Exposé sur les normes

ISO 27006, ISO 27007 et ISO 27799

Réalisé par :
Ghassen Karmous
Ikbel Baklouti
Abassi Abidi
Hichem Tarhouni
Anis Bouraoui

Établissement universitaire : ESTI (Tunis)

Matière : Méthodologies de sécurité des systèmes d’informations
Enseignante : Mme Sana Ben Hamida

Année universitaire 2010-2011 1

 Plan de l’exposé

I. Introduction
II. Vocabulaire et Définitions
III. La famille des nomes ISO 27000
1. La norme ISO/IEC 27006
2. La norme ISO/IEC 27007
3. La norme ISO/IEC 27799

2
 Introduction
Étant donnée la bataille « féroce » à laquelle ne
cessent de se livrer les entreprises aujourd’hui quels que
soient leurs secteurs d’activités, sécuriser leurs systèmes
d’informations n’est plus un slogan à brandir mais un
challenge à relever et une culture et une pratique
fondamentale à ancrer pour assurer la pérennité de celles-ci.
Pour une entreprise, se jeter dans l’antre du
capitalisme mondial sans recourir à des pratiques de référence
pour la sécurisation de son système d’informations relève d’un
« suicide » sur le plan économique et financier.
Dans ce qui suit, l’accent sera mis sur quelques
standards (qu’on appellera normes) en matière de la sécurité
de l’information utiles aussi bien aux entreprises qu’aux
organismes publics.
3
 Vocabulaire et définitions
- Une norme : un document, établi par consensus et
approuvé par un organisme reconnu, qui fournit, pour des
usages communs et répétés, des règles, des lignes
directrices ou des caractéristiques, pour des activités ou
leurs résultats, garantissant un niveau d'ordre optimal dans
un contexte donné.
- Une norme internationale : une norme qui est adoptée
par une organisation internationale à activités normatives/de
normalisation et qui est mise à la disposition du public.
- ISO : (Organisation internationale de normalisation) est le
plus grand producteur et éditeur mondial de normes
internationales. L'ISO permet ainsi d'établir un consensus
sur des solutions répondant aux exigences du monde
économique et aux besoins plus généraux de la société.
4
La famille des normes ISO 27000

5
 La norme ISO/IEC 27006
• Cette norme a été publiée en Février 2007 par l’ISO et l’IEC.
• Elle regroupe dans un document de 38 (annexes comprises)
pages les exigences pour les organismes qui procèdent à
l’audit et à la certification d’un SMSI (Système de
Management de la Sécurité de l’Information).
• Objectifs :
 Guider les organismes de certification dans leur
démarche pour la certification des SMSI d’autres
organismes (entreprises, administrations…).
 Accréditer l’organisme de certification comme une
autorité reconnue et fiable en matière de certification
d’un SMSI.

6
 La norme ISO/IEC 27006
Voici quelques exigences pour les organismes d’audit
accrédités pour auditer un organisme souhaitant être certifié
ISO 27001:
 Classement des mesures organisationnelles et techniques.
 Vérifications à faire ou pas pour les mesures de sécurité
techniques.
 Calcul du nombre de jours d'audit.

Ce tableau indique le nombre de

jours d’audit en fonction du nombre
d’employés d’une entreprise.

7
 La norme ISO/IEC 27007

• Le nom officiel de cette norme est : Lignes directrices

pour l'audit des systèmes de management de la
sécurité de l'information.
• Cette norme est encore au stade de projet et sa publication
est prévue le 15/10/2011(d’après le site de l’ISO).
• ISO/IEC 27007 servira de guide pour les organismes de
certification accrédités et pour les auditeurs aussi bien
internes qu’externes d’un SMSI.
• Les créateurs de cette norme se sont inspirés de la norme
ISO 19011 relative à la qualité d’un audit et les systèmes de
gestion de l’environnement.

8
 La norme ISO/IEC 27799
• Cette norme a été publiée en Décembre 2008 par l’ISO et
l’IEC.
• Elle regroupe dans un document de 55 pages (annexes
compris) un ensemble de :
 De mesures de sécurité inhérentes à la protection des
informations de santé.
 De bonnes pratiques dans le domaine de la sécurité des
informations de santé.
• Objectif principal de cette norme :
Elle vise à sécuriser le système d’informations d’un
organisme opérant dans le domaine de la santé (hôpital,
clinique, administration de santé publique…)

9
 La norme ISO/IEC 27799
Voici une liste non exhaustive des mesures pour sécuriser un
système d’informations de santé (source : le chapitre 7 du
document relatif à la norme ISO/IEC 27799):
 Le chiffrement des données médicales échangées par mails
entre les professionnels de santé.
Le traitement des risques liés à l'utilisation d'équipements
mobiles par le personnel de santé.
 Intégrer la dimension « émissions électromagnétiques » lors
de la classification des actifs de l’organisme de santé.

10
 Bibliographie

http://www.iso.org/iso/fr/standards_and_regulations
http://www.ysosecure.com/ISO-27000/iso-27006.html
http://www.ysosecure.com/ISO-27000/iso-27007.html
http://www.ysosecure.com/SMSI/iso-27799.html
http://www.itpedia.fr/fr/isoiec-27000/330-iso-27006-guide
de-certification-du-smsi.html
http://www.scribd.com/doc/39879094/Demarche-exemple-
PSSI

11