sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

ISO 17799 - Chapitre 2 : Organisation de la sécurité
sp

Quelle organisation interne mettre en oeuvre ?

Ce chapitre de l'ISO 17799 décrit l’organisation interne pour mettre en œuvre la sécurité dans l’organisation et comporte 3 parties :

  • La création et les missions d’une instance (comité sécurité) qui peut s’intégrer à une instance déjà existante (pourquoi pas le comité qualité quand il existe, où le comité de gestion des risques) , l'implication de la direction et de la hiérarchie et la coopération qui devrait exister entre les différentes entités de l'entreprise.
  • Les modalités d’accès à l’information et au système d’information par des tiers (prestataires de services, sous-traitants, …), notamment les exigences contractuelles à définir.
  • Le traitement du cas, fort délicat, de la sécurité lors de l’externalisation de certaines fonctions de l’organisme

Ce chapitre de la norme ISO 17799 est particulièrement important car il définit l’organisation pour mettre en œuvre une organisation cohérente de la sécurité.

Fondements de la sécurité de l'information.

Un ou des groupes de travail devront être mis en œuvre, avec l’appui de la direction, pour approuver la politique de sécurité de l'information, pour assigner des rôles de sécurité et pour coordonner l'exécution de la sécurité dans l’organisme.

Comité pour la sécurité de l'information : ce comité peut faire partie d'un comité de direction existant.


sp spacer sp

Typiquement, un tel comité doit :

  • passer en revue la politique de sécurité de l'information d'approbation et responsabilités globales
  • surveiller l’évolution de l’exposition aux menaces des actifs de l'information.
  • passer en revue et surveiller des incidents de sécurité de l'information;
  • approuver les initiatives principales pour renforcer la sécurité de l'information

Coordination de la sécurité de l'information : il est décrit comment assurer la coordination, notamment dans des sociétés de taille importante, sachant que la norme permet d’avoir par entité (géographique, juridique) des politiques personnalisées.

Attribution de responsabilités pour la sécurité de l'information : une bonne pratique est de nommer un propriétaire pour chaque actif principal du système d’information qui devient alors responsable de sa sécurité au jour le jour.

Processus d'autorisation pour des évolutions du système d’information : la norme préconise une revue des évolutions du SI d’un point de vue sécurité. Ceci semble pertinent sachant qu’il coûte beaucoup plus cher de le traiter après son déploiement.

Conseil de spécialistes de la sécurité de l'information (interne ou externe) et coopération à l’intérieur de l’organisme, revue de l’efficacité et de la pertinence de cette politique de sécurité.

pix1 pix2 pix3 pix4