sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Foire aux questions sur la sécurité de l'information

Questions autour d'ISO 17799 et de BS 7799-2

Peut on parler de certification ISO 17799 ?

Non, ISO 17799 est un guide de recommandations sur les mesures de sécurité et les contrôles à mettre en oeuvre. Il n'existe donc pas de schéma de certification pour ISO 17799, ni en France, ni à l'étranger. Pour obtenir une certification, il faut se tourner vers un ISMS comme BS7799-2.

ISO 17799 n'indique pas le "comment mettre en oeuvre" une politique de sécurité de l'information.

Peut on utiliser ISO 17799 comme catalogue de mesures de sécurité ?

Oui et non. Oui car les mesures de sécurité intégrées dans ISO 17799 sont pertinentes. Non c'est un "non sens" de mettre en oeuvre ces mesures de sécurité sans avoir identifié les risques réels de son entreprise et donc d'avoir identifié les mesures de sécurité les plus pertinentes et efficaces.
D'ailleurs dans les premières pages d'ISO 17799, il est bien spécifié que le choix des mesures de sécurité doit être défini à l'issue d'une analyse des enjeux et des risques.

Qui réellement participe à la rédaction de la norme ISO 17799 ?

Comme pour les autres normes autour de la sécurité de l'information, c'est le comité SC27 de l'ISO qui participe à son élaboration. Trente et un pays participent théoriquement à son élaboration (et son évolution). En pratique une quinzaine de pays sont très actifs sur cette norme, on peut citer : UK, Allemagne, Pays Bas, Suisse, USA, Canada, Australie, Japon, Corée, Singapour, Pologne, Suède, ...
La représentation de la France au travers de l'AFNOR est assez peu active sur cette norme et il n'y aucun représentant régulier de la DCSSI.

Où discuter en ligne d'ISO 17799 ?

Des forums de discussion sur ISO17799 existent aux adresses :
http://www.17799.com et http://groups.yahoo.com/group/iso17799security/

Peut on être certifiée BS7799-2 en France ?

Aujourd'hui il n'existe toujours pas de schéma de certification en France (acrédité par le Cofrac et certifié par la DCSSI). Donc une entreprise qui veut être certifiée BS7799-2 doit se tourner vers des organismes de certification étrangers (Anglais, Suisse, ...).

Evolution de la BS7799-2 en norme ISO ?

Depuis plusieurs années il existe un lobbying des pays utilisant la BS7799-2 (UK, Japon, Suède, Australie, Singapour, ...) pour que celle ci devienne une norme ISO. Il est clairement ressenti le besoin de définir une norme internationale concernant un ISMS.
Mais certains pays trouvent que BS7799-2 n'est ni pertinent pour une certification sécurité (notamment absence de métrique) et également trop lié aux mesures de sécurité de l'ISO 17799 (or certains pays utilisent d'autres catalogues de mesures de sécurité que l'ISO 17799).