|
|
|
Dématérialisation et archivage électronique Normes Le management de la sécurité des SI enfin normalisé par l’AFNOR !
Comme les normes ISO 9001 : 2000 et ISO 14001 : 2004, l’ISO 27001 : 2007 porte moins sur l’efficacité des dispositions mises en place que sur leur existence et la mise en place de facteurs d’amélioration selon le modèle PDCA (2). Autrement dit, son objectif n’est pas de garantir un niveau de sécurité, mais de garantir que lorsqu’on l’a atteint, on le garde ! Elle encourage ainsi l'adoption d'une approche « processus » pour l'établissement, la mise en oeuvre, le fonctionnement, la surveillance et le réexamen, la mise à jour et l'amélioration d’un SMSI. Elle applique les principes de la qualité à la sécurité de l'information et constitue un référentiel précis et auditable permettant d’apporter la confiance nécessaire au développement du commerce en ligne.
Pour cela, l’entreprise doit identifier une méthodologie d'appréciation du risque adaptée à son SMSI, ainsi qu'à la sécurité de l'information identifiée et aux exigences légales et réglementaires [voir 4.2.1c)]. Ensuite, les objectifs de sécurité et les mesures de sécurité proprement dites doivent être sélectionnés et mis en oeuvre pour répondre aux exigences identifiées par le processus d'appréciation du risque et de traitement du risque. Cette sélection doit tenir compte des critères d'acceptation des risques ainsi que des exigences légales, réglementaires et contractuelles [voir 4.2.1g)]. Enfin, la norme décrit des procédures de preuve et d’enregistrements formels permettant de faciliter la constitution des dossiers de preuves et de préjudice. (1) NF ISO/CEI 27001 : 2007-12 (2) "Planifier-Déployer-Contrôler-Agir" ou roue de Deming Paru dans la JTIT n°71/2007 (Mise en ligne Décembre 2007) Autres brèves
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Informations légales et CGU Téléright | © 1997-2010 Alain Bensoussan Avocats. Tous droits réservés. |
