La famille des normes ISO 27000

Histoire de famille

On peut classer les normes ISO en normes d'exigences ou en normes outil.

  • Les norme d'exigences définissent ce qu'il faut faire, mais pas comment il faut le faire
  • Les normes outils décrivent le « comment faire ». Elles présentent les bonnes pratiques de nombreuses entreprises qui participent à la normalisation tant nationale qu'internationale. Vous y trouverez des suggestions, des glossaires, des guides d'implémentation, des exemples.

 

famille_iso_27000

Dans la famille ISO 2700x, seules les normes ISO 27001 et ISO 27006 sont des normes d'exigences.

ISO 27008

ISO 27008

Lignes directrices pour les auditeurs
des contrôles de sécurité de l'information

Date de publication Novembre 2011
Nombre de pages (corps du document) 16
Nombre de pages (annexes) 20
Traduction en français Non

Objet de la norme ISO 27008

Cette norme a pour principal objectif d'offrir des conseils sur la façon de vérifier ou confirmer la mesure dans laquelle les mesures de sécurité nécessaires sont mises en œuvre dans la pratique.

Elle fournit des indications sur l'analyse de la mise en œuvre et du fonctionnement des mesures de sécurité elles mêmes (y compris la vérification de la conformité technique des mesures de sécurité) en conformité avec l'organisation de référentiels de sécurité de l'information établis.

Elle différe de la norme ISO 27007 qui est d'avantage axée sur le fonctionnement du Système de Management que sur l'implémentation des mesures de sécurité.

On peut quand même légitimement se poser la question de savoir s'il y a besoin de 2 normes (ISO 27007 et ISO 27008) pour expliquer aux auditeurs la différence entre auditer le SMSI et auditer la qualité de la mise en oeuvre des mesures de sécurité (pour traiter les risques les plus graves ...). C'est la base d'un audit ....

ISO 27006:2015

ISO 27006

Exigences pour les organismes
procédant à l'audit et à la certification des SMSI

Date de publication Novembre 2015
Nombre de pages (corps du document) 30
Nombre de pages (annexes) 10
Traduction en français Non

ISO 27006 : Exigences pour les organismes réalisant l'audit et la certification de SMSI

Cette norme d'exigence (la seule de la série ISO 2700x avec ISO 27001) fournit des précisions pour les audits de certification ISO 27001:

  • Classement des mesures de sécurité : organisationelles / techniques
  • Vérifications à faire ou pas pour les mesures de sécurité techniques
  • Calcul du nombre de jours d'audit(en annexe)

Estimation de la charge d'audit

En annexe, il existe des abaques fournissant des indications de la durée d'audit nécessaire par un organisme accrédité pour audité une entreprise souhaitantêtre certifié ISO 27001. Cette annexe précise bien que c'est indicatif et qu'il faut utiliser des critères tels que :

  • le nombre d'utilisateurs, le nombre d'utilisateurs ayant des droits d'administration
  • le nombre 
  • la législation applicable
  • ...

Elle fournit des exemples de calcul :

D'abord en se basant sur le nombre d'employés de l'entreprise, pour déterminer la charge initiale d'audit. Puis en rajoutant ISO_27006_charge_auditdes charges :

  • de revue documentaire du SMSI (de 1 à 3 journées selon complexité)
  • d'audit des mesures de sécurité (2 jours)
  • de visite des sites (0,5 jour par site à auditer)
  • de rédaction du rapport (de 1 à 3 journées selon complexité)
  • ...

Bref pour une entreprise de taille moyenne (500 personnes), avec deux sites et un système d'information avec enjeux modérés, un rapide calcul donnerait 18 jours d'audit.

La réalité du terrain est souvent loin de ce calcul avec des chiffrages de charge d'audit beaucoup plus faible. Evidemment la qualité de l'audit de certification s'en ressent à un tel point que dans la profession, certains parlent de certification "pochette surprise"

 

 

ISO 27007:2011

 

ISO 27007

Lignes directrices pour l'audit des SMSI

Date de publication 2011
Nombre de pages (corps du document) 27
Nombre de pages (annexes) 0
Traduction en français Non

 

ISO 27007 : Guide pour l'audit de Systèmes de Management de la Sécurité de l'Information (SMSI).

This International Standard provides guidance on conducting ISMS audits, as well as guidance on the competence of information security management system auditors, in addition to the guidance contained in ISO 19011.

It is applicable to all organizations needing to conduct internal or external audits of an ISMS or to manage an ISMS audit programme.

Cette norme s'appuiera sur la nouvelle version de la Norme ISO 19011 qui fixe les lignes directrices pour l'audit des systèmes de management de la qualité et de management environnemental.

Justification de cette norme ISO 27006

This standard is intended to provide guidance to those who audit an organization's ISMS based on ISO/IEC 27001.

It provides a basis for a standardized approach to ISMS audits.

