ISO 27001:2013club-27001.fr/attachments/article/148/Presentation-e...HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix,

HERVÉ SCHAUER CONSULTANTSHERVÉ SCHAUER CONSULTANTSCabinet de Consultants en Sécurité Informatique depuis 1989Cabinet de Consultants en Sécurité Informatique depuis 1989Spécialisé sur Unix, Windows, TCP/IP et InternetSpécialisé sur Unix, Windows, TCP/IP et Internet

Béatrice JoucreauBéatrice JoucreauJulien LevrardJulien Levrard

ISO 27001:2013ISO 27001:2013Comparatif avec la version 2005Comparatif avec la version 2005

Copyright Hervé Schauer Consultants 2000-2013 – Reproduction interdite2 / 28

Sommaire

Comparaison des structures

Synthèse des changements de fond

Contexte de l'organisation (4)

Leadership (5)

Planification (6)

Processus support (7)

Évaluation de la performance (9)

Amélioration (10)

Certification


Comparaison des structuresAncienne structure


Comparaison des structuresNouvelle structure

Structure imposée par l'appendice 1 de l'Annexe SL du nouveau Supplément ISO consolidé des Directives ISO/CEI, partie 1

Plan plus logique, formulations plus générales

Pas de mention explicite du PDCA, remplacé par « établir, implémenter, mettre à jour, améliorer »

Pas d'encouragement à l'approche processus dans l'introduction, mais approche processus de fait

Clauses 4 à 10 obligatoires


Comparaison des structuresComparaison des deux versions

Clauses obligatoires : 4 à 8

4 Système de management de la sécurité de l'information

4.2.1 Etablissement du SMSIDomaine d'applicationPolitiqueMéthodologie d'appréciation du risqueAppréciation des risquesTraitement des risques

4.2.2 Mise en œuvre et fonctionnement du SMSI

4.2.3 Surveillance et réexamen du SMSI

4.2.4 Mise à jour et amélioration du SMSI

4.3 Exigences relatives à la documentation

Clauses obligatoires : 4 à 10

4 Contexte de l'organisation4.3 Domaine d'application

5 Leadership5.2 Politique

6 Planification6.1.2 Appréciation des risquesde sécurité de l'information6.1.3 Traitement des risques de sécurité de l'information

7 Support7.5 Information documentée

8 Fonctionnement9 Évaluation des performances

9.1 Surveillance, mesures, analyses et évaluation9.2 Audit interne9.3 Revue de direction

10 Amélioration


Synthèse des changements de fond

Fondation du SMSI

Prise en compte accrue des parties prenantes

Le périmètre considère tout le contexte, y compris les exigences LRC

Leadership plus axé engagement, pilotage et management des personnes que « mise en œuvre »

La politique inclut un engagement de la direction

Processus du SMSI

Risques et opportunités stratégiques : probabilité que le SMSI atteigne les résultats attendus

L’appréciation des risques est moins cadrée par la norme

Sensibilisation précisée, fait l’objet d’un paragraphe entier

Pas d’indication sur la périodicité de la revue de direction, ni de l’audit

Pas de notion d’action préventive au sens de la version 2005

Gestion des incidents pas abordée dans la norme, seulement dans l'annexe A


Contexte de l’organisation (4)

Nouveau chapitre 4

Contient

Définition du contexte externe et interne (cf. ISO 31 000 5.3.1)

Définition des attentes et besoins des parties prenantes, y compris les LRC

Dans l'audit interne, vérification de la conformité aux exigences propres au SMSI, et non plus vérification de la conformité aux exigences LRC

Le périmètre tient compte du contexte et des exigences des parties prenantes

Nécessité d’un SMSI selon la présente norme

Nouveautés

Mise en valeur du contexte dans un chapitre spécifique

Mise en valeur des attentes des parties prenantes

Le périmètre découle explicitement du contexte de l'organisation et des exigences auxquelles l'organisation est soumise

Il n'est plus spécifiquement indiqué de justifier les exclusions du périmètre


Contexte de l’organisation (4)Contexte interne et externe

Contexte externe (opportunités et menaces) (ISO 31 000 5.3.2)

Environnement social et culturel, politique, légal, réglementaire, financier, technologique, économique,naturel et concurrentiel

Facteurs et tendances ayant un impact déterminant sur les objectifs de l'organisme

Relations avec les parties prenantes externes, leurs perceptions et leurs valeurs

Contexte interne (atouts et faiblesses)

Culture, processus, structure, stratégie de l'organisme (ISO 31 000 5.3.3)

Comment fonctionnons-nous ?

Quels sont nos atouts et nos faiblesses ?

Comment le SMSI devra fonctionner pour s'intégrer à ce contexte ?


Contexte de l’organisation (4)Domaine d'application

Contexte interne et externe qui influe sur la capacité à obtenir les résultats attendus du SMSI

Diagnostic : situation actuelle.

Risque qu'on n'atteigne pas les résultats + qu'on crée des effets de bord indésirables, même si les résultats sont atteints

Besoins et attentes des parties intéressées

Résultats attendus

Contexte + besoins des parties intéressées

Difficulté à atteindre les résultats attendus

Périmètre

Quel périmètre doit être inclus pour répondre aux besoins ?

Quel périmètre peut être inclus car on pourra répondre aux besoins ?


Leadership (5)

Chapitre 5 déjà existant modifié « responsabilités de la direction » -> « leadership »

Changement de registre de vocabulaire pour les responsabilités des dirigeants

S'assurer, diriger et soutenir, promouvoir, communiquer

Et non plus

Etablir, décider, déterminer, fournir, évaluer

Demande à un responsable de s'assurer

De la conformité du SMSI

De son efficacité

Rôle moteur pour l’amélioration du SMSI


Leadership (5)Politique (5.2)

La direction établit la politique de sécurité, mais ne la valide plus

« Politique du SMSI » devient « politique de sécurité »

Ne contient plus les critères de risques

Ne contient plus les exigences légales, réglementaires et contractuelles

Contient les objectifs de sécurité ou un cadre pour les définir

Précise un engagement de la direction

A satisfaire aux exigences applicables relatives à la sécurité

A améliorer en continu le SMSI

La politique n'est plus un document structurant du SMSI, sauf dans le cas où on y a défini le cadre pour définir les objectifs

C'est un engagement formel de la direction à atteindre des objectifs et à améliorer la sécurité, vis-à-vis

De l'organisation elle-même

Des parties prenantes concernées


Planification (6)

Chapitre Plan du SMSI

Chapitre fondamental pour le SMSI

6.1 Actions liées aux risques et les opportunités

6.1.1 Général

6.1.2 Appréciation des risques de sécurité de l'information

6.1.3 Traitement des risques de sécurité de l'information

6.2 Objectifs de sécurité de l'information et plans pour les atteindre

6.1.1 Gestion des risques stratégiques et projet

6.1.2 Gestion des risques de sécurité

6.1.3 Gestion des mesures de sécurité

6.2 Objectifs de sécuritéet plans


Gestion des risques stratégiques et projet (6.1.1)

Nouveau thème, provient de l'annexe SL

Prise en compte du contexte interne et externe pour la définition du périmètre

Une fois que le périmètre est défini, lors du projet SMSI

Le contexte permet de faire ressortir des risques (vulnérabilités en interne, menaces en interne et externe) sur l'atteinte des résultats

Intégrer la gestion de ces risques dans le projet SMSI, afin de permettre ainsi d'atteindre les résultats attendus

Planifier des actions pour traiter risques et opportunités

Prévoir comment intégrer ces actions dans les processus du SMSI

Évaluer l'efficacité de ces actions


Appréciation des risques de sécurité de l'information (6.1.2)

Processus d'appréciation des risques

Plus de méthode d'appréciation des risques

Identifier les risques

L'organisation doit définir et appliquer un processus d'appréciation des risques de sécurité de l'informationqui […]

c) identifie les risques de sécurité de l'information : applique le processus d'appréciation des risques de la sécurité de l'information pour identifier les risques [...]

