ISO

La famille ISO 9000 porte sur la Qualité Générale. Elle intègre les obligations que doit satisfaire une entreprise dont l'activité va de la conception, au développement, à la production, à l'installation et aux prestations associées. La certification ISO 9000 concerne l’ensemble des directions de l’entreprise dont la direction des systèmes d’information.

ISO/IEC# 20000 et ISO/IEC 27000

Ces familles traitent de la gestion des services informatiques avec un focus particulier sur la qualité des services rendus en terme de fiabilité et de disponibilité pour la famille ISO 20000 et sur la gestion des risques et du pilotage de la fonction informatique (indicateurs et tableaux de bord) pour la famille 27000.

La mise en place d’un Système de Management de la Sécurité de l'Information s’inscrit naturellement dans une démarche de progrès continu du type roue de Deming# ou PDCA#.

La norme ISO 20000 est décomposée en deux parties. La première partie définit précisément le cadre de la certification et les procédures à appliquer. La seconde explique les pratiques et introduit la notion de gestion de services s’appuyant sur les processus suivants.

  • Processus de fourniture des services.

Gestion des niveaux de services.

Rapport de services.

Gestion de la continuité et de la disponibilité des services.

Budgétisation et comptabilisation des services informatiques.

Gestion de la capacité.

Gestion de la sécurité de l’information.

  • Processus de gestion des relations entre clients et fournisseurs.

Gestion des relations commerciales.

Gestion des fournisseurs.

  • Processus de résolution de problèmes.

Gestion des incidents.

Gestion des problèmes.

  • Processus de maintien pour le contrôle des systèmes d’information.

Gestion des configurations.

Gestion des changements.

  • Processus de mise en production.

Processus de gestion des mises en production.

La famille ISO 27000 comprend les principales normes suivantes :

  • 27000 Présentation, glossaire.
  • 27001 La norme internationale SMSI#.
  • 27002 Sécurité de l'information, les 133 bonnes pratiques.
  • 27004 Indicateurs de sécurité, mesures et métrique pour le suivi du SMSI.
  • 27005 La gestion des risques et sécurité de l’information.

La norme ISO/CEI 27002 couvre le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels.

  • Évaluation des risques et de traitement.
  • Politique de sécurité de l'information.
  • Organisation de sécurité de l'information.
  • Gestion des actifs.
  • Contrôle d'accès.
  • Acquisition, développement et maintenance des systèmes d'information.
  • Gestion des incidents.
  • Gestion de la continuité d'activité.
  • Conformité.

Cette norme peut être utilisée comme un référentiel d'audit et de contrôle. Elle s’inscrit parfaitement dans une démarche d’amélioration continue dont les phases sont:

  • Plan : Elaboration de la politique sécurité des SI, Périmètre d'intervention,

Objectifs, Analyse des risques, Cartographie, Définition des indicateurs.

  • Do : Déploiement des mesures de sécurité, élaboration des procédures,

Sensibilisation et Formation, Réalisation des tableaux de bord.

  • Check : Audit, Contrôles internes, Revue de processus.
  • Act : Identification, Mise en place d’actions correctives, Amélioration, Bouclage.

.