ISMS auditors need to be able to identify whether the requirements in ISO/IEC 27001 have been complied with. ISO 19011 provides generic guidance on management system audits, but there is a market requirement to provide ISMS specific guidance for auditors, for example in areas such as :

- confirming ISMS scopes;

- checking that an appropriate risk assessment approach has been adopted;

- examination of the results of risk assessments;

- checking that an appropriate selection of controls in accordance with the risk treatment decisions

have been undertaken;

- collection of objective evidence regarding the implementation of controls;

- development of ISMS audit trails;

- conducting ISMS audits for certification, based on ISO/IEC 27006.

ISO 27005

ISO 27005

Gestion du risque
en Sécurité de l'Information

Date de publication Septembre 2008
Nombre de pages (corps du document) 27
Nombre de pages (annexes) 35
Traduction en français En Cours

ISO 27005 : Norme ou Cadre Méthodologique ?

Si cette norme est l'aboutissement de réflexions datant de nombreuses années autour de la gestion des risques informatiques, elle soulève de nombreuses questions.

Certains expliquent que cette norme est en fait une méthode quasi-applicable en se servant des annexes et en les adaptant à leur contexte. D'ailleurs dans l'enquête 2010 du Clusif, 35% des entreprises qui font analyses de risques déclarent le faire en utilisant la norme ISO 27005.

A contrario la norme précise en Introduction (page v) : La présente Norme internationale ne fournit aucune méthodologie spécifique à la gestion de risque en sécurité de l'information. Il est du ressort de chaque organisation de définir son approche de la gestion de risque, en fonction, par exemple, du périmètre du SMSI, de l'existant dans le domaine de la gestion de risques, ou encore du secteur industriel. Plusieurs méthodologies existantes peuvent être utilisées en cohérence avec le cadre décrit dans la présente Norme internationale pour appliquer les exigences du SMSI.

Bref certains y voient une méthode, alors que la norme se définit elle même comme un cadre méthodologique.

Qu'est ce qu'une méthode ?

Si on prend une première définition : un ensemble plus ou moins structuré de principes. Alors vis à vis de cette définition ISO 27005 peut être définie comme une méthode. Elle présente des principes de façon structurée et propose une démarche en étapes logiques.

Si on choisit une autre définition : moyen efficace qui permet d'atteindre des fins précises. Alors il est beaucoup moins évident qu'ISO 27005 réponde à cette définition. Moyen efficace, difficile de dire qu'ISO 27005 est efficace car elle ne propose pas de bases de connaissances de scénarios d'incident et de vulnérabilités.

D'autres lui dénient ce terme de méthode et parlent au plus d'une norme qui fixe les grandes phases et le vocabulaire liés à la gestion des risques liés au SI. D'abord est-ce le rôle de l'ISO de développer des méthodes ? Clairement nous considérons qu'ISO 27005 permet (et c'est très important) de fixer les principes d'une démarche d'analyse des risques mais qu'elle ne constitue pas une méthode ou alors au prix de gros efforts (en s'appuyant sur les annexes ). Mais alors pourquoi utiliser cette norme ISO 27005 alors que des méthodes existantes ont déjà intégré depuis longtemps les principes décrits (malheureusement pas toujours le vocabulaire).

En conclusion, ISO 27005 nous semble une norme intéressante pour une entreprise voulant se développer sa propre méthodologie (par exemple pour se développer ses propres critères d'évaluation, d'acceptation et des bases de connaissances liées à des scénarios de risque métier) , mais cet investissement est élevé (plusieurs dizaines ou centaines de jours) et évidemment lourd à maintenir.

En revanche, cette norme est inutilisable comme méthode prête à l'emploi, ou alors cela ne s'appelle plus de la gestion des risques mais "faire semblant" de gérer les risques.

La démarche ISO 27005

Elle s'incrit dans le cadre préconisé d'ISO 31000

  • 7 Etablissement du contexte
    • 7.1 Considérations générales
    • 7.2 Critères de base
    • 7.3 Domaine d'application et limites
    • 7.4 Organisation de la gestion du risque en sécurité de l'information
  • 8 Appréciation du risque en sécurité de l'information
    • 8.1 Description générale de l'appréciation du risque en sécurité de l'information
    • 8.2 Analyse du risque
      • 8.2.1 Identification du risque
      • 8.2.2 Estimation du risque
    • 8.3 Evaluation du risque
  • 9 Traitement du risque en sécurité de l'information thumb_ISO-27005
    • 9.1 Description générale du traitement du risque
    • 9.2 Réduction du risque
    • 9.3 Maintien du risque
    • 9.4 Évitement du risque
    • 9.5 Transfert du risque
  • 10 Acceptation du risque en sécurité de l'information
  • 11 Communication du risque en sécurité de l'information

Copyright Ysosecure © 2002 - 2018