Le détail de comment réaliserl'appréciation des risques a disparu (actifs, menaces, vulnérabilités)

Identifier les propriétaires des risques

Analyser les risques

Pas d'indication


Traitement des risques de sécurité de l'information (6.1.3)

Processus de traitement des risques

Choisir les options de traitement (non indiquées)

Modifier la DdA, car l'annexe A change

Choisir les mesures de sécurité nécessaires : depuis n'importe quelle source.

Ne pas choisir les mesures de sécurité dans l'annexe A, mais comparer les mesures choisies à l'annexe A pour vérifier qu'aucune n'a été oubliée

Autorisation de mettre en place le PTR et acceptation des risques résiduels donnée par le propriétaire des risques

Traitement des risques (ISO 27000:2012 2.71)

Processus de sélection et de mise en œuvre des mesures visant à modifier le risque

L'option de maintien du risque ne serait pas une option de traitement possible...


Objectifs de sécurité et plans pour les atteindre (6.2)

Objectifs de sécurité et plans pour les atteindre

Définir des objectifs de sécurité, en cohérence avec la politique

Les objectifs prennent en compte

Les résultats de l'appréciation des risques

Les résultats du plan de traitement des risques

Les exigences (parties prenantes, LRC...)

Objectifs de sécurité déclinés pour les fonctions et niveaux pertinents

Objectifs communiqués

Définir des plans d'action pour atteindre les objectifs

Plan d'action

Opérationnel : responsables, actions, ressources, délais, évaluation des résultats des actions


Liens entre les processus centraux

Auparavant, liens entre :

Objectifs du SMSI + Politique du SMSI → AdR → PTR → Mesures

Maintenant, liens entre :

Contexte

Exigences

Périmètre

AdR

PTRDdA

Objectifs

Politique

Plan d'actions opérationnel


Une vision possible

Exigences des parties prenantes

Objectifs de sécurité et plans pour les

atteindreContexte AdR/PTR}Périmètre

Résultat attendu grâce au SMSI= apporter de la confiance aux

parties prenantes

DdA


Points d'attention

Possibilité de définir des objectifs préexistants au SMSI

La DdA ne dépend que de l'AdR et du PTR

La DdA ne dépend pas des objectifs

La DdA ne contient pas les mesures de sécurité qui répondent à des objectifs définis en dehors de l'appréciation des risques

Position de l'implémenteur pour la DdA ?

Soit la fonder uniquement sur l'AdR et le PTR

Risque de ne pas prendre en compte des mesures de sécurité

Soit la fonder aussi sur les objectifs donnés dans la politique

Risque de non-conformité avec la norme


Gestion de la documentation (7)

Chapitre beaucoup plus court que dans la version 2005

Plus de distinction entre documents et enregistrements

Le terme « enregistrement » n'apparaît plus

Utilisation du terme « information documentée »

Liste des documents requis non reprise car détaillée au fil de la norme

Les documents qui doivent faire partie du SMSI sont :

tous ceux requis par la norme

ceux nécessaires à l'efficacité du SMSI

Mêmes documents, mais leur besoin est mieux justifié

Procédures

Requises pour pouvoir s'assurer que les processus ont été menés comme prévu


Ressources, compétences, sensibilisation, communication (7)

Ressources

Formulation beaucoup plus générale et plus courte

Compétences

Compétence des personnes qui peuvent affecter la sécurité

Pas compétence des seuls acteurs du SMSI

Sensibilisation

Sensibilisation aux sanctions applicables en cas de non respect des exigences du SMSI

Communication

Nouveau processus

Communication interne et externe (sur quoi, quand, avec qui, par qui...)


Évaluation des performances (9)

Surveillance

Pas de notion d'incidents de sécurité

Toujours pas de notion explicite d'indicateurs

Surveillance des mesures de sécurité et des processus

Audit interne

Pas de vérification de la conformité aux exigences LRC, ni aux exigences de sécurité

Vérification de la conformité aux exigences propres au SMSI

Les résultats d'audit doivent être remontés au management

Pas d'indication sur le délai de mise en œuvre des actions correctives

L'auditeur n'a pas à donner son avis sur le délai de correction

Revue de direction

Rien n'indique qu'elle doive être réalisée une fois par an

Modification de forme des entrées/sorties


Amélioration (10)

Les termes « action préventive » et « action corrective » ont disparu

Ces actions existent toujours même si elles ne sont pas définies

Actions d'ordre préventif : éliminer les causes d'une non-conformité, qu'elle se soit déjà produite ou non

Actions d'ordre correctif : limiter les effets des non-conformités

Définition différente de l'ancienne norme


Certification de SMSIAdaptation du SMSI

Si approche clause par clause

Mise à jour difficile

Si approche processus de gestion de la sécurité

Peu de changements à apporter

Dans tous les cas

Analyse d'écart nécessaire avant d'opérer des modifications


Certification de SMSIModalités de transition

Modalité de transition de la version 2005 à la version 2013

Définies par l'International Accreditation Forum

Entreprises déjà certifiées ISO 27001:2005

Transition possible jusqu'au 1er octobre 2015

Avec un audit en août 2015 au plus tard

Certification initiale ISO 27001:2005

Possible jusqu'au 1er octobre 2014

Avec un audit en juin 2014 au plus tard

Certification initiale ISO 27001:2013

Déjà possible


Certification de personneModalités de transition

Examens sur la version 2013

Depuis le 2 janvier 2014

Provisional version 2005 → certificat version 2005

Possible jusqu'au 30 juin 2014

Provisional version 2005 → provisional version 2013

Transition impossible

Provisional version 2005 → certificat version 2013

Attestation de mise à niveau (formation d'une journée)

Et demande de certificat

Certificat version 2005 → certificat version 2013

Demande expresse de nouveau certificat avec attestation de mise à niveau (formation)

Ou transition lors de la surveillance / renouvellement avec preuve de mise à niveau (formation, prestation...)

Suppression des registres et certificats version 2005 au 31 décembre 2016


Merci

Questions ?


Sources

slide 13: Cauliflower Romanseco, by SputnikGNU Free Documentation License http://commons.wikimedia.org/wiki/File:Cauliflower_romanesco.JPG

slide 16 : Tarako spaghetti, by OcdpLicense : http://creativecommons.org/licenses/by-sa/3.0/deed.enhttp://commons.wikimedia.org/wiki/File:Tarako_spaghetti.jpg

slide 17 : Couple, group, people, users icon, by Everaldo CoelhoLicense : http://www.gnu.org/licenses/lgpl.htmlhttps://www.iconfinder.com/icons/3503/couple_group_people_users_icon#size=128

slide 17 : Box, content, inventory icon, by Andy GongeaLicense : License: Free for commercial usehttps://www.iconfinder.com/icons/33548/box_content_inventory_icon#size=64

slide 17 : Target, value icon, by IFALicense : License: Free for commercial usehttps://www.iconfinder.com/icons/104583/target_value_icon#size=128

slide 17 : Checklist, by Oliver TwardowskiLicense : Free for commercial use (Include link to package) https://www.iconfinder.com/iconsets/flavour

http://creativecommons.org/licenses/by-sa/3.0/deed.en

http://www.gnu.org/licenses/lgpl.html

https://www.iconfinder.com/icons/3503/couple_group_people_users_icon#size=128

https://www.iconfinder.com/icons/33548/box_content_inventory_icon#size=64

Documents

ISO 27001:2013club-27001.fr/attachments/article/148/Presentation-e...HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix,