» » » ISO 27001

ISO 27001

Posté dans : Méthodes | 0

ISO 27001-2013 : organiser la sécurité du SI

La norme ISO 27001 « Systèmes de management de la sécurité de l’information » (SMSI) fait partie d’un ensemble de normes de systèmes de management en cours d’harmonisation dont nous vous parlions ici il y a peu de temps.

La sécurité des Systèmes d’Information (SI) fait de plus en plus souvent l’actualité avec des vols de données personnelles, l’espionnage d’entreprises stratégiques ou de ministères. Les exemples d’attaques semblent de plus en plus fréquents et ont un impact non seulement en interne mais aussi en termes d’image. (Voir des exemples ici, ici ou encore .)

De grandes entreprises réagissent au problème de la sécurisation des SI en lançant de grands projets dans ce domaine et l’état français s’implique également à son niveau au travers de l’ANSSI par exemple (guides, alertes, coordination).

Mais, après le projet, comment maintenir une vigilance efficiente ? Comment assurer la maintenance, le maintien à niveau des équipements sans mettre en place une organisation spécifique?

ISO 27001

ISO 27001 est justement la pour donner un cadre, un guide à la structuration d’une organisation qui pourra répondre à ces enjeux dans la durée et en amélioration continue. Par ailleurs, et comme pour ISO 9001, rien ne vous oblige à viser directement une certification. Vous pouvez, suivant votre contexte, démarrer par une analyse des risques poussée pour identifier des axes de sécurisation et lancer les projets de sécurisation correspondants. Vous pouvez aussi lancer des projets hors démarche structurée de management des risques mais sur la base de préconisations type ANSSI, d’évidences et d’urgence et projeter de structurer l’analyse des risques plus tard, lorsqu’il sera nécessaire de rationaliser les projets de sécurisation par exemple. Vous pouvez encore choisir de pérenniser les acquis de projets de sécurisation déjà réalisés ou en cours en structurant le Maintien en Conditions de Sécurité. C’est-à-dire la surveillance et l’intégration des aspects sécurité dans le Maintien en Conditions Opérationnelles. Ce sont des exemples car tout dépend de votre contexte et, tant qu’il s’agit d’un projet touchant à votre organisation, il est primordial de rester pragmatique et non dogmatique. ISO 27001 doit vous servir de guide.

ISO 27001 est un guide pour structurer votre organisation car il s’agit bien d’une norme de système de management, c’est-à-dire organisationnelle et non technique. C’est bien votre organisation qui est concernée ici, pour aller au-delà des aspects techniques de vos projets de sécurisation et de la maintenance de votre SI.

Et ce n’est pas un hasard si ISO 27001:2013 a déjà une structure identique à la prochaine version d’ISO 9001:2015. L’expérience acquise depuis des années autour des normes de management de la qualité peut permettre de passer directement à une norme de management de la sécurité SI sans passer par la case « assurance » (de la qualité). C’est un des enjeux de cette norme ISO 27001.

Enfin, c’est aussi notre expérience en accompagnement des projets de transformation (autour de normes ISO ou de CMMI par exemple) qui nous permet d’aider nos clients à tirer le meilleur de ces normes pour leurs projets d’amélioration de leurs organisations. Car c’est bien de cela qu’il s’agit finalement.

Partager cet articleShare on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn