Sécurité SI

Facebook Twitter

01. Qu'est-ce que la norme ISO 27001 ? La norme internationale ISO 27001 spécifie un système de gestion de la sécurité des systèmes d’information (SGSSI) / Information Security Management System (ISMS).

01. Qu'est-ce que la norme ISO 27001 ?

Ce SGSSI est structuré en quatre étapes récurrentes (planifier, mettre en œuvre, vérifier, améliorer), afin de respecter le principe de la roue de Deming, issue du monde de la qualité. Ce concept permet d’établir un parallèle avec les normes relatives aux systèmes de management de la qualité (ISO 9001) et de l’environnement (ISO 14001). Pour opérer ce SGSSI, la norme ISO 27001 préconise d’employer son annexe A ou la norme ISO 17799 pour identifier les mesures de sécurité à mettre en œuvre au cours de l’étape de planification. La norme internationale ISO 17799 est un guide de bonnes pratiques regroupant 39 objectifs de sécurité, décomposés en 133 mesures de sécurité, et relatifs à 11 domaines (politique de sécurité, sécurité du personnel, contrôle des accès…). Le Rôle du RSSI | securite information. Le Responsable de la Sécurité des Systèmes d’Information : organisateur ou technicien ?

Le Rôle du RSSI | securite information

Si le poste de RSSI, Responsable de la Sécurité des Systèmes d’Information, était initialement vu comme une fonction essentiellement technique, la raison en incombait à la nature des risques pesant sur les systèmes d’information. Tant que l’architecture des SI était basé sur des architectures majoritairement propriétaires et des applications maisons, on attendait du RSSI qu’il connaisse les mécanismes de sécurité à mettre en œuvre, qu’il en vérifie régulièrement la bonne application (par exemple en effectuant des audits Mehari chaque année) et aussi qu’il traite des problématiques de continuité d’activité.

La nature des risques a fondamentalement changé, lié à la complexité accrue des systèmes d’information, à l’ouverture aux réseaux, aux nombres de domaines complémentaires qu’on lui demande de traiter (aspects juridiques, communication interne et externe). Formation sécurité informatique, réseau et système d'information. Documents émis par le CERTA. Agence nationale de la sécurité des systèmes d’information.