background preloader

ISO/CEI 27001

ISO/CEI 27001
Un article de Wikipédia, l'encyclopédie libre. L'ISO/CEI 27001 est une norme internationale de système de gestion de la sécurité de l'information, publiée en octobre 2005 par l'ISO dont le titre est Technologies de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information - Exigences. Objectifs[modifier | modifier le code] La norme ISO 27001 publiée en octobre 2005 et révisée en 2013 succède à la norme BS 7799-2 de BSI (British Standards Institution)[1]. Elle s’adresse à tous les types d’organismes (entreprises commerciales, ONG, administrations…). La norme dicte également les exigences en matières de mesures de sécurité propres à chaque organisme, c’est-à-dire que la mesure n’est pas la même d’un organisme à l’autre. L'ISO/CEI 27001 définit l'ensemble des contrôles à effectuer pour s'assurer de la pertinence du SMSI, à l'exploiter et à le faire évoluer. La structure de la norme[modifier | modifier le code] Phase Plan[modifier | modifier le code]

La sécurité informatique : ce qu'il faut retenir Selon le spécialiste de la sécurité Mc Afee, les attaques ciblées contre les entreprises de moins de 250 salariés ont quasi doublé entre 2011 et 2013. Et les 3/4 des collaborateurs des entreprises ont déjà visité un site contenant du code malicieux. Cette progression des menaces s'accompagne d'un développement des usages qui augmente ces risques ou en entraîne de nouveaux. La mobilité, en particulier, place les données de l'entreprise entre les mains des collaborateurs, en tous lieux et à toute heure. Comment protéger ce capital ? Fort heureusement, de nouvelles technologies viennent apporter des réponses qui, elles, tendent, à se simplifier. Quant au cloud computing, il apparaît comme une solution générique à un vaste ensemble de menaces qui pèsent sur les entreprises. Assises de la sécurité 2013 : bilan et perspectives Que faut-il retenir des Assises de la sécurité, qui se sont déroulées du 2 au 5 octobre, à Monaco ? © Juniorbeep / iStockphoto

ISO/CEI 27002 Un article de Wikipédia, l'encyclopédie libre. La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information, publiée en 2005 par l'ISO, dont le titre en français est Code de bonnes pratiques pour la gestion de la sécurité de l'information . L'ISO/CEI 27002 est un ensemble de 133 mesures dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information ». Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées dans ses relations avec un client. Historique[modifier | modifier le code]

CLUSIF | Bienvenue Audit informatique Un article de Wikipédia, l'encyclopédie libre. L'audit informatique (en anglais Information Technology Audit ou IT Audit) a pour objectif d’identifier et d’évaluer les risques (opérationnels, financiers, de réputation notamment) associés aux activités informatiques d'une entreprise ou d'une administration. À cette fin, l’audit va se baser sur le cadre réglementaire du secteur d’activité du pays concerné (exemple le CRBF 97-02 pour une banque française), sur les référentiels de bonnes pratiques existants (exemple le référentiel CobiT), sur les benchmarks à disposition et sur l’expérience professionnelle des auditeurs impliqués. Il existe deux grandes catégories d’audit. L’audit n’est pas à confondre avec l’activité de conseil qui vise, de manière générale, à améliorer le fonctionnement et la performance d'une organisation avec une éventuelle implication dans la mise en œuvre de cette amélioration. Les concepts de base de l'audit informatique[modifier | modifier le code]

Plan de continuité d'activité (informatique) Un article de Wikipédia, l'encyclopédie libre. En informatique, un plan de continuité d'activité, a pour but de garantir la survie de l'entreprise après un sinistre important touchant le système informatique. Il s'agit de redémarrer l'activité le plus rapidement possible avec le minimum de perte de données. Pour qu’un plan de continuité soit réellement adapté aux exigences de l’entreprise, il doit reposer sur une analyse de risque et une analyse d’impact : L’analyse de risque débute par une identification des menaces sur l’informatique. Une analyse de risque réussie est le résultat d'une action collective impliquant tous les acteurs du système d'information : techniciens, utilisateurs et managers. Il existe plusieurs méthodes pour assurer la continuité de service d'un système d'information. Les méthodes se distinguent entre préventives (éviter la discontinuité) et curatives (rétablir la continuité après un sinistre). Dans cette hypothèse, seules des données ont été perdues.

Insécurité du système d'information Un article de Wikipédia, l'encyclopédie libre. Il existe de nombreux risques en sécurité du système d'information, qui évoluent d'année en année. Mesure des risques[modifier | modifier le code] Il importe de mesurer ces risques, non seulement en fonction de la probabilité ou de la fréquence de leurs survenances, mais aussi en mesurant leurs effets possibles. Ces effets, selon les circonstances et le moment où ils se manifestent, peuvent avoir des conséquences négligeables ou catastrophiques. Parfois, le traitement informatique en cours échoue, il suffit de le relancer, éventuellement par une autre méthode si on craint que la cause ne réapparaisse ; parfois l'incident est bloquant et on doit procéder à une réparation ou une correction avant de poursuivre le travail entrepris. Hormis ces cas exceptionnels, beaucoup de risques peuvent être anticipés et il existe des parades pour la plupart d'entre eux. Risques humains[modifier | modifier le code] Liste des risques[modifier | modifier le code]

Related: