une norme NF sur la sécurité des systèmes d'information

Sécurité des systèmes d’information

Normes

Bientôt une norme NF sur les systèmes de management de la sécurité informatique

La norme ISO 27001 définit la Politique du Management de la Sécurité des SI au sein d’une entreprise. Elle est issue de la BS 7799-2:1999 « Specification for information security management systems » qui définit les exigences à respecter pour créer un ISMS (Information Security Management System).

Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus :

  • Définir une politique de la sécurité des informations,
  • Définir le périmètre du Système de Management de la sécurité de l’information,
  • Réaliser une évaluation des risques liés à la sécurité,
  • Gérer les risques identifiés,
  • Choisir et mettre en oeuvre les contrôles,
  • Préparer un SoA ( « statement of applicability »).

    Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place de facteurs d’amélioration (PDCA).

    Pour former sa position, l’AFNOR soumet le projet ISO 27001 à une enquête probatoire nationale qui se terminera le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête est ouverte à tous. Les résultats seront dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information ». Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF.

    Projet PR NF ISO 27001 (indice de classement : Z74-221PR), avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007

    (Mise en ligne Juillet 2007)