Neuf étapes vers le succès: Un aperçu de la mise en œuvre de la norme ISO 27001:2013
Par Alan Calder
()
À propos de ce livre électronique
Rédigé dans un langage pratique et non technique, ce guide vous guidera au travers des étapes clés d'un projet ISO 27001 afin d'en assurer le succès - de la création à la certification:
- Mandat du projet
- Lancement du projet
- Lancement du SMSI
- Cadre de management
- Critères de sécurité de base
- Gestion du risque
- Mise en œuvre
- Mesures, surveillance et réexamen
- Certification
Aujourd'hui dans sa troisième édition et conforme à l'ISO 27001:2013, ce guide est idéal pour toute personne qui aborderait cette norme pour la première fois.
« C'est comme avoir un consultant à 300 $/heure sous la main lorsque vous abordez les différentes questions relatives à la planification, au domaine d'application, à la communication, à la façon d'obtenir l'appui de la direction, etc. »
Thomas F. Witwicki
Avec ce livre, vous découvrirez comment:
- Obtenir le soutien de la direction et garder l'attention du conseil d'administration;
- Créer un cadre de gestion et effectuer une analyse des manques, afin de pouvoir clairement comprendre les contrôles que vous avez déjà mis en place et identifier où concentrer vos efforts;
- Structurer et mettre en valeur votre projet - y compris des conseils pour faire appel à des consultants ou le faire vous-même, et un examen des outils et des ressources disponibles qui faciliteront votre travail;
- Mener une évaluation des risques en cinq étapes et établir une déclaration d'applicabilité ainsi qu'un plan de traitement des risques;
- Intégrer votre SMSI ISO 27001 à un SGQ ISO 9001 et à d'autres systèmes de gestion;
- Répondre aux défis que vous devrez relever en matière de documentation lorsque vous créez des politiques d'entreprise, des procédures, des instructions de travail et des enregistrements : dont des alternatives viables à une approche coûteuse par « essais et erreurs » ;
- Améliorer continuellement votre SMSI, y compris par des audits et des tests internes, et l'examen par la direction;
Cet ouvrage vous offrira les conseils dont vous avez besoin pour comprendre les exigences de la norme et vous assurer que votre projet de mise en œuvre est un succès. Il comprend six secrets pour une certification réussie.
Historique
L'obtention et le maintien d'une certification accréditée selon la norme ISO 27001, la norme internationale qui établit les exigences d'un SMSI, peut s'avérer une tâche compliquée, en particulier pour les responsables de la mise en œuvre qui découvrent la norme.
L'auteur, Alan Calder, connaît l'ISO 27001 de l'intérieur : il est le fondateur et le président exécutif de IT Governance et a dirigé la mise en œuvre du premier système de management pour l'obtention de la certification accréditée BS 7799 (le précurseur de l'ISO 27001), et a travaillé depuis avec la norme et celles qui l'ont suivie.
Des centaines d'organisations à travers le monde ont obtenu une certification accréditée ISO 27001 grâce aux conseils d'IT Governance (présentés tout au long de cet ouvrage).
Alan Calder
Alan Calder is a leading author on IT governance and information security issues. He is the CEO of GRC International Group plc, the AIM-listed company that owns IT Governance Ltd. Alan is an acknowledged international cyber security guru. He has been involved in the development of a wide range of information security management training courses that have been accredited by the International Board for IT Governance Qualifications (IBITGQ). He is a frequent media commentator on information security and IT governance issues, and has contributed articles and expert comment to a wide range of trade, national and online news outlets.
Lié à Neuf étapes vers le succès
Livres électroniques liés
ISO27001/ISO27002: Un guide de poche Évaluation : 0 sur 5 étoiles0 évaluationFailles de sécurité et violation de données personnelles Évaluation : 0 sur 5 étoiles0 évaluationGuide de cybersécurité: pour les prestataires informatiques Évaluation : 5 sur 5 étoiles5/5Cybersécurité et RGPD : protégez votre PME: Guide pratique pour sécuriser votre système informatique et vous conformer au RGPD Évaluation : 0 sur 5 étoiles0 évaluationGuide pratique du RGPD: Fiches de guidance Évaluation : 0 sur 5 étoiles0 évaluationLes Essentiels du Piratage Informatique Évaluation : 2 sur 5 étoiles2/5The Standard for Risk Management in Portfolios, Programs, and Projects (FRENCH) Évaluation : 0 sur 5 étoiles0 évaluationGuide du monde de l'informatique: L'essentiel Évaluation : 5 sur 5 étoiles5/5Le Data Protection Officer: Une fonction nouvelle dans l'entreprise Évaluation : 0 sur 5 étoiles0 évaluationLe digital interne en entreprise: Faites (enfin) entrer vos collaborateurs dans l'ère numérique Évaluation : 0 sur 5 étoiles0 évaluationWireless Hacking 101: Comment pirater Évaluation : 1 sur 5 étoiles1/5Le Big Data: Que fait-on de nos données numériques ? Évaluation : 0 sur 5 étoiles0 évaluationCréation d'une start-up à succès de A à Z: Réussir votre Start-up 2.0 Web et Mobile Évaluation : 4 sur 5 étoiles4/5L'analyse environnementale et le Management de l'Environnement: « Transformons les contraintes environnementales en opportunités économiques » Évaluation : 0 sur 5 étoiles0 évaluationOrganisation et management de la fonction juridique en entreprise: Méthodologies, outils et bonnes pratiques Évaluation : 5 sur 5 étoiles5/5e-commerce : les bonnes pratiques pour réussir: Quelles stratégies marketing pour le commerce électronique ? Évaluation : 3 sur 5 étoiles3/5Agile & Scrum Évaluation : 0 sur 5 étoiles0 évaluationRGPD 2022: Traitement des données personnelles dans les organisations Évaluation : 0 sur 5 étoiles0 évaluationEnvironnement des affaires Évaluation : 0 sur 5 étoiles0 évaluationGestion de projet Agile pour débutants Évaluation : 5 sur 5 étoiles5/5L'Officiel 2021 des FinTech Françaises: Guide Évaluation : 0 sur 5 étoiles0 évaluationGuide marketing Internet pour les débutants Évaluation : 0 sur 5 étoiles0 évaluationLe Data Protection Officer: Une nouvelle fonction dans l’entreprise Évaluation : 0 sur 5 étoiles0 évaluationLe guide des carrières internationales Évaluation : 0 sur 5 étoiles0 évaluationIntroduction à l'informatique décisionnelle (business intelligence) Évaluation : 0 sur 5 étoiles0 évaluationProtection des données à caractère personnel & PME: Comment appliquer le RGPD en 9 étapes concrètes ? Évaluation : 5 sur 5 étoiles5/5Pratiques de gestion de l'innovation, 2e édition: Guide sur les stratégies et les processus Évaluation : 0 sur 5 étoiles0 évaluationComment devenir entrepreneur Évaluation : 0 sur 5 étoiles0 évaluation
Sécurité pour vous
Certificat De Sécurité TLS/SSL Sous Linux Évaluation : 0 sur 5 étoiles0 évaluationLe guide du hacker : le guide simplifié du débutant pour apprendre les bases du hacking avec Kali Linux Évaluation : 5 sur 5 étoiles5/5LA REVANCHE D’UN Hacker Évaluation : 0 sur 5 étoiles0 évaluationHacking pour débutants : Le guide complet du débutant pour apprendre les bases du hacking avec Kali Linux Évaluation : 5 sur 5 étoiles5/5Le coté sombre d'internet : explorez ce que 99% des internautes ignorent sur les ténèbres d’Internet et apprenez à visiter le dark net en toute sécurité Évaluation : 0 sur 5 étoiles0 évaluationPython pour les hackers : guide pratique pour créez des outils de test de pénétration puissants Évaluation : 0 sur 5 étoiles0 évaluationWiFi hacking avec Kali Linux : le guide complet pour apprendre à pénétrer les réseaux WiFi avec Kali Linux et comment les défendre des hackers Évaluation : 0 sur 5 étoiles0 évaluationKali Linux pour débutant : Le guide ultime du débutant pour apprendre les bases de Kali Linux. Évaluation : 5 sur 5 étoiles5/5Python Offensif : Le guide du débutant pour apprendre les bases du langage Python et créer des outils de hacking. Évaluation : 0 sur 5 étoiles0 évaluationDark Python : Apprenez à créer vos outils de hacking. Évaluation : 3 sur 5 étoiles3/5Wireshark pour les débutants : Le guide ultime du débutant pour apprendre les bases de l’analyse réseau avec Wireshark. Évaluation : 0 sur 5 étoiles0 évaluationWi-Fi Hacking avec kali linux Guide étape par étape : apprenez à pénétrer les réseaux Wifi et les meilleures stratégies pour les sécuriser Évaluation : 0 sur 5 étoiles0 évaluationComment analyser les gens : Introduction à l’analyse du langage corporel et les types de personnalité. Évaluation : 0 sur 5 étoiles0 évaluationLes Essentiels du Piratage Informatique Évaluation : 2 sur 5 étoiles2/5WiFi Hacking : Le guide simplifié du débutant pour apprendre le hacking des réseaux WiFi avec Kali Linux Évaluation : 3 sur 5 étoiles3/5Cloud, IoT, Cuivre, Cyber : 4 enjeux numériques qui vont dessiner le futur des entreprises Évaluation : 0 sur 5 étoiles0 évaluationPython pour les hackers : Le guide des script kiddies : apprenez à créer vos propres outils de hacking Évaluation : 5 sur 5 étoiles5/5Apprendre Python rapidement: Le guide du débutant pour apprendre tout ce que vous devez savoir sur Python, même si vous êtes nouveau dans la programmation Évaluation : 0 sur 5 étoiles0 évaluationCybercriminalité: Menaces Liées à La Navigation sur Internet et aux Réseaux Sociaux Évaluation : 5 sur 5 étoiles5/5Adopter SharePoint sans développer: SharePoint, Ms Teams : Une gouvernance efficace Évaluation : 0 sur 5 étoiles0 évaluationLe guide pratique du hacker dans les tests d’intrusion IoT : Le livre indispensable pour identifiez les vulnérabilités et sécurisez vos objets intelligents Évaluation : 0 sur 5 étoiles0 évaluationWeb hacking : apprenez à tester la sécurité des applications web comme un hacker pro avec kali linux Évaluation : 0 sur 5 étoiles0 évaluationIntroduction au Darknet: Darknet 101 Évaluation : 4 sur 5 étoiles4/5Guide pour la Sécurité et la Sauvegarde des Ordinateurs Évaluation : 0 sur 5 étoiles0 évaluationWireless Hacking 101: Comment pirater Évaluation : 1 sur 5 étoiles1/5
Avis sur Neuf étapes vers le succès
0 notation0 avis
Aperçu du livre
Neuf étapes vers le succès - Alan Calder
ITG
INTRODUCTION
Le cyber-risque est devenu un enjeu commercial essentiel, avec une pression accrue sur la direction, de la part des clients, des organismes de réglementation et des partenaires, pour que leur organisation puisse se défendre contre les cyber-attaques.
La résistance aux cyber-attaques exige que l'organisation fasse plus que se contenter d'ériger des défenses numériques ; un pourcentage significatif d'attaques réussies provient du monde physique analogique, celles-ci étant également aidées et exacerbées par des vulnérabilités physiques et environnementales. Une cyber-sécurité efficace nécessite donc un système de management complet, systémique et solide de la sécurité de l'information ; les conseils d'administration, les clients et les organismes de réglementation cherchent tous à s'assurer que les risques liés à l'information ont été identifiés et gérés.
La norme internationale ISO/CEI 27001:2013 (Technologies de l'information — Techniques de sécurité — Systèmes de management de la sécurité de l'information — Exigences) est le schéma directeur de la gestion de la sécurité de l'information en fonction des exigences commerciales, contractuelles et réglementaires de l'organisation et de sa tolérance au risque. La sécurité de l'information a toujours été une question internationale et cette version de la norme reflète huit années d'améliorations dans la compréhension d'un management efficace de la sécurité de l'information. Elle prend également en compte l'évolution du paysage de la menace cybernétique durant cette période, et permet un large éventail de contrôles des meilleures pratiques.
La sécurité de l'information est désormais clairement une question de management, une responsabilité de gouvernance. La conception et la mise en œuvre d'un système de management de la sécurité de l'information (SMSI) relève du management, et non de la technologie. Il exige toute la gamme des qualités et des compétences en gestion, de la gestion de projet et de la hiérarchisation par la communication, les compétences commerciales et la motivation, à la délégation, le suivi et la discipline. Un bon gestionnaire n'ayant aucun profil ou connaissances technologiques peut parvenir à une mise en œuvre réussie du SMSI, mais sans compétences en management, l'expert en sécurité de l'information le plus chevronné technologiquement échouera à la tâche.
Cela est particulièrement vrai si l'organisation veut tirer le maximum de la valeur opérationnelle à long terme de la mise en œuvre d'un SMSI. Obtenir une certification externe devient un investissement de plus en plus courant pour une activité commerciale ; atteindre le niveau de sensibilisation à la sécurité de l'information et de bonnes pratiques internes qui permet à une organisation de surfer en toute sécurité sur les mers orageuses et cruelles de l'ère de l'information exige un niveau de changement culturel non moins profond que celui requis pour passer des opérations industrielles aux opérations post-industrielles.
Je sais tout cela parce que mon expérience est celle d'un directeur général, pas d'un technologue. Je suis venu à la sécurité de l'information en 1995, j'étais alors préoccupé par les risques en matière de sécurité de l'information auxquels faisait face une société dont j'étais le Directeur général. Lorsque vous êtes le Directeur général, et que vous vous y intéressez, vous pouvez élaborer un SMSI (comme je l'ai prouvé un certain nombre de fois). Bien que ce livre permette de diminuer considérablement la courbe d'apprentissage d'autres Directeurs généraux dans ma position, il est essentiellement destiné au gestionnaire (souvent un directeur de l'informatique ou de la sécurité de l'information, parfois un gestionnaire de la qualité) chargé de s'attaquer à une implémentation ISO 27001, et qui veut comprendre le chemin à emprunter pour un résultat positif. Il s'appuie sur l'expérience de nombreuses implémentations ISO 27001 et reflète la méthodologie de mise en œuvre en neuf étapes qui sous-tend à présent tous les produits et services ISO 27001 auxquels on peut accéder via IT Governance Ltd, la société que j'ai fondée en 2005. Ces neuf étapes fonctionnent pour toute organisation (secteur public, associatif ou privé) n'importe où dans le monde. L'infrastructure technologique, le modèle commercial, l'architecture organisationnelle et les exigences réglementaires documentent tous le contexte de la mise en œuvre d'un SMSI ISO 27001, mais ne limitent pas son applicabilité. Nous avons contribué à la mise en œuvre d'un système SMSI ISO 27001 dans des entreprises d'à peine deux personnes, dans de gigantesques entreprises mondiales, multinationales et dans des organisations de toutes tailles et de tout type entre ces deux extrêmes.
Le deuxième plus grand défi auquel, selon mon expérience, les technologues de la sécurité de l'information du monde entier sont confrontés, est d'obtenir, et de conserver, l'attention du conseil d'administration. Le plus grand défi est de gagner, et d'entretenir, l'intérêt de l'organisation et son implication au projet. L'attention continue de la presse et de l'opinion publique à l'égard des risques cybernétiques amène ces questions à se retrouver dans les ordres du jour et, lorsque les conseils d'administration comprennent enfin qu'ils doivent agir (de façon systémique et globale) contre les menaces à la sécurité de l'information, ils sont dès lors très intéressés à entendre ce qu'ont à dire leurs spécialistes de la sécurité de l'information. Ils développent même un goût prononcé pour l'investissement de dollars organisationnels dans des solutions matérielles et logicielles, et pour exiger le développement d'un nouveau SMSI, ou le renforcement de celui existant.
Le succès d'un projet de SMSI découle et dépend du soutien réel de la direction. Les progrès sont plus rapides si l'on considère que le projet répond à un besoin opérationnel crédible : par exemple, gagner un contrat de sous-traitance ou tout autre contrat d'un client, satisfaire à une exigence de financement public, améliorer la compétitivité ou réduire les coûts légaux de mise en conformité et les risques.
Lorsque nous avons décidé de nous attaquer pour la première fois à la sécurité de l'information, en 1995, mon organisation devait obtenir la certification ISO 9001 et la certification IiP (Investor in People) comme condition à sa licence de marque et de négoce. Nous avions également l'intention de commercialiser des services en sécurité de l'information et en gestion de l'environnement et, par souci de pratiquer ce que nous prêchions, ainsi que par la volonté d'atteindre les avantages identifiables d'aborder tous ces éléments de notre activité, nous avons décidé de mettre en œuvre, dans le même temps, les normes BS 7799 et ISO 14001.
La certification BS 7799 n'existait alors que sous une forme non accréditée et constituait essentiellement un code de bonnes pratiques. Elle ne comportait qu'une seule partie et, alors que la certification n'était techniquement pas possible, certains Organismes de Certification étaient intéressés à émettre des déclarations de conformité. Les autres normes qui nous intéressaient existaient déjà toutes mais, à cette époque, on s'attendait généralement à ce qu'une organisation aborde chaque norme à sa façon, en élaborant des manuels et des processus autonomes. Il n'y avait là rien de bien surprenant, car il était inhabituel pour une organisation de chercher à obtenir plus d'une norme à la fois !
Nous avons pris la décision capitale d'aborder la question selon un point de vue essentiellement orienté entreprise, plutôt que qualité. Nous avons décidé que nous voulions créer un système de management unique et intégré qui fonctionnerait pour notre entreprise et qui soit capable d'obtenir de multiples certifications. Bien que cela semble aller à l'encontre de la pratique courante régissant la mise en œuvre d'un système de gestion, cela semblait être tout à fait conforme à l'esprit même des normes.
Nous avons également décidé que nous voulions que tous les membres de l'organisation prennent part au processus de création et de développement du système de management intégré que nous avions envisagé. Nous avons pensé que c'était là la façon la plus rapide et la plus certaine de les amener à devenir de véritables contributeurs au projet, sur le court et le long terme. Nous avons employé des consultants externes pour une partie du projet ISO 9001, mais il n'existait tout simplement aucune expertise BS 7799 disponible en externe.
Ce manque d'experts en BS 7799 était un défi mineur par rapport à l'absence d'ouvrages ou d'outils utiles. Aujourd'hui, vous pouvez acheter des livres tels que An Introduction to ISO27001 and Information Security (une introduction à l'ISO27001 et à la sécurité de l'information) ; à l'époque, on trouvait des étagères pleines de livres épais, axés sur la technologie et sur toutes sortes de questions de sécurité de l'information, mais rien qui aurait pu expliquer à un directeur d'entreprise comment mettre en œuvre de façon systémique un système de management de la sécurité de l'information. Nous n'avions pas d'autre choix que d'essayer de régler cela par nous-mêmes.
Nous avons effectivement dû faire ce travail à deux reprises, une première fois dans le cadre du régime non accrédité et la seconde fois après que la Norme se soit scindée en deux parties et qu'elle ait été accréditée (la partie précédente était devenue un code de bonnes pratiques et une nouvelle partie, une spécification pour un Système de management de la sécurité de l'information, y avait été ajoutée). En fait, notre audit d'accréditation fut également le premier audit étudié par notre organisme de certification pour sa propre accréditation UKAS. Bien que cela ait été une expérience intéressante, cela signifiait que nos systèmes devaient être particulièrement robustes puisqu'ils avaient à supporter le contrôle simultané de deux niveaux d'auditeurs externes !
Nous avons subi un examen externe en cinq occasions distinctes en quelques mois, et notre système de gestion intégrée a obtenu toutes les certifications et reconnaissances externes requises. Nous avons fait cela sans rien de plus que l'assistance à temps partiel d'un consultant ISO 9001 et