Documente Academic
Documente Profesional
Documente Cultură
Contexte
On parle de SMSI depuis 2002
Est-ce un effet de mode ?
Est-ce une bulle entretenue
Par les fournisseurs en mal de relais de croissance ?
En interne par certains managers ?
Pourtant
On en parle encore aujourd'hui
Des cercles extrieurs la scurit en parlent
Principe
Transposition la scurit de systmes d'information des
principes de la qualit ISO 9001
Certification possible
Amlioration continue
Audit interne
Gestion des incidents
Suivi des actions
Revue de direction
4
Partenaires
Clients
Pouvoirs
publics
Services
5
Partenaires
Planification
Plan
Fournisseurs
Action
Fournisseurs
Correction
Do
Scurit
effective
fournie
Act
Vrification
Check
Clients
Pouvoirs
publics
Services
5: Politique
du SMSI
6: Scurit
organisationelle
7: Classification et
contrle des actifs 15 Conformit
8: Scurit du personnel
14: Gestion de
la continuit
13: Gestion des
incidents
12: Maintenance et
dveloppement
9: Scurit physique et
environnementale
11: Contrle
d'accs
Exigences
usage obligatoire
dans la certification
2007
ISO 27001
SMSI
ISO 27006
Certification de SMSI
2009
2010
ISO 27008
ISO 27000
Vocabulaire
Audit mesures de
scurit
Guides
usage facultatif
2005
2010
ISO 27002
ISO 27007
Mesures de scurit
Audit de SMSI
2009
2008
ISO 27003
Implmentation
2009
ISO 27004
ISO 27005
Gestion de risque
Indicateurs SMSI
7
10
12
Cas 2 :
Les enregistrements oprationnels existent depuis longtemps
Les documents SMSI sont produits en temps et en heure
Pas de non-conformits majeures
Pas d'audits complmentaires
13
Et la technique ?
Ca cr un dialogue rel et constant entre la technique et
l'organisationnel
Le responsable du SMSI est souvent organisationnel
Hormis le responsable du SMSI, mes interlocuteurs lors des audits
de certification sont essentiellement des ingnieurs techniques
14
Conclusion
L'ISO 27001 est vraiment utile
Mais son utilit n'est pas l o on l'attend apriori
Pas d'amlioration immdiate de la scurit
Pas de pactole ISO 27001
16
Questions
17