The success of these standards has been widely observed both in France and on an international scale for many years and shows no signs of decline. For instance, the 2022 ISO annual survey showed a 19% increase in ISO 27001 certifications worldwide from 2020 to 2021, and a 44% increase in France.

After nearly 10 years of effective and loyal service from their previous major version, dating from 2013, the third edition of the ISO 27001 and ISO 27002 standards was published in 2022. What changes have been made and how does this affect our analysis of the Information Security landscape?

The first obvious change reflects the evolution of the “Information Security” field over the decade: “cybersecurity” and “privacy” are now part of the standards’ titles:

• ISO/IEC 27001:2022 Information security, cybersecurity, and privacy protection — Information security management systems — Requirements
• ISO/IEC 27002:2022 Information security, cybersecurity, and privacy protection — Information security measures

The evolution of security measures (Annex A): the main change in ISO 27001 

The new edition of the ISO 27001 standard presents very few alterations in its body: the few changes mainly clarify or make explicit some clauses of the standard without changing their content.

Some changes will require limited alterations to the ISMS, such as:

• The explicit obligation to document the objectives of the ISMS and to monitor their achievements (clauses 6.2 d) and g))
• The need to plan ISMS changes (clause 6.3): this clause could be covered, for example, by extending the ISMS improvement management process to any ISMS change, or by relying directly on the organization’s change management process
• The reinforcement of the obligation to control externally provided processes that contribute to the application of the selected requirements or to the achievement of the ISMS objectives, by extending it to externally provided products and services (clause 8.1)
• The possibility of choosing which expectations of “interested parties” (customers, management, employees, etc.) the ISMS must meet (clause 4.2 c)): the standard now allows the exclusion of certain expectations. This clause thus allows the prioritization of certain expectations or choice between mutually exclusive expectations. This change will probably require increased transparency towards the interested parties to inform them of the decisions taken. It should be noted that the management review will now have to take into account changes of the interested parties’ expectations (clause 9.3.2 e)), in addition to the feedback from interested parties previously required.

Nevertheless, the main evolution of the ISO 27001 standard is Annex A. This annex provides a catalog of security measures – the measures being detailed in the new version of ISO 27002 -, which provides additional information and implementation recommendations for each of them.

Updates to this Annex A can thus be studied in the new version of ISO 27002.

A modernized version of ISO 27002, which is easier to use

The update of ISO 27002 is simplified, modernized, and easier to use.  

First, the standard benefits from a simplified organization: previously divided into 14 chapters (some with somewhat convoluted titles…), security measures are now grouped into 4: organizational measures, people-related measures, physical measures, and technological measures.  

This edition also gives rise to a (new) reduction in the number of security measures, from 114 to 93 (133 measures were included in the initial version from 2005). The content of the measures globally remains close to the previous version, but they have been reorganized. The changes are summarized below:

Note that Annex B details the correspondence between the requirements of the old and new versions of the standard: this will be a very useful tool for organizations in the transition phase (at least for updating the risk management plan and the statement of applicability).

11 new measures have been added to the standard, addressing some of the shortcomings of the previous version as well as alterations in recent years:

• Three measures reinforce data protection: the deletion of non-essential or expired information (Information Deletion), prevention of information leakage (Data Leakage Prevention) and the masking of sensitive information (Data Masking). It should be noted that the standard neither obliges nor limits the application of these measures to personal data: each organization is free to choose whether or not to apply these measures according to its risk assessment and to apply them to the categories of information that are appropriate to its context.
• The operational resilience component has also been strengthened by four measures: the integration of intelligence on threats related to information security (Threat Intelligence), monitoring of abnormal behavior on information systems to detect security incidents (Monitoring Activities), monitoring of physical access and intrusion detection (Physical Security Monitoring) and the integration of digital operational resilience for  organizational business continuity (ICT Readiness for Business Continuity).
• A single measure dedicated to the security of cloud services (Information Security for use of Cloud Services) has been introduced, inviting organizations to define a process for managing these services from subscription to termination, integrating their chosen security measures.
• The three complementary measures strengthen IS protection at different levels:
  • A measure related to the hardening and protection of configurations (Configuration Management)
  • A measure related to the security of developments (Secure Coding)
  • A measure aimed at defining a filtering policy for Internet access (Web Filtering)

Another major new feature (only present in ISO 27002) to facilitate the appropriation and use of the standard, is the implementation of a description of each measure, which presents five attributes that can contain one or more values among the following:

• Type of security measure: #Preventive, #Detective and #Corrective
• Information security properties: #Confidentiality, #Integrity, #Availability
• Cybersecurity concepts: #Identify, #Protect, #Detect, #Respond, #Recover
• Operational Capabilities: #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management, #Information_security_assurance
• Security domain: #Governance_and_Ecosystem, #Protection, #Defense, #Resilience

For example, the new Threat Intelligence metric covers the three security criteria #Confidentiality, #Integrity and #Availability.

These attributes facilitate analysis beyond a simple chapter-by-chapter approach, and thus provide real value: for example, the cybersecurity concepts correspond to the dimensions of the NIST (National Institute of Standards and Technology) Cybersecurity Framework (CSF), an internationally recognized standard widely used by organizations. The reconciliation of ISO 27002 and NIST CSF measures will thus be possible, meeting the constraints of many organizational functions (regulatory, audits, reporting, etc.).

The operational capabilities are the closest to the 14 chapters of the previous version of the standard: these operational capabilities can thus facilitate the organization of the IS Security Policy and the associated repository by limiting the impacts on a repository aligned with the previous version.

Overall, these attributes offer greater flexibility to organizations that can now build their security repository more freely according to their contexts and requirements.

Transitioning to the 2022 version

For organizations already certified to ISO 27001, the transition effort will be linked to changes in security measures, as the alterations to the ISO 27001 content require only a limited investment. However, the following actions will need to be undertaken:

1. Update the ISMS Manual:
   • Clarify interested parties’ expectations and which ones are addressed by the ISMS
   • Update the ISMS improvement management process to include ISMS change management
   • Insert a process summary diagram to show the interactions between processes
2. Document the security objectives and implement indicators to monitor their achievements
3. Ensure that performance and efficiency criteria are defined for each process
4. Ensure that externally provided products and services are included in the ISMS (or integrated into it, as appropriate)
5. Include in the management review the changes of interested parties’ expectations, by identifying those that are covered by the ISMS

In order to address the evolution of these measures, the next update of organizations’ information security risk assessments and risk treatment plans should measure the compliance of the ISMS with the new measures and organize and plan the implementation of any new measures selected. The statement of applicability will then have to be reorganized and updated to integrate the new measures.

The IS Security Policy (including the associated repositories: charters, directives, processes, procedures, standards…) will also have to evolve to consider the evolution of ISO 27001 Annex A. The use of attributes and Annex B of ISO 27002 will facilitate this change for all organizations.

In terms of timing, as ISO 27001:2022 was published in October 2022, organizations can now require ISO 27001:2022 certification. However, it is still possible to apply for ISO 27001:2013 certification until October 2023. From November 2023 onwards, any new certification will be based on the 2022 version of the standard.

For ISMS which are already certified ISO 27001, the transition period is 3 years maximum to switch to the 2022 version.

The specific case of organizations certified as Health Data Hosts (HDS)

Since April 1^st, 2018, organizations based in France and hosting personal health data according to the conditions detailed in Article L1111-8 of the French Public Health Code must have a Health Data Host (HDS) certification, requiring as a prerequisite an ISO 27001 certification.

As the standard has not changed since it came into effect, the HDS certification requirements are still based on the 2013 version of the ISO 27001 standard. The call for comments made at the end of 2022 on the draft of the new HDS standard nevertheless integrates the new version of ISO 27001 (although the table of reference documents still points to ISO 27001:2013). The future HDS certification standard, which is expected to come into effect in April 2023, will therefore be based on the new version of the ISO 27001 standard.

It should be noted that the evolution of the HDS standard will also clarify some of the hard points of HDS certification mentioned in our previous articles, such as the scope of application of activity 5 “Administration and operation of the information system containing health data”.

Conclusion

These new versions of the ISO 27001 and ISO 27002 reference standards thus enable information security measures to be adapted to recent changes in the field, so that organizations can benefit from the most up-to-date arsenal for dealing with their information security risks.

While a growing number of regulations are based on these standards, such as the obligation of ISO 27001 certification for Health Data Hosts in France or for Essential Services Operators in Belgium, this new version allows organizations to reinforce their level of maturity without forcing them to make loss-making investments during the transition phase. These investments will be mainly focused on the consideration of new security measures relevant to the treatment of the organization’s security risks.

Cet article The Evolution of the ISO 27001 and ISO 27002 Standards: Impacts on Organizations est apparu en premier sur RiskInsight.

Deux ans après, quel bilan ?

L’un des principaux changements induit par la certification est la délivrance des certificats HDS par un organisme indépendant accrédité par le Comité Français d’Accréditation (COFRAC), et non plus par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé), devenue l’Agence du Numérique en Santé (ANS) fin 2019. Sept organismes ont franchi le pas et sont désormais accrédités. Ces organismes avaient tout intérêt à se mobiliser rapidement pour anticiper les nouvelles demandes de certification ISO 27001 et HDS et ainsi augmenter leur part de marché.

Et la demande est importante ! Au 21/02/2020, 89 organisations ont déjà obtenu la certification HDS, soit près de 4 certifiés par mois. Parmi elles, certaines disposaient déjà d’un agrément Hébergeur de Données de Santé.

Figure 1. Répartition des organisations certifiées Hébergeur de Données de Santé (HDS)

Sans surprise, la majorité des acteurs ayant obtenu la certification HDS sont des entreprises proposant des services d’hébergement et d’infogérance, incluant des fournisseurs cloud internationaux, et des éditeurs de logiciels. Ils représentent à eux seuls 83% des certifiés. Poussés principalement par des motivations économiques, ces acteurs mettent tous les arguments de leur côté pour conserver leurs clients et élargir leur portefeuille aux organisations ne souhaitant pas se lancer dans l’aventure de la certification HDS.

D’autres sociétés telles que des fournisseurs d’équipements biomédicaux ou de biotechnologies, des groupements de santé (Groupement d’Intérêt Public, Groupement de Coopération Sanitaire) ainsi qu’une mutuelle ont également franchi le cap, mais restent précurseurs dans leur domaine d’activité.

Et les établissements de santé ?

À date, seuls 3 groupements d’établissements de santé privés sont certifiés HDS, mais ce chiffre pourrait augmenter très prochainement. En effet, les Groupements Hospitaliers de Territoire (GHT) sont en cours de mise en œuvre de leur Système d’Information convergent, projet qui devrait s’étendre sur une durée plus longue qu’initialement anticipée dans de nombreux GHT. Ainsi qu’évoqué dans notre précédent article, ces travaux peuvent ainsi amener l’établissement support d’un GHT à héberger des données de santé pour le compte des autres établissements. Deux choix s’offrent alors à lui :

• Obtenir la certification HDS. C’est l’option vers laquelle devraient se tourner la plupart des établissements de taille importante. En effet, la taille de leur DSI leur permet généralement de réaliser le projet et d’offrir le service à long terme au GHT. Afin de se laisser le temps d’obtenir la certification HDS, certains d’entre eux optent pour un hébergement temporaire des applications mutualisées chez un acteur déjà certifié ou encore agréé HDS ;
• Externaliser l’hébergement des données de santé chez un acteur certifié. Cette option sera notamment plébiscitée par les établissements de taille limitée, pour qui l’investissement associé à une certification parait disproportionné. Ces établissements pourront par exemple privilégier un hébergement auprès d’acteurs certifiés HDS de taille comparable, qui seront plus à même de s’adapter à leurs besoins, et qui auront l’habitude de travailler avec des établissements de la santé.

Quels sont les principaux chantiers d’une mise en conformité HDS ?

La certification HDS reposant en premier lieu sur une certification ISO 27001, les recommandations de mise en œuvre de nos précédents articles restent applicables. Au-delà de la mise en place du Système de Management de la Sécurité de l’Information (SMSI) et d’un fort accompagnement au changement, les chantiers complémentaires reposent sur des exigences de l’ISO 20000-1 et de l’ISO 27018, ainsi que sur quelques exigences spécifiques santé. Ces chantiers de mise en conformité HDS d’un SMSI peuvent être
répartis en trois domaines :

Figure 2. Chantiers de mise en conformité HDS d’un Système de Management de la Sécurité de l’Information (SMSI)

Pour les organisations déjà certifiées ISO 27001 ou se conformant déjà aux normes ISO précitées, l’effort à fournir pour obtenir la certification HDS est moindre, et peut s’apparenter à un « quick win ».

Pour celles possédant un agrément HDS, la marche à franchir peut rester assez haute. En plus de la formalisation d’un référentiel documentaire plus conséquent que pour l’agrément, le contrôle de la conformité de l’ensemble du périmètre (ou « domaine d’application » au sens de l’ISO 27001) et de la démarche d’amélioration continue par un organisme indépendant spécialisé représente une difficulté additionnelle, gage de la valeur de cette certification.

