certifier peut constituer des lacunes dans son maintien, son suivi et son amélioration continue. En effet, l’organisme se trouve dans ce cas autonome et la bonne vie du SMSI repose sur sa seule bonne volonté et son sérieux.

2.    Les étapes de la mise en place d’un SMSI conforme à la norme ISO27001

Une entreprise faisant le choix de la mise en conformité à la norme ISO27001 de son SMSI devra respecter un certain nombre d’étapes. BEIJAFLORE préconise une démarche en huit étapes.

a.    Etude d’opportunité

Réaliser un état des lieux des mécanismes de sécurité, identifier les parties intéressées du SMSI et leurs enjeux, afin de réaliser une étude d’opportunité de la mise en conformité. Ces éléments sont à valider obligatoirement par la Direction Générale.

 

b.    Choix du périmètre du SMSI

Définir le périmètre, autrement dit les activités sur lesquelles s’appliquent le SMSI, et justifier le cas échéant les domaines exclus de ce périmètre.

 

c.    Déclaration d’intention

Une fois le périmètre choisi, définir la stratégie de la sécurité de l’information afin d’impulser le projet de mise en conformité. Cette déclaration d’intention se formalise par la Politique de sécurité rédigée et signée par la Direction Générale.

 

d.    Démarche d’analyse de risques

L’entreprise doit identifier les risques sur son périmètre. Pour ce faire, il est nécessaire de choisir une méthode d’évaluation des risques, adaptée au contexte et aux enjeux de l’entreprise.

 

e.    Objectifs de sécurité

Le plan de traitement des risques doit orienter les objectifs de sécurité que souhaite atteindre l’entreprise. En effet, en fonction des risques identifiés, les mesures de sécurité peuvent varier.

Il est dès lors primordial d’organiser des réunions de suivi du projet afin d’optimiser la mise en place de ces mesures d’une part, et de garder la direction impliquée d’autre part.

 

f.      Exploitation du SMSI

L’ensemble des mesures et processus de sécurité doivent vivre selon le modèle de la roue de Deming : Plan, DO, Check, Act.


Ce modèle permet de les optimiser tout au long de leur cycle de vie. La mise en place du PDCA doit se faire dès leurs définitions.

 

g.    Surveillance du SMSI

Le SMSI constitue alors un ensemble complexe vivant dont il faut mesurer la « santé », et lorsqu’il est nécessaire, le « soigner ». Ceci doit se traduire de manière pratique par :

·         Un audit interne ;

·         L’application des éventuelles actions correctives des non-conformités détectées ;

·         Une revue de direction afin de consolider les évènements passés et dessiner les directions actuelles et futures pour son SMSI ;

·         Un audit blanc si l’audit de certification est prévu dans le planning.

 

h.    Certification (étape optionnelle)

Un SMSI répondant à toutes les exigences de la norme ISO27001, peut se soumettre à l’examen de la certification. Il faut pour cela prendre contact avec un organisme de certification, qui se chargera de faire passer l’audit.

Tags : , , , , , ,

Catégorie(s) : Veille

Commentaires (1) -

Dion a écrit le 21 novembre 2016 à 13:50

Bonjour,

Merci pour cet article.
Est-ce que la mise en place d'un tableau de bord permettant la surveillance du SMSI est un pré-requis à l'obtention de la certification ISO 27.001?

Ajouter un commentaire

Les blogueurs

C'est à l'occasion de notre première participation aux Assises de la Sécurité que nous avons eu envie de créer un espace ouvert aux professionnels qui partagent nos centres d'intérêt.

Un espace d'échanges donc qui nous donne le loisir d'exprimer nos points de vue sur les problématiques Risque et Sécurité mais surtout - et nous l'espérons - de recueillir vos avis éclairés.

Twitter