Contact

Domaines sécurité
Les enjeux de la sécurité

Organiser la sécurité

La gestion des risques

La continuité d'activité

Les méthodes de sécurité

La méthode Mehari

Les normes de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité des échanges

Les types d'attaques

Nos Prestations

Assistance
et conseil

Formations
à la sécurité

Système de Management de la Sécurité de l’Information (ISMS en Anglais)

Système de Management

Il existe des «Systèmes de Management» dans de nombreux domaines, comme celui de la qualité (QMS : Quality Management System), de l’Environnement (EMS : Quality Management System), ...

Les “Systèmes de Management” sont utilisés dans les entreprises pour développer leurs politiques (qualité, environnement, ...) et les mettre en application à travers des objectifs et des cibles en utilisation :

Une organisation dans l’entreprise
Des processus et des ressources associées
Des contrôles et une méthode d’évaluation
Des processus de révision pour garantir que les non conformité sont corrigées et que les axes d’amélioration sont analysés et mis en œuvre.

Certaines entreprises commencent à aborder la sécurité comme un système intégré appelé un Information Security Management System : ISMS.

Concrètement cela se traduit par la mise en oeuvre d’un vrai processus d’analyse, élaboration, contrôle et évolution d’une politique de sécurité. Ce concept est largement connu dans le domaine de la qualité avec le modèle PDCA (appelé la roue de Deming).

Le modèle PDCA

Plan : établir les objectifs conformément aux risques/ exigences (correspondances objectifs / lignes directrices ISO 17799)
Do : implémenter et opérer les fonctionnalités et procédures
Check : gérer les incidents, les erreurs, auditer
Act : faire évoluer la politique et les moyens conformément aux besoins

ISO 17799 : un ISMS ?

Non, ISO 17799 n’est pas un ISMS, cette norme n’explique pas comment mettre en oeuvre le «Système de Management» , c’est un code de bonnes pratiques.

Mais la norme BS 7799-2, issue du BSI (British Standard Institute) est un ISMS bâti autour de cette norme ISO 17799 (qui pour rappel s’appelait au début la BS 7799-1).

A ce jour près de 400 entreprises dans le monde ont mis en oeuvre cet ISMS et ont été certifiés par un organisme indépendant (comme l’AFAQ certifie une entreprise vis à vis de l’ISO 9000:V2000).

Mais ce nombre est dérisoire vis à vis des 610 000 entreprises qui sont certifiées ISO 9000. Pour prendre l’exemple de la Suisse, il existe 2 sociétés certifiées BS 7799-2 (dont la Poste Suisse) et environ 11 000 sociétés certifiées ISO 9000. En France, c’est encore plus simple, il n’y a aucune société certifiée BS 7799-2.

Il existe un débat international sur la nécessité de normaliser un ISMS au travers de l’ISO. Ce débat est très actif actuellement à l’ISO où s’affrontent la position de pays, comme l’Angleterre, qui poussent « leur » norme BS 7799-2, pour qu’elle devienne le standard international de demain. A contrario, la France pourrait proposer que cet ISMS puisse être une nouvelle norme complémentaire de l’ISO 9000 (par exemple sous la norme ISO9006, les autres numéros étant déjà pris).

Quelle traduction pour le terme ISMS :

Le Clusif propose SMSI : Système de Management de la Sécurité de l’Information.

D’autres proposent SGSI : Système de Gestion de la Sécurité de l’Information (ce qui nous rapprocherait de nos amis italiens qui ont choisi SGSI : Sistema di Gestione della Sicurezza delle Informazioni).

Suite : Système de Management de la Sécurité de l’Information