ISO 27002 « Code de bonnes pratiques pour la gestion de la sécurité de l'information »
Le standard ISO 27002 (anciennement appelé ISO 17799) est un ensemble de recommandations pour la gestion de la sécurité de l'information issu de la norme britannique BS7799:1, il couvre autant les aspects techniques, administratifs que juridiques et peut
être utilisé par n'importe quel organisme quelque soit son activité et sa dimension. Ces aspects sont regroupés au travers de dix grandes thématiques :
 La politique de sécurité : pour exprimer les objectifs et les exigences de la direction
L'organisation de la sécurité : pour définir les rôles et responsabilités des gestionnaires, utilisateurs, contractuels et fournisseurs de services, propriétaires des biens et pour définir les mécanismes de sécurité
à mettre en place afin d'assurer la sécurisation de l'accès des tiers aux informations et ressources de l'organisme.
La classification et le contrôle de biens : pour faire l'inventaire des biens, leur affecter un propriétaire, les classifier; déterminer leur niveau de protection et établir les mesures de sécurité
à mettre en place selon leur utilisation.
La sécurité du personnel : pour intégrer la sécurité dans les procédures de définition des tâches et des ressources afin de réduire les risques d'origine humaine par la formation des utilisateurs et la gestion des incidents.
La sécurité physique : pour préciser les mesures a mettre en place pour sécuriser le matériel et éviter les
accès non autorisés dans les locaux ainsi que les dommages pouvant affecter les biens et les opérations quotidiennes.
La gestion des opérations et des communications : pour assurer le bon fonctionnement des équipements, la sécurité des réseaux de télécommunication, des
systèmes d'exploitation et des applications et établir les procédures relatives
à toutes les opérations de sauvegarde et d'échange de données à travers les réseaux.
Le contrôle des
accès : pour mettre en place un contrôle pour l'accès au réseau, aux applications et aux données afin de se protéger contre les intrusions externes et les abus internes.
Le développement et la maintenance des des
systèmes : pour définir des règles de sécurité dans l'acquisition, le développement, l'implantation et l'entretien des
systèmes d'informations.
La gestion de la continuité d'activité : pour élaborer un plan de continuité et de
relève de services, un plan de sauvegarde de données et des applications pour parer aux interruptions des activités et protéger les tâches sensibles des effets de pannes majeures ou des catastrophes.
La conformité a la réglementation interne et externe : pour s'assurer du respect des lois et des réglementations, ainsi que de l'efficacité des procédures et des mesures de sécurité mises en place, en relation avec la politique de sécurité de l'information.
Bien que les principales thématiques de la norme version 2000 aient été conservées, la norme ISO 17799 : 2005 vient d'appréhender de nouvelles thématiques qui consistent surtout
à identifier les menaces, déterminer les vulnérabilités et procéder à l'analyse des risques identifiés en tenant compte des
paramètres suivants : sensibilité des actifs informationnels de l'entreprise, impact économique des sinistres potentiels, probabilité de leur survenance et
coût des mesures proposées.
Le tableau ci-dessous représente toutes les modifications du passage de ISO 17799 : 2000
à ISO 17799 : 2005
|
ISO 17799:2000
|
ISO 17799:2005
|
|
0 Introduction
0.1 Qu'est ce la sécurité de l'information?
0.2 Pourquoi on a besoin de la sécurité de l'information?
0.3 Comment établir les exigences de la sécurité?
0.4 Identification des risques de la sécurité
0.5 Sélection des contrôles
0.6 Point de départ de la sécurité de l'information
0.7 Principaux facteurs de
succès
0.8 Développement de votre guide
|
0 Introduction
0.1 Qu'est ce la sécurité de l'information?
0.2 Pourquoi on a besoin de la sécurité de l'information?
0.3 Comment établir les exigences de la sécurité?
0.4 Identification des risques de la sécurité
0.5 Sélection des contrôles
0.6 Point de départ de la sécurité de l'information
0.7 Principaux facteurs de
succès
0.8 Développement de votre guide
|
|
1 Domaine d'application
|
1 Domaine d'application
|
|
2 Termes et Définitions
|
2 Termes et Définitions
|
|
|
3 Structure de ce Standard
3.1 Clauses
3.2 principales catégories de sécurité
|
|
|
4 Identification et traitement de risque
4.1 Identification de risque
4.2 Traitement des risques de sécurité
|
|
3 Politique de sécurité
3.1 Politique de sécurité de l'information
|
5 Politique de sécurité
5.1 Politique de sécurité de l'information
|
|
4 Sécurité Organisationnelle
4.1 Infrastructure de la sécurité de l'information
4.2 Sécurités d'accès pour les tierces personnes
4.3 Sous-traitance
|
6 Organisation de la sécurité de l'information
6.1 Organisation interne
6.2 Parties externes
|
|
5 Classification et Contrôle des biens
5.1 Responsabilité des biens
5.2 Classification des informations
|
7 Gestion des biens
7.1 Responsabilité des biens
7.2 Classification des informations
|
|
6 Sécurité du personnel
6.1 Intégration de la sécurité dans les procédures de définition des tâches et des ressources
6.2 Formation des utilisateurs
6.3 Réactions face aux incidents et aux défauts de fonctionnement
|
8 Sécurité des ressources humaines
8.1 Avant le recrutement
8.2 Pendant l'emploi
8.3 A la fin de l'emploi ou lors de changement de poste.
|
|
7 Sécurité physique et de l'environnement
7.1 Zones de sécurité
7.2 Sécurité des équipements
7.3 Contrôles Généraux
|
9 Sécurité physique et de l'environnement
9.1 Zones de sécurité
9.2 Sécurité des équipements
|
|
8 Gestion des communications et des opérations
8.1 Procédures opérationnelles et responsabilités
8.2 Planification et approbation du
système
8.3 Protection contre les programmes malicieux
8.4 Housekeeping
8.5 Gestion du réseau
8.6 Sécurité et manipulation des médias
8.7 échange d'informations et de logiciels
|
10 Gestion des communications et des opérations
10.1 Procédures opérationnelles et responsabilités
10.2 Gestion de la prestation de service de partie tierce
10.3 Planification et approbation du
système.
10.4 Protection contre les programmes malicieux
10.5 Sauvegarde
10.6 Gestion de la sécurité réseau
10.7 Manipulation des Medias
10.8 Échange d'Informations
10.9 Services de commerce électronique
10.10 Supervision, Monitoring
|
|
9 Contrôle d'accès
9.1 Exigences du service pour le contrôle des
accès
9.2 Gestion des
accès utilisateurs
9.3 Les responsabilités des utilisateurs
9.4 Contrôles des
accès aux réseaux
9.5 Contrôles des
accès aux systèmes d'exploitation
9.6 Contrôle des
accès aux applications
9.7 Surveillance des
accès et de l'utilisation des systèmes
9.8 Informatique mobile et télétravail
|
11 Contrôle d'accès
11.1 Exigences du service pour le contrôle des
accès
11.2 Gestion des
accès utilisateurs
11.3 Les responsabilités des utilisateurs
11.4 Contrôles des
accès aux réseaux
11.5 Contrôles des
accès aux systèmes d'exploitation
11.6 Contrôle des
accès aux applications
11.7 Informatique mobile et télétravail
|
|
10 développement et maintenance des
systèmes
10.1 Exigence de sécurité pour les
systèmes
10.2 Sécurité
système des applications
10.3 Mesures cryptographiques
10.4 Sécurité des fichiers
système
10.5 Sécurités au niveau des processus de
développement et processus support.
|
12 Acquisition, Développement et maintenance des
Systèmes d'information
12.1 Exigence de sécurité pour les
systèmes
12.2 Sécurités
systèmes d'applications
12.3 Mesures cryptographiques
12.4 Sécurité des fichiers
système
12.5 Sécurités au niveau des processus de
développement et processus support.
12.6 Gestion des vulnérabilités techniques.
|
|
|
13 Gestions des incidents de sécurité
13.1 Report des incidents et de failles
13.2 Gestion des incidents et amélioration
|
|
11 Gestion de la continuité des activités de l'organisme
11.1 Aspects de la gestion de la continuité de l'activité de l' organisme
|
14 Gestion de la continuité des activités de l'organisme
14.1 Aspects de la gestion de la continuité de l'activité de l' organisme
|
|
12 Conformité
12.1 Conformité aux exigences légales
12.2 Revue de la politique de sécurité et conformité technique
12.3 Considérations sur les audits des
systèmes
|
15 Conformité
15.1 Conformité aux exigences légales
15.2 Conformité avec la politique de sécurité, les standards et conformité technique
15.3 Considérations sur les audits des
systèmes
|
|
|
Bibliographie
|
|
|
Index
|
|
