Norme ISO-27001
La norme ISO-27001 a été crée pour encadrer le développement et la mise en place d'un programme de Gestion des Systèmes de Sécurité de l'information. Dans ce contexte, le terme information couvre l'information sous toutes ses formes qu'elles soient électroniques ou papier. La norme ISO 27001/2005 spécifie des conditions pour établir, implanter, mettre en œuvre, gérer, revoir, maintenir et améliorer la gestion documentée des systèmes de sécurité de l'information dans un contexte global de risques pour l'organisation. Cette norme a été créée, comme les ISO-9001 (Qualité) et 14001 (Environnement), pour permettre la certification d'entreprise dans le cadre d'un processus d'amélioration continue
Les 5 clauses d'ISO 27001 ainsi que les onze points de contrôle d'ISO 27002 sont définis brièvement ci-dessous. Pour la plupart de ces clauses et points de contrôle, nous utilisons d'abord des questionnaires et formulaires à remplir par le client ainsi que des comptes rendu de réunions avec le personnel clé du client afin de bien cerner la situation actuelle.
Les critères de contrôle d'ISO 27001 : 2005 évalués sont :
- 1. Système de Management de la Sécurité de l'Information - SMSI
- 2. Responsabilité de la direction
- 3. Audits internes du SMSI
- 4. Revue de direction du SMSI
- 5. Amélioration du SMSI
Les critères de contrôle d'ISO 27002 : 2005 évalués sont :
- 1. Politiques de sécurité
- 2. Sécurité organisationnelle
- 3. Classification et contrôle des actifs
- 4. Sécurité des ressources humaines
- 5. Sécurité physique et environnementale
- 6. Gestion des communications et des opérations
- 7. Contrôle des accès
- 8. Développement et maintenance de systèmes d'information
- 9. Gestion des incidents de sécurité de l'information
- 10. Gestion de la continuité des affaires
- 11. Conformité