Enfin, pour les organisations ne disposant d’aucun des accélérateurs précédents, l’effort à fournir dépendra du niveau de maturité vis-à-vis du référentiel de certification.

Quels financements pour les établissements de santé ?

Aujourd’hui, aucun financement direct des projets de certification ou d’externalisation n’est proposé. Cependant, grâce au programme HOP’EN, successeur du programme Hôpital Numérique, 420 millions d’euros sont prévus pour permettre aux GHT de financer la modernisation de leur SI. Ils pourront ainsi se tourner vers ces financements pour la construction de leur SI convergent. Tout comme son prédécesseur, le programme HOP’EN définit des indicateurs permettant aux établissements de mesurer leur maturité vis-à-vis des prérequis et des sept domaines fonctionnels. Une boite à outils a été publiée par l’Agence Nationale d’Appui à la Performance des établissements sanitaires et médico-sociaux (ANAP) pour faciliter l’atteinte des prérequis.

Comment sécuriser l’obtention de la certification ?

En fonction de la maturité de l’organisation, un projet de certification peut représenter une charge et des investissements lourds dans la durée, aussi bien lors du projet qu’à son issue pour assurer le maintien des certifications les années suivantes. Afin de sécuriser l’atteinte de l’objectif, certaines organisations optent pour une stratégie de certification en deux temps : pour commencer, elles se concentrent sur la certification ISO 27001, puis s’attèlent dans un second temps à la certification HDS. Ce choix comporte de nombreux avantages :

• Sécuriser l’obtention de chaque certification en limitant le nombre de nouvelles exigences à respecter et ainsi limiter le risque de non-conformité ;
• Faciliter la conduite du changement et l’appropriation des exigences à atteindre par les équipes : se concentrer sur un référentiel à la fois permet de simplifier la mise en place des nouveaux processus et nouvelles règles de sécurité en réduisant l’ampleur du changement à chaque étape ;
• Se laisser du temps pour mener à bien les chantiers de mise en conformité. Cette option permet de répartir les charges et investissements à réaliser sur une plus longue période. Cela est valable en particulier pour les chantiers techniques de mise en conformité cités précédemment, qui peuvent être particulièrement onéreux et chronophages.

Une seconde bonne pratique pour sécuriser cette certification est de réaliser un audit à blanc, c’est-à-dire un audit préparatoire mais réalisé dans les conditions réelles d’un audit de certification HDS. L’organisation y trouvera deux principaux apports :

• Obtenir l’avis d’un auditeur, indépendant vis-à-vis de l’équipe projet et de l’auditeur de certification, quant à ses chances d’obtenir la certification. L’auditeur aidera également à peaufiner et corriger les derniers détails avant le démarrage de l’audit de certification ;
• Préparer et entrainer les équipes à l’exercice de l’audit, et en particulier les aider à préparer les réponses et preuves à présenter à l’auditeur.

Des évolutions à venir ?

Après moins de 2 ans d’existence, le référentiel s’apprête à subir de grosses modifications. En effet, l’Asip Santé a annoncé en avril dernier la volonté de retirer l’activité 5 du référentiel de certification. Cette activité, concernant l’administration et l’exploitation du système d’information contenant les données de santé, a suscité débat. En effet, les activités d’infogérance pouvant être dissociées des activités d’hébergement, il peut s’avérer difficile voire impossible pour un acteur ne réalisant que les activités d’infogérance d’être consulté sur les choix réalisés en termes de sécurité de l’hébergement, et ainsi de respecter l’intégralité des exigences du référentiel. Les exigences liées à l’activité 5 devraient donc être proposées sous un nouveau format à l’avenir, afin de s’adapter davantage aux activités d’infogérance.

De nombreux établissements de santé, à l’instar des infogérants et les éditeurs de logiciels de santé, espèrent eux aussi un assouplissement du référentiel de certification HDS. Les exigences imposant l’atteinte d’un niveau de sécurité élevé pour la protection des données à caractère personnel, la marche à franchir peut s’avérer très haute pour les établissements. Ainsi, certains d’entre eux ont fait le choix de ne viser que la certification ISO 27001 pour le moment. L’évolution des exigences pour les établissements de santé reste également à surveiller, après l’annonce par la Direction Générale de l’Offre de Soins (DGOS) d’une certification des systèmes d’information hospitaliers en 2020, vouée à centraliser toutes les exigences liées à l’informatisation des établissements de santé.

Une autre évolution majeure possible concerne les GHT et leur obligation réglementaire d’héberger leur SI convergent auprès d’un hébergeur certifié HDS. Cette obligation ne perdure en effet que tant qu’un GHT reste constitué de personnes morales indépendantes. Cette obligation pourrait ainsi devenir caduque en cas constitution d’« établissements publics de santé territoriaux » en lieu et place des GHT, ainsi que proposé dans le récent rapport de l’Inspection Générale des Affaires Sociales (IGAS). Ce changement reste néanmoins peu probable à court et moyen terme.

Ces possibles évolutions ne semblent aujourd’hui pas affecter les demandes de certification ISO 27001, dont le volume continue de croître en France ainsi qu’anticipé dans notre précédent article, avec une croissance de 27% des certificats ISO 27001 entre 2017 et 2018 selon les derniers chiffres publiés par l’ISO. Cette croissance devrait logiquement se poursuivre sur les années à venir.

Cet article Certification Hébergeur de Données de Santé : deux ans déjà ! est apparu en premier sur RiskInsight.

Des évolutions de forme…

La norme se compose dorénavant de 14 chapitres contre 11 dans la version 2005. Les nouveaux chapitres intitulés « Cryptographie », « Relations avec les fournisseurs », « Sécurité des télécommunications » et « Sécurité de l’exploitation » sont issus d’un découpage des chapitres existants.

Les objectifs de sécurité passent de 39 à 35, ils sont formulés de manière plus synthétique, plus souple, augurant plus d’efficacité dans l’implémentation.

Certaines mesures de sécurité ont été modifiées ou supprimées, et finalement peu ont été ajoutées (6 seulement), ce qui diminue le nombre global (133 à 113 mesures).

… et des évolutions de fond

Trois sujets ont réellement fait l’objet d’évolutions structurantes.

Le chapitre « acquisition, développement et maintenance » a été revu en profondeur et prend maintenant en compte la sécurité applicative en incluant des mesures sur « System acceptance testing » (outil d’analyse de code, scanners de vulnérabilités), « System security testing during development », « Secure system engineering principles », « Outsourced developement »… Par ailleurs, les mesures deviennent plus générales, en supprimant l’objectif de sécurité sur « le bon fonctionnement des applications » (validation des données en entrée et en sortie, intégrité des messages, etc.). La gestion des données de tests est traitée dans ce chapitre.

Le chapitre “Information security aspects of business continuity management” traite maintenant de la continuité de la sécurité de l’information et non plus de la continuité business ! Ainsi, une note indique que les informations concernant le business continuity management sont disponibles dans les normes  ISO 22301, 27301, 22313. Seul un objectif de sécurité intitulé « redundancies » concerne la disponibilité des « information processing facilities ». Même si la norme réduit la portée de ces mesures, rien n’empêche de conserver les mesures « historiques » sur le PCA.

Le chapitre « contrôle d’accès » se concentre sur la gestion des accès des utilisateurs et sur l’accès aux applications et aux systèmes : le contrôle d’accès réseau, le contrôle d’accès à l’OS, le télétravail ne font plus partie de ce chapitre. En particulier, les mesures portant sur le cycle de vie des habilitations ont été complétées : depuis l’enregistrement des utilisateurs jusqu’aux revues des droits et la suppression des droits en cas de départ. L’authentification par mot de passe a été élargie aux « secret authentication ». Un focus spécifique est maintenant fait sur l’accès au code source.

Concernant les autres chapitres de la norme, les évolutions sont moins notables. On peut relever les points suivants.

Le chapitre « gestion des incidents liés à la sécurité de l’information » est complété par quelques précisions : une phase de « assessment of and decision on information security events » permet de déterminer si les évènements sont considérés comme des incidents de sécurité et une phase de « response to information security incidents » décrit la gestion des incidents. La phase d’apprentissage suite à l’analyse des incidents est assouplie : il n’est plus nécessaire d’évaluer le type, le volume et les coûts des incidents.

Le chapitre « sécurité du réseau » agrège maintenant toutes les mesures liées au réseau et reprend également celles issues du chapitre « gestion des télécommunications et de l’exploitation » (« gestion de la sécurité des réseaux » et « échange des informations ») et celles issues du chapitre « Contrôle d’accès » en ne conservant que le contrôle « cloisonnement des réseaux ».

Le chapitre « relation avec les fournisseurs » concentre tous les contrôles liés à la gestion des fournisseurs, en remplaçant la notion de « tiers » par « fournisseur ». Un nouveau contrôle est ajouté sur le report des mesures de sécurité sur la chaine de sous-traitance, tandis que le contrôle sur « l’identification des risques provenant des tiers » a été supprimé.

En synthèse, la version 2013 n’est pas révolutionnaire, mais les évolutions font apparaître plus de cohérence au sein des chapitres, ce qui rend la norme plus lisible pour les acteurs en charge de la mise en œuvre.

Qu’en est-il des sujets liés aux évolutions des usages et des technologies depuis 2005 ?

Certaines thématiques incontournables en termes de sécurité ne sont toujours pas traitées explicitement dans la norme :

• Des mesures basiques ne sont pas prises en compte, en particulier : le durcissement des postes de travail ou des serveurs, les réseaux sans fil, etc.

• Certaines règles restent trop macroscopiques pour réellement constituer de bonnes pratiques, notamment sur la sécurité du réseau : « networks should be managed and controlled to protect information in systems and applications », « groups of information services, users and information systems should be segregated on networks »

• Les nouvelles menaces (cybercriminalité) et les réponses associées ne sont pas développées : on ne parle pas de surveillance et de corrélation des évènements de sécurité (logique SOC), de sécurisation de l’administration, de sécurisation des accès à l’entreprise, notamment depuis Internet, des dispositifs de réaction en cas de cyber-attaques (logique CERT)…

• Les (r)évolutions technologiques ne sont pas non plus explicitement prises en compte : ni le cloud, ni la virtualisation ne sont abordés

On pourra arguer que la famille ISO 27xxx se complète avec des normes spécifiques (cloud computing, surveillance sécurité, etc.), mais il n’en reste pas moins que ce soit gênant si on considère que l’ISO 27002 reste le référentiel le plus générique et le plus utilisé pour la sécurité du SI.

A noter que la norme ISO 27001:2013 appuie sur le fait de compléter la Déclaration d’Applicabilité avec des mesures qui ne sont pas présentes dans l’ISO 27002, ce qui permet de pallier certains manques.

Une norme qui reste « l’esperanto » de la sécurité

La nouvelle version de la norme ISO 27002 reste donc une liste de mesures de sécurité, ne détaillant pas l’ensemble des caractéristiques de mise en œuvre.

Sa stabilité dans le temps et son caractère « indépendant des technologies » devrait, malgré ces quelques défauts, lui garantir le même succès dans la durée.

Cet article ISO 27002 : tour d’horizon des nouveautés est apparu en premier sur RiskInsight.

Ce défaut d’outillage complique l’obtention d’une vision consolidée des différentes activités et impacte directement l’efficacité de la SSI. Dans ce contexte, que peuvent apporter les outils de GRC (Gouvernance, Risque, Conformité) ?

Des outils aux fonctionnalités très étendues

Historiquement orientés vers les besoins de conformité et de contrôle pour adresser les acteurs de la Banque/Assurance, les éditeurs d’outils de GRC ont depuis étoffé leur offre. Les principales évolutions ont porté sur la gestion du risque, voire des risques SI pour certains éditeurs, avec des fonctionnalités qui arrivent aujourd’hui à maturité.

D’un point de vue pratique (et commercial), celles-ci sont souvent regroupées dans des modules thématiques. Si ce découpage dépend de chaque éditeur, certaines offres sont couramment reprises :

Une polyvalence capable de répondre aux besoins du RSSI

Chaque module des outils de GRC peut être utilisé dans une logique SSI.

• La gestion du risque peut être mise en œuvre selon des normes SSI établies (dont EBIOS et ISO 27005).
• Les phases de collecte et d’évaluation des risques peuvent être alimentées à partir des autres données, comme les résultats des contrôles et les incidents de sécurité déclarés.
• Les plans de traitement issus des risques, des contrôles, des incidents, peuvent être consolidés en une vue unique, quelle que soit la source du plan d’actions.

De plus, les outils GRC peuvent contribuer au maintien d’un système de management de la sécurité de l’information (SMSI) : en complément de la gestion et du traitement des risques, certains modules permettent le réexamen de son bon fonctionnement (via les contrôles et les audits).

