La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

ISO 27000 2013 Les Normes ISO 27000 Version 2013 La nouvelle version 2013 de la norme. Différences et nouveautés Stéphane Perroud - Georges Torti Digicomp.

Publié parSévérine Favreau Modifié depuis plus de 7 années

Présentations similaires

Présentation au sujet: "ISO 27000 2013 Les Normes ISO 27000 Version 2013 La nouvelle version 2013 de la norme. Différences et nouveautés Stéphane Perroud - Georges Torti Digicomp."— Transcription de la présentation:

1 ISO 27000 2013 Les Normes ISO 27000 Version 2013 La nouvelle version 2013 de la norme. Différences et nouveautés Stéphane Perroud - Georges Torti Digicomp Romandie SA 14 janvier 2014, Digicomp Lausanne

2 ISO 27000 2013ISO 27000 2013 Stéphane Perroud  Expériences  Consultant en Gouvernance, Audit et Management de la Sécurité des SI  Formateur en Gouvernance, Sécurité et Audit  Auditeur informatique  12 ans développeur J2EE et Web  Certifications  CISSP  CISA  COBIT Foundation 4.1 & 5  ITIL v3 Foundation  ISO 20000 Foundation  ISO 27001 Lead Auditor  ISO 27005 Risk Manager

3 ISO 27000 2013ISO 27000 2013 Georges Torti  Expériences  Responsable sécurité informatique (au DEFR)  12 ans de direction des systèmes d’information  Responsable du développement informatique  Chef de projet informatique  Support informatique et formation  Président ADI (Gouvernance, Projet, Services, Sécurité)  Certifications  CISA (Certified Information System Auditor)  CISM (Certified Information Security Manager)  Certificat d’Aptitude à la Protection des Données  Cobit Foundation 4.1 & 5  ISO 27001 Foundation

4 ISO 27000 2013 Plan de la conférence  Notions de base  Bref rappel historique sur BSI 17799 et ISO 27001:2005  Les changements dans ISO 27001:2013  Les changements dans ISO 27002 :2013  Impacts pour l’entreprise  Questions / Réponses

5 La sécurité de l’information Notions de base ISO 27000 2013

6 La sécurité de l’information ISO 27000 2013 L’humain Les processusLa technique

7 La sécurité de l’information ISO 27000 2013  Les quatre piliers de la sécurité de l’information : Sécurité de l’Information Intégrité Non-Répudiation Confidentialité Disponibilité

8 Vue d’ensemble Les normes ISO 27000 ISO 27000 2013

9 Les normes ISO 27000  Famille des normes de sécurité de l’information  Recommandation des meilleures pratiques en management de la sécurité de l’information  S’adresse à tous les types d’organismes  S’intègrent avec les autres normes internationales ISO 27000 2013

10 Les normes 27000  Avantages  description pratique et détaillée de la mise en œuvre des objectifs et mesures de sécurité  audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises  Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître  Meilleure maîtrise des risques  Une certification qui améliore la confiance avec les parties prenantes  Homogénéisation : c’est un référentiel international. Cela facilite les échanges ISO 27000 2013

11 Vue d’ensemble des normes ISO 27000 ISO 27000 2013 ISO 27001 SMSI ISO 27006 Audit de SMSI ISO 27000 Vocabulaire ISO 27002 Mesures BSI 17799 Exigences Guides ISO 27005 Analyse risques ISO 27003 Implémentation ISO 27004 Métriques ISO 27034 Sécurité des Applications Secteurs

12 Vue d’ensemble des normes ISO 27000 ISO 27000 2013

13 Vue d’ensemble des normes ISO 27000 ISO 27000 2013

14 Bref historique BSI 17799 ISO 27001 ISO 27002 ISO 27000 2013

15 Historique  En 1995, le standard britannique "BS 7799" créé par BSI définit des mesures de sécurité détaillées  En 1998, le BSI introduit le SMSI  En 2000, ISO édite la norme ISO/CEI 17799:2000 (codes des bonnes pratiques issues de la BS 7799)  En 2005, deux normes sont éditées :  ISO/CEI 17799:2005 qui remanie les domaines et objectifs  ISO/CEI 27001:2005 qui introduit la notion de SMSI et offre la possibilité de certification  En 2007, ISO 27002 remplace ISO/CEI 17799  En 2013, ISO révise les norme ISO/CEI 27001:2013 et ISO/CEI 27002:2013 ISO 27000 2013

16 Les changements ISO 27001:2013 ISO 27000 2013

17 ISO 27001 ISO 27000 2013

18 Contrôles obligatoires ISO 27000 2013

19 Les changements ISO 27002:2013 ISO 27000 2013

20 Les changements ISO27002  114 mesures dans 14 domaines (Version 2005 : 133 mesures dans 11 domaines)  A.5: Information security policies  A.6: Organization of information security  A.7: Human resources security  A.8: Asset management  A.9: Access control  A.10: Cryptography  A.11: Physical and environmental security  A.12: Operations security  A.13: Communication security  A.14: System acquisition, development, and maintenance  A.15: Supplier relationships  A.16: Information security Incident management  A.17: Information security aspects of business continuity management  A.18: Compliance ISO 27000 2013

21 Les changements ISO27002  Réorganisation / déplacement de mesures  Nouvelles mesures  Suppression de mesures ISO 27000 2013

22 Nouvelles mesures ISO 27002:2013  Information security in project management  Restrictions on software installation  Secure development policy  Secure system engineering principles  Secure development environment  System security testinging  Information security policy for supplier relationships  Information and communication technology supply chain  Assessment and decision on information security events  Response to information security incidents  Availability of information processing facilities ISO 27000 2013

23 Mesures supprimées (1)  Management commitment to information security  Information security coordination  Authorisation process for information processing facilities  Identification of risks related to external parties  Addressing security when dealing with customers  Security of system documentation  Business Information Systems  User authentication for external connections  Equipment identification in networks  Remote Diagnostic and configuration port protection  Network Connection control ISO 27000 2013

24 Mesures supprimées (2)  Network routing control  Sensitive system isolation  Input data validation  Control of internal processing  Message integrity  Output data validation  Information leakage  Prevention of misuse of information processing facilities  Protection of information systems audit tools ISO 27000 2013

25 Impacts pour l’entreprise Certifications Implémentation Formation ISO 27000 2013

26 Certification  Impact sur l’interprétation de la norme et le déploiement du système de gestion de la sécurité de l’information des organisations  Majorité de la norme reste la même. Important de comprendre les changements et d’assurer la conformité du système d’information à la nouvelle norme pour les futurs audits  Période transitoire de 2 ans accordée aux organisations certifiées pour se conformer à la nouvelle version ISO 27000 2013

27 Implémentation  Commencer par une analyse d’écart entre le SMSI existant et la nouvelle version  Lancer les initiatives de mise à jour du SMSI  Changements significatifs  Politique  Appréciation des risques  Déclaration d’applicabilité (Annexe A)  Identification des problèmes ISO 27000 2013

28 Formation  Digicomp vous propose, à partir de janvier 2014, des cours et des certifications internationales en phase avec la nouvelle version du standard :  ISO/IEC 27001 Lead Auditor  ISO/IEC 27001 Lead Implementer ISO 27000 2013 www.digicomp.ch/fr

29 Questions / Réponses ISO 27000 2013

30 Informations et contacts  Plus d’informations : http://www.digicomp.ch/fr/secur ite_informatique  Retrouvez nous sur : Facebook Twitter Google + Slideshare ISO 27000 2013

31 Stéphane Perroud - Georges Torti Digicomp Academy Suisse Romande SA Tél. 021 321 65 00 E-Mail: romandie@digicomp.ch Merci de votre attention! ISO 27000 2013

32 ISO 27001 Annexe A

33 ISO 27000 2013 ISO 27002

Télécharger ppt "ISO 27000 2013 Les Normes ISO 27000 Version 2013 La nouvelle version 2013 de la norme. Différences et nouveautés Stéphane Perroud - Georges Torti Digicomp."

Présentations similaires

Mondialiser la solidarité Une stratégie de participation sur Internet.

Mondialiser la solidarité Une stratégie de participation sur Internet.
Logiciel Assistant Gestion d’Événement Rémi Papillie (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.

Logiciel Assistant Gestion d’Événement Rémi Papillie (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Synthèse des actions à réaliser pour l’application de la norme NM. ISO 17 020 Rabat, Vendredi 05 Février 2010 Office National de Santé et Sécurité Alimentaire.

Synthèse des actions à réaliser pour l’application de la norme NM. ISO Rabat, Vendredi 05 Février 2010 Office National de Santé et Sécurité Alimentaire.
Les grandes fonctions de la gestion Séance du 23 janvier 2013 Professeur Eric Champagne École d’études politiques Gestion dans le secteur public PAP 2027.

Les grandes fonctions de la gestion Séance du 23 janvier 2013 Professeur Eric Champagne École d’études politiques Gestion dans le secteur public PAP 2027.
J.-L. QUEMARD, S.G.C.B SGCB Echanges d’informations en vue d’une mise en œuvre efficace de Bâle II Groupe des Superviseurs Bancaires Francophones, 7 mars.

J.-L. QUEMARD, S.G.C.B SGCB Echanges d’informations en vue d’une mise en œuvre efficace de Bâle II Groupe des Superviseurs Bancaires Francophones, 7 mars.
Sage 100, l’offre complète pour entreprises Pôle paie et ressources humaines.

Sage 100, l’offre complète pour entreprises Pôle paie et ressources humaines.
Réalisé par : Fairouz ichou Imane Errajil.  Introduction  L’ISO en quelque mots  Définition de l’ISO 9001V2000  L’évolution de l’ISO 9001  Principes.

Réalisé par : Fairouz ichou Imane Errajil.  Introduction  L’ISO en quelque mots  Définition de l’ISO 9001V2000  L’évolution de l’ISO 9001  Principes.
Plateforme Expadon2 - SPS Export

Plateforme Expadon2 - SPS Export
2.8 Présentation des appels

2.8 Présentation des appels
Déploiement de Octopus au CISSS de la Montérégie-Ouest

Déploiement de Octopus au CISSS de la Montérégie-Ouest
LE POINT DE VUE D’UN PHARMACIEN HOSPITALIER PRATIQUANT LES VALIDATIONS

LE POINT DE VUE D’UN PHARMACIEN HOSPITALIER PRATIQUANT LES VALIDATIONS
PLAN DE FORMATION DES EQUIPES DES SYSTEMES D’INFORMATION EN DELEGATION

PLAN DE FORMATION DES EQUIPES DES SYSTEMES D’INFORMATION EN DELEGATION
Cours sur l'organisation et la mise en œuvre d'une infrastructure réglementaire nationale chargé du contrôle des sources de rayonnements.

Cours sur l'organisation et la mise en œuvre d'une infrastructure réglementaire nationale chargé du contrôle des sources de rayonnements.
Parés pour un marché d’avenir - le tourisme sans obstacles : Un système d’information sur l’accessibilité, adapté aux groupes cibles, pour l’hôtellerie.

Parés pour un marché d’avenir - le tourisme sans obstacles : Un système d’information sur l’accessibilité, adapté aux groupes cibles, pour l’hôtellerie.
Résumé 2004 20/07/2004 THALES NAVAL FRANCE - Projet FIRST.

Résumé /07/2004 THALES NAVAL FRANCE - Projet FIRST.
par création d’une mention complémentaire Coiffure Coupe Couleur

par création d’une mention complémentaire Coiffure Coupe Couleur
Séminaire 22-23 Novembre 2006 Zephir : Déploiement et supervision des serveurs Eole.

Séminaire Novembre 2006 Zephir : Déploiement et supervision des serveurs Eole.
Discussion du Cash Working Group régional

Discussion du Cash Working Group régional
Bilans alimentaires Participation de la Division de la statistique (ESS) au cadre relatif à la sécurité alimentaire et aux ODD Salar TAYYIB et Rachele.

Bilans alimentaires Participation de la Division de la statistique (ESS) au cadre relatif à la sécurité alimentaire et aux ODD Salar TAYYIB et Rachele.
FENIX Aperçu GLOBALE DU Système

FENIX Aperçu GLOBALE DU Système

Présentations similaires

Annonces Google