Les éditeurs commencent d’ailleurs à s’intéresser de près aux problématiques des RSSI et de la mise en conformité aux référentiels de la famille ISO 2700x. Certains proposent déjà des solutions « sur étagère » : sélection des modules appropriés pour le maintien d’un SMSI suivant l’ISO 27001, adaptation du vocabulaire, catalogues de contrôles déclinés des mesures de l’ISO 27002.

De nouvelles offres proposées par les éditeurs vont également permettre d’industrialiser certaines activités spécifiques du RSSI : module de suivi des plans de continuité d’activité (élaboration de Business Analysis Impact, gestion de la mallette de crise) ; développement d’interfaces avec des solutions de gestion des évènements de sécurité (type SIEM ou scan de vulnérabilité) pour suivre leur traitement.

Une méthodologie éprouvée, un déploiement progressif et une démarche mutualisée : les facteurs clés pour envisager une mise en place

Certains éléments ne doivent pas être négligés avant de se lancer. Au-delà des problématiques de coûts et de ressources (intégration de l’outil, reprise des données pouvant être chronophage…), une réflexion sur trois actions clés doit être menée en amont :

• La méthodologie doit déjà être industrialisée : il est indispensable de ne pas cumuler la mise en place de l’outil à la définition des méthodes.
• Le lotissement doit être progressif  : cela facilitera l’appropriation de l’outil par les équipes, accompagnant ainsi le changement. Les coûts pourront également être lissés dans le temps.
• La démarche peut être mutualisée avec les entités de la sphère « risque » : les outils permettent de répondre à des besoins très variés, et peuvent gérer plusieurs instances. Ainsi une réflexion commune avec d’autres entités en charges des risques (Direction des Risques, Direction de l’Audit,  Direction de la Conformité, etc.) peut être envisagée pour garantir une meilleure intégration de la filière Risques et partager les coûts de l’outil.

Les outils de GRC s’adressent avant tout à des RSSI disposant déjà de processus rodés. Ils constituent une réelle opportunité d’industrialiser cette gouvernance… pour peu que celle-ci soit déjà bien établie. Dans le futur, ces outils pourront également répondre aux besoins d’industrialisation d’une gestion globale des risques, s’appuyant sur  un cadre unique.

Cet article Les outils de GRC : une opportunité d’industrialisation de la gouvernance SSI ? est apparu en premier sur RiskInsight.

Une nouvelle publication qui gagne en lisibilité

La première évolution de cette nouvelle version est une réorganisation globale des thématiques. Elles manquaient effectivement de clarté par le passé.

Cela se matérialise par l’adoption d’une structure globale PDCA bien plus affirmée qu’auparavant. Elle reprend la structure dite « haut-niveau » par ISO/IEC qui définit une organisation, une terminologie et des définitions communes afin de garantir une unité entre les différentes normes de système de management. Ceci facilitera la construction de systèmes de management intégrés.

Contrairement à la précédente publication, une progression linéaire apparait plus clairement et permet un découpage en 4 phases.

• La première correspondant au « PLAN » est nommée « Context », « Leadership », et « Planning » (chapitre 4 à 6). Elle décrit l’identification du contexte de l’organisation, la définition de la gouvernance du SMSI, l’identification des risques et la détermination des objectifs de sécurité ainsi que la planification de leur mise en œuvre. Il est à noter l’utilisation d’un vocabulaire plus précis que dans l’ISO 27001:2005 concernant l’énonciation des clauses.

• La seconde phase, « DO » (chapitres 7 « Support » et 8 « Operation »), explique l’identification et l’allocation des moyens supports du SMSI, l’élaboration de la documentation et le déploiement des mesures de traitement du risque.

• Une phase « CHECK » (chapitre 9 « Performance Evaluation ») se dessine et comprend la mise en œuvre des processus de contrôle, d’audit interne et de revue par la direction du SMSI.

• Enfin, une phase « ACT » (chapitre 10 « Improvement ») explique les processus de traitement des non-conformités et d’amélioration du SMSI. Ceux-ci sont simplifiés en réduisant en particulier le contrôle sur les enregistrements.

Des évolutions de forme plus que de fond

Plusieurs concepts sont abordés plus en détail dans la nouvelle version de l’ISO 27001.

L’apparition du terme  « top management »

Un chapitre entier (5.3. Organizational roles, responsabilities and authorities) dans la nouvelle ISO 27001 remplace une simple clause et souligne l’importance de l’assignation des responsabilités par le « top management ». Cette dénomination est également reprise dans les phases de construction du SMSI, de contrôles et de revue de direction.

Les interfaces enfin reconnues en tant que telles

La norme précise enfin le concept d’interface (4.3.c). Très utilisé actuellement, il permet de définir les rôles et responsabilités des différents « fournisseurs » du SMSI, qu’ils soient internes ou externes. Cette précision entérine un concept déjà bien en place. D’autre part, les parties prenantes deviennent un élément déterminant pour identifier les exigences de sécurité  (4.2.a).

Une définition des indicateurs simplifiée

Un chapitre (6.2. Information security objectives and plans to achieve them) énonce la nécessité de documenter des objectifs de sécurité de l’information à des niveaux pertinents. Mais surtout il met en avant le fait que les mesures de sécurité doivent être suivies par des indicateurs seulement si cela est « practicable ». Nous verrons ce que donnera la traduction en français mais il en est terminé de l’obligation de mettre des indicateurs sur l’ensemble des mesures de sécurité.

La déclaration d’applicabilité voit son « ouverture » renforcée

La  nouvelle ISO 27001 renforce la capacité à réaliser une déclaration d’applicabilité qui ne se restreint pas aux mesures de l’ISO 27002 : « l’organisation peut ajouter des objectifs de contrôles et créer les contrôles lorsque cela est nécessaire ou encore les identifier à partir de n’importe quelle source », cependant elle doit vérifier qu’aucune mesure majeure de sécurité de l’ISO 27002 n’a été omise. Ce point clé a fait l’objet de nombreux débats, mais il est essentiel pour conserver une « comparabilité » entre plusieurs certifications, au-delà du simple périmètre.

La communication autour du SMSI, à réfléchir en interne comme en externe

Un nouveau chapitre (7.4 Communication) énonce la nécessité pour chaque organisation, de déterminer dans son cas particulier, le besoin en termes de communication interne ou externe à réaliser concernant le SMSI (sujet, communiquant, cible, procédé).

Une nouvelle publication, mais quels changements pour la mise en place d’un SMSI ou le maintien d’une certification ISO 27001 ?

Par une meilleure cohérence dans l’enchaînement des chapitres et dans la lecture de la logique globale PDCA ainsi qu’une plus grande précision dans la définition de plusieurs concepts,  la nouvelle version de l’ISO 27001 clarifie la mise en œuvre de la norme.

Il ne s’agit donc pas d’une révolution, les concepts restent les mêmes. Cependant, la norme gagne en clarté et en efficacité. La migration des SMSI existants ne posera pas de problèmes fondamentaux et pourra même être l’occasion de simplifier certains processus comme ceux des indicateurs ou encore le suivi des non-conformités. De plus, la structure unifiée avec les autres normes de systèmes de management (ISO 9001…) facilitera la mise en œuvre de systèmes de management intégrés.

Les annexes de l’ISO 27001, basées sur la norme ISO 27002, ont également été revues en profondeur.

Une nouvelle mouture qui facilitera le quotidien de nombreux RSSI !

Cet article Mise à jour de l’ISO 27001 : quels impacts opérationnels ? est apparu en premier sur RiskInsight.

Si de prime abord les deux sujets peuvent paraître disjoints, ces interrogations semblent justifiées au regard des certifications relatives à la norme BS 25999 : plusieurs d’entre elles avaient combiné les deux référentiels. Et pour cause, il existe plusieurs points communs entre les deux normes…

D’indéniables axes de mutualisation

Les bases de tout système de management, qu’il concerne la qualité (9001), les services IT (20000) ou d’autres, sont communes – les normes  27001 et 22301 ne dérogent pas à la règle. On y retrouve ainsi les notions de construction par processus, d’amélioration continue, d’implication du management, …

En outre, elles concourent toutes deux à un même objectif : gérer les risques d’une organisation. Les risques liés, respectivement à la sécurité ou à la continuité, doivent être identifiés et priorisés, les traitements définis, … Elles se rejoignent donc sur une étape importante de la phase « Plan » : l’analyse de risques.

Par ailleurs, la continuité ou la disponibilité en tant que critère de sécurité est clairement abordée dans l’annexe de la 27001. En effet, cette dernière exige que l’organisme mette en place un Plan de Continuité d’Activité (PCA) et qu’il soit testé.

Pour autant, passer d’un SMSI à un Système de Management intégrant l’ISO 22301 n’est pas immédiat.

Des différences majeures à ne pas perdre de vue

L’ISO 22301 est une norme qui s’inscrit dans les réflexions autour de la sécurité sociétale. Elle traite de cas de sinistres majeurs : la problématique de la gestion de crise y est prégnante. Au vu de la dimension des sinistres envisagés, les exigences en termes de communication font l’objet d’un chapitre spécifique. Il s’agit aussi bien de la communication interne qu’externe envers les autorités, les médias, les familles des collaborateurs…

S’agissant de Système de Management de Continuité d’Activité, la notion de besoin de continuité est plus développée dans la norme ISO 22301. Un BIA (Bilan d’Impacts sur Activité ou Business Impact Analysis) doit être conduit. Ce BIA est à réaliser lors des premières étapes de mise en œuvre, identifiant, a minima, les activités critiques, et exprimant pour chacune d’entre elles les délais d’interruption maximale admissible, le « calendrier » de reprise progressive de l’activité, … Par ailleurs, la norme exige clairement que les dépendances soient identifiées, notamment avec les fournisseurs de services, lesquels doivent préciser leurs PCA existants. Cette précision vient directement faire écho à la notion de prestataires de services essentiels externalisés (ou PSEE).

Passer d’un SMSI à Système de management intégrant les exigences de la 22301 nécessite donc d’inscrire ces points dans les processus du Système de Management Intégré.

Un pas intéressant à franchir ?

Intégrer les exigences de l’ISO 22301 peut clairement donner un nouveau souffle à son système de management en effectuant un focus particulier sur la continuité d’activité. Mais redonner un nouveau souffle ne peut pas être une fin en soi, l’objectif est bien de répondre à un réel enjeu de sécurité de l’information et de continuité à la fois, avec une rationalisation de l’effort consacré à la gestion de deux risques !

Cet article De la 27001 à la 22301, juste un pas à franchir ? est apparu en premier sur RiskInsight.

Certifier le management de la sécurité, pas un niveau de sécurité

Tout d’abord, bref retour sur un point majeur trop souvent oublié : la norme ISO 27001 ne certifie pas un niveau de sécurité, mais son management. Cette norme, qui énonce les exigences à mettre en œuvre pour l’implémentation d’un Système de Management de la Sécurité de l’Information (SMSI), vise à mettre en place le management de la sécurité et à s’assurer de son amélioration continue sur le périmètre de la certification.

Le choix des mesures et du niveau de sécurité en place est donc fait en réponse aux risques et exigences identifiés par les parties prenantes : un choix nécessairement validé par le management ! Contrairement à un standard « catalogue » comme PCI-DSS où toutes les mesures doivent être implémentées pour arriver à la certification, l’audit ISO 27001 ne vérifiera que les mesures sélectionnées comme apportant une réponse aux risques. Une différence de taille, qui pousse vers une sécurité pragmatique mais en contrepartie nécessite une analyse des risques de sécurité de qualité et une attention particulière de l’auditeur externe.

Un périmètre solide

De nombreuses entreprises affichent des certifications, mais il est souvent nécessaire pour les clients de s’attarder sur la lecture du périmètre pour en connaître la valeur : un périmètre très limité par rapport à l’utilisation de leurs données peut être trompeur !

Ce n’est pas le cas ici, puisque Google présente une certification ISO 27001 qui couvre l’ensemble des systèmes, collaborateurs, processus et datacenters qui permettent de délivrer le service Google Apps. Cela inclut les services  GMail, Google Talk, Google Calendar, Google Docs (documents, spreadsheets, presentations), Google Sites, Control Panel (CPanel), Google Contacts, Google Video, Google Groups, mais aussi les briques support (Directory Sync, Provisioning API, SAML-Based SSO API, Reporting API, Audit API). C’est un périmètre impressionnant au vu de la couverture des services, tant sur le plan fonctionnel que géographique !

Développer la confiance et diminuer le nombre d’audits

A l’heure où de plus en plus d’entreprises se posent la question de l’opportunité d’externaliser les services de bureautiques comme la messagerie, l’édition de documents, etc., rassurer les responsables de la sécurité en garantissant les meilleures pratiques de management de la sécurité ne peut qu’être positif en termes marketing. Au-delà de l’apport de confiance, c’est également pour Google la garantie d’une reconnaissance externe, sanctionnée par un organisme de certification indépendant, qui pourra diminuer le nombre ou la charge d’audits des clients. Un bénéfice opérationnel non négligeable – même si Google n’était pas très enclin à se faire auditer !

Si Google a largement communiqué sur l’obtention de la certification, la firme de Mountain View n’a pas été la première à se lancer dans l’aventure : Amazon web services et Microsoft Office 365 ont déjà fait l’objet de la mise en place de SMSI certifiés. Après les infogérants, l’ISO 27001 serait donc en passe de devenir le standard de référence pour la sécurité des services dans le Cloud : on ne peut que se réjouir de ce mouvement qui rassurera les entreprises clientes de ces services. Celles-ci ne doivent cependant pas considérer la certification comme un niveau de sécurité « garantie » et rester attentive aux périmètres et aux mesures mises en place concrètement.

Cet article ISO 27001, un passage obligé pour les fournisseurs de services dans le cloud ? est apparu en premier sur RiskInsight.

En effet si le premier cycle Plan-Do-Check-Act est souvent de la découverte, la deuxième année peut se révéler pavé d’écueils si elle n’est pas soigneusement préparée. La dérive la plus fréquemment rencontrée est bien sûr la démobilisation des collaborateurs : passée la phase projet et l’aboutissement de l’implémentation des processus ou de la certification, il ne faut pas « laisser le soufflé retomber », même si des projets d’autres entités occupent désormais le devant de la scène auprès du management !

Conserver la dynamique projet

Il est important de maintenir une dynamique ambitieuse pour traiter les risques par les projets de sécurité. Ces chantiers permettront de garder un focus sur la sécurité et feront vivre le SMSI indirectement. En effet, ils sont propices à la mise en place de rendez-vous réguliers (comités de pilotage, points projets…) avec les collaborateurs et la direction sur le sujet sécurité. Le SMSI est alors utilisé au quotidien et l’avancement des projets permet de montrer des réductions des risques concrètes, et mesuré dans le temps. Les premiers effets concrets du SMSI !

Optimiser et garantir l’adhésion au SMSI dans le temps

La construction initiale est bien souvent réalisée sur des bases nouvelles, en imaginant le fonctionnement des processus de manière optimale. Fort de l’expérience des premiers cycles, le responsable du SMSI doit être à l’écoute des collaborateurs sur le fonctionnement de ces processus, de manière, de manière directe (rencontre, questionnaire…) ou indirecte, pour déterminer où se trouvent les points d’amélioration les plus criants et apporter des modifications rapides. Cela permet d’éviter un effet de lassitude, voire même de rejet, pour des processus qui fonctionneraient moyennement.

Ces évolutions sont généralement de deux types. Il s’agit tout d’abord de l’industrialisation des tâches récurrentes par l’outillage : même s’il n’existe pas aujourd’hui de solution idéale, des optimisations sur des tâches particulières sont possibles (qu’elles soient techniques, de pilotage comme les indicateurs ou administratives comme la documentation). Puis vient la rationalisation des actions existantes, particulièrement en renforçant l’intégration du SMSI dans les processus de l’entreprise. Par exemple l’intégration de revues de direction de plusieurs systèmes de management ou encore l’unification des démarches d’audit et de contrôle interne sont de beaux défis qui nécessitent une maturité importante mais qui sont autant de vecteurs d’optimisation.

Même si ces chantiers sont peu visibles, ils vont être la clé pour démontrer que l’adaptabilité, la réactivité et légèreté du SMSI.

Faire de l’audit de surveillance un marqueur clé

Le suivi des incidents, des crises mais aussi des non-conformités et des actions correctives et préventives sont essentielles pour montrer l’apport du SMSI. Cette analyse ne doit pas être un travail isolé mené par le responsable du SMSI mais bien une démarche collaborative avec les équipes opérationnelles. Cette revue régulière et partagée permet de montrer l’apport du SMSI dans la couverture des évènements liés à la sécurité.

Bien sûr, cette dynamique ne saurait être complète sans une communication régulière auprès de l’ensemble des populations : qu’il s’agisse de sensibilisation ou de communication sur les gains de la démarche et les succès (impact auprès des clients, gains opérationnels, etc.), les piqûres de rappel sont nécessaires pour ancrer dans les pratiques et les esprits la démarche sécurité et les enjeux de l’organisme. L’audit de surveillance, voire de renouvellement, est un marqueur clé de cette stratégie de communication. Il doit être vécu comme un aboutissement chaque année. Et ceci pas uniquement car la certification est maintenue, mais bien parce que le niveau de protection est meilleur d’année en année !

Se remettre en question pour aller plus loin

Finalement, le responsable du SMSI doit avoir un esprit d’écoute et de conquête pour d’une part comprendre les évènements qui marquent son périmètre métier (nouvelles offres, fusions, rapprochement, évolution du marché…) et d’autre part identifier les actions clés pour une potentielle évolution du SMSI. Des pistes judicieuses pour faire souffler un vent de fraîcheur sur le SMSI et donner une nouvelle impulsion à la démarche !

Cet article Maintenir le SMSI : conserver une dynamique de construction est apparu en premier sur RiskInsight.

La mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) doit s’appuyer sur une stratégie solidement établie définie lors d’une étude d’opportunité préalable. À l’issue de cette étude, périmètre, cible d’alignement, organisation et chantiers de mise en conformité ont été cadrés.  Dès lors, il s’agit de se lancer dans l’implémentation à proprement parler : quels sont les facteurs clés de succès pour assurer une mise en œuvre efficace ?

Optimiser le planning de mise en œuvre

Tout en respectant les très nombreuses dépendances entre les processus du SMSI, il est tout à fait possible d’optimiser leur implémentation pour paralléliser les tâches et ainsi raccourcir le planning de mise en œuvre.

La mise en place d’un SMSI peut ainsi s’organiser en deux grands chantiers principaux :

–  D’une part, la mise en place du système de management en lui-même. Il faut définir les processus (pilotage, sensibilisation, contrôle et mesure de l’efficacité, etc.), et les implémenter. Le processus de pilotage sera bien entendu le premier à être étudié.

–  D’autre part, la mise en place de la gestion des risques, pilier de la démarche ISO 27001. Elle débute par la définition du processus de gestion des risques et la réalisation de l’appréciation des risques. Une première analyse rapide et macroscopique a déjà été menée lors de l’étude d’opportunité, afin d’identifier les chantiers de sécurité à démarrer au plus vite (PCA, IAM, chiffrement, etc.). Lors de cette deuxième étape,  il s’agit de réaliser l’analyse détaillée des risques de sécurité répondant aux exigences de l’ISO 27001. Elle permettra d’affiner et compléter les chantiers de sécurité qui auront été lancés en parallèle avec leur documentation.

Cette parallèlisation et les dépendances fortes entre les différents chantiers  nécessitent bien sûr un suivi de projet rigoureux afin d’identifier au plus tôt les éventuelles dérives de planning !

Faire adhérer les opérationnels à la démarche

Si le responsable SMSI – bien souvent le RSSI, même s’il peut également être un acteur  métier– et son équipe sont les pilotes du projet, il ne faut pas négliger la contribution des opérationnels avec lesquelles il est nécessaire de mettre en place une coordination forte.

Au-delà de la sensibilisation et de la conduite du changement qui s’adresse à tous les collaborateurs du périmètre ciblé, il est primordial de s’assurer de la mobilisation des équipes opérationnelles en charge de la mise en œuvre des projets de sécurité. L’enjeu va bien au-delà de la réalisation des projets sécurité selon le planning et les modalités prévues.  En effet, passée la phase projet, ce sont eux qui maintiendront les mesures de sécurité implémentées et la documentation : leur appropriation garantira la pérennité du niveau de sécurité ciblé.

Construire pour le futur

L’amélioration continue occupe une place clé dans les principes de l’ISO 27001. Dès lors, il est tout à fait acceptable de commencer par mettre en place une cible pragmatique dans la situation actuelle de l’organisme, tout en se projetant dans une stratégie d’évolution du SMSI plus ambitieuse à moyen terme.

Bien que le premier cycle Plan-Do-Check-Act soit principalement celui de la mise en place et de la découverte, il est également celui où les fondations du SMSI sont posées.  Il est donc important d’avoir dès ces premières phases les potentielles évolutions du SMSI en tête (une extension du périmètre par exemple). C’est particulièrement vrai pour la définition et la mise en place des processus, qui doivent pouvoir survivre aux changements de périmètre et d’organisation sans devoir subir une refonte complète.

La mise en place du SMSI doit ainsi être considérée comme un projet à part entière, mais ce n’est qu’un début : c’est également un tremplin pour assurer la pérennité de la démarche et l’adhésion des acteurs dans le temps !

Cet article Rendre la norme ISO 27001 opérationnelle : construire efficacement son SMSI est apparu en premier sur RiskInsight.

Aujourd’hui la norme ISO 27001 est indéniablement devenue le modèle de gouvernance de la sécurité de l’information.  Amenant un pilotage de la sécurité par les risques couplé à une approche système de management, elle permet de structurer et rationaliser le pilotage de la sécurité tout en construisant une vision stratégique à moyen terme. Mais comment se lancer dans sa mise en œuvre en répondant au mieux aux enjeux de sécurité des métiers et en en tirant le meilleur parti ?

Avant de démarrer : se poser les bonnes questions !

Une étude d’opportunité et de faisabilité permet de répondre rapidement aux questions clés : pourquoi et pour qui implémenter la norme ? Quels sont les enjeux métiers et les grands risques sécurité ? D’où part-on ?

Si la lecture linéaire des exigences de la norme s’avère vite peu adaptée pour évaluer le niveau de conformité actuel de l’entreprise, une analyse des écarts en adoptant une vision « processus » (pilotage du système de management de la sécurité de l’information, gestion des risques, contrôle et mesure de l’efficacité, etc.) est plus  facile à mener et souvent bien plus parlante. Conduite avec les métiers, les interlocuteurs sécurité, SI et les fonctions support, elle est également l’occasion de les sensibiliser, de comprendre leurs enjeux business et d’identifier de manière macroscopique leurs risques sécurité.

Alignement ou certification : trouver sa voie

Ces deux voies correspondent à des enjeux différents . L’alignement à la norme permet d’apporter cohérence et implication à la démarche de sécurité. Il donne également la possibilité dela légitimer et communiquer sur celle-ci.. Il s’agit dès lors de se fixer son propre référentiel d’exigences en sélectionnant les processus présentant le meilleur ratio efficacité / coût dans le contexte, et le degré de conformité visé. L’alignement s’inscrit dans une démarche de progrès sur plusieurs années, en fonction de la maturité initiale et de la cible. C’est la voie choisie par la majorité de nos clients.

La certification répond quant à elle à des enjeux commerciaux, sectoriels, réglementaires ou opérationnels forts. Au-delà des apports de l’alignement, elle constitue un élément différenciant, la garantie externe d’un pilotage de la sécurité maîtrisé aux yeux des clients, partenaires et régulateurs. Bien souvent, les organismes qui s’engagent dans la certification manipulent des données sensibles soumises à des réglementations fortes (santé, banque, assurance) ou sont des hébergeurs qui voient dans la certification un intérêt d’image, mais aussi opérationnellement réduction du nombre d’audit de leurs clients !

Identifier les scénarios gagnants à présenter à sa Direction

Le périmètre est un élément structurant du système, centré sur les enjeux métiers. Il peut prendre la forme d’un site – un datacenter,  d’une organisation – la DSI, d’un processus ou encore d’une offre  proposée aux clients.

Au-delà de ce qu’il comprend, il est important d’identifier précisément ses frontières avec les différentes interfaces (fournisseurs internes, externes, clients, etc.) pour évaluer les charges internes et les futurs besoins de contractualisation pour assurer la maîtrise des mesures de sécurité.

La stratégie de définition du système de management et de l’organisation est intimement dépendante de ce périmètre et de l’organisation de l’entreprise. Un SMSI, des SMSI ? Quel cycle de vie ? Quel(s) responsable (s), entité(s) de management, instances ?

Les différents scénarii imaginés doivent être confrontés en s’appuyant sur l’apport de la démarche par rapport aux enjeux métiers et aux investissements. N’oublions pas que ces derniers sont en partie déjà prévus : les risques doivent dans tous les cas être traités et les chantiers sécurité budgétés, et le pilotage du SMSI est une évolution du rôle du RSSI déjà intégré aux charges récurrentes de l’entreprise. Des arguments qui peuvent faire mouche auprès de la Direction à qui le projet sera présenté !

Après cette phase de décision, la construction doit commencer et cela fera l’objet de d’un prochain article  sur l’ISO 27001 !

A suivre : rendre la norme ISO 27001 – épisode 2 : construire efficacement son SMSI

Cet article Rendre la norme ISO 27001 opérationnelle : trouver le SMSI gagnant est apparu en premier sur RiskInsight.