© 2003 Acadys - all rights reserved Le management de la sécurité de l’information.

© 2003 Acadys - all rights reserved

Le management de la sécurité de l’information

2

Que faut il sécuriser?

Les utilisateursL’informatique

L’information

Les usages

Le système d’information

http://www.tdv-profile.com/images/imports/operateur.jpg

http://images.google.com/imgres?imgurl=http://www.achats-publics.fr/Site-IRM/Images/achieva_tech_EC.jpg&imgrefurl=http://www.achats-publics.fr/Site-IRM/Marche/AtoutsPHILIPS.htm&h=150&w=120&sz=6&hl=fr&start=172&tbnid=cXamrnaS95xV1M:&tbnh=96&tbnw=77&prev=/images?q=op%C3%A9rateur+sav&start=160&gbv=2&ndsp=20&svnum=10&hl=fr&sa=N

http://images.google.com/imgres?imgurl=http://iut.univ-lyon2.fr/IMG/jpg/achat_tel_1-2.jpg&imgrefurl=http://iut.univ-lyon2.fr/article.php3?id_article=433&h=208&w=315&sz=12&hl=fr&start=99&tbnid=yJEbj3FdhUkkCM:&tbnh=77&tbnw=117&prev=/images?q=op%C3%A9rateur+sav&start=80&gbv=2&ndsp=20&svnum=10&hl=fr&sa=N

http://images.google.com/imgres?imgurl=http://www.calcialiment.fr/images/chercheur.jpg&imgrefurl=http://www.calcialiment.fr/fr/recherche.php&h=250&w=183&sz=17&hl=fr&start=15&tbnid=7jwR31tZVF_z5M:&tbnh=111&tbnw=81&prev=/images?q=chercheur&gbv=2&svnum=10&hl=fr

http://images.google.com/imgres?imgurl=http://www.ifp-formation.ch/img/image_comptable.jpg&imgrefurl=http://www.ifp-formation.ch/contents/B4_formation_comptabilite_comptable/index.jsp?lang=1&h=162&w=185&sz=8&hl=fr&start=3&tbnid=Ukjdl-y7ZlkGPM:&tbnh=89&tbnw=102&prev=/images?q=comptable&gbv=2&svnum=10&hl=fr



http://images.google.com/imgres?imgurl=http://www.youthnet.org/content/1/c6/02/53/60/oracle-logo_small-180-x-146.jpg&imgrefurl=http://www.youthnet.org/getinvolved/companies/oraclecorporationukltd&h=146&w=180&sz=4&hl=fr&start=1&tbnid=hiDj8Bp2Xw4jqM:&tbnh=82&tbnw=101&prev=/images?q=oracle+logo&gbv=2&svnum=10&hl=fr

http://images.google.com/imgres?imgurl=http://www.photonetc.com/media/_commun_/images/ordinateur%200013.jpg&imgrefurl=http://www.photonetc.com/index.php?lan=fr&sec=300&sub1=3006&h=446&w=669&sz=54&hl=fr&start=69&tbnid=afb_1CSy3jdvpM:&tbnh=92&tbnw=138&prev=/images?q=Ordinateur&start=60&gbv=2&ndsp=20&svnum=10&hl=fr&sa=N

http://images.google.com/imgres?imgurl=http://www.tt-hardware.com/img/news5/news140906_3dujour.gif&imgrefurl=http://actus.rueducommerce.fr/index.php/2006/09/14/2708-le-petit-guide-du-pda&h=300&w=258&sz=25&hl=fr&start=103&tbnid=mIxWVcLljMKD_M:&tbnh=116&tbnw=100&prev=/images?q=PDA&start=100&gbv=2&ndsp=20&svnum=10&hl=fr&sa=N

http://images.google.com/imgres?imgurl=http://www.locaware.com/data/3_4_2003_881939.gif&imgrefurl=http://www.locaware.com/location/pc_de_bureau.asp?cat=1&prod=8&h=150&w=200&sz=15&hl=fr&start=1&tbnid=7taZKll6jNKhVM:&tbnh=78&tbnw=104&prev=/images?q=ordinateur+%C3%A9cran+plat&gbv=2&svnum=10&hl=fr

http://images.google.com/imgres?imgurl=http://www.serveur-host.com/img_location_serveur-dedie/salle-blanche_serveur.jpg&imgrefurl=http://www.serveur-host.com/infrastructure_internet_hebergement_serveur_dedie.php&h=347&w=350&sz=31&hl=fr&start=39&tbnid=kF-5xnL-Mi5qSM:&tbnh=119&tbnw=120&prev=/images?q=serveur&start=20&gbv=2&ndsp=20&svnum=10&hl=fr&sa=N

http://images.google.com/imgres?imgurl=http://www.serveur-host.com/img_location_serveur-dedie/salle-blanche_serveur.jpg&imgrefurl=http://www.serveur-host.com/infrastructure_internet_hebergement_serveur_dedie.php&h=347&w=350&sz=31&hl=fr&start=39&tbnid=kF-5xnL-Mi5qSM:&tbnh=119&tbnw=120&prev=/images?q=serveur&start=20&gbv=2&ndsp=20&svnum=10&hl=fr&sa=N

http://images.google.com/imgres?imgurl=http://blog.developpez.com/media/Office2007Logo.png&imgrefurl=http://blog.developpez.com/index.php?blog=25&m=200605&h=162&w=174&sz=16&hl=fr&start=16&tbnid=pZ9yS5UBXLAdZM:&tbnh=93&tbnw=100&prev=/images?q=IBM+logo+2007&gbv=2&svnum=10&hl=fr

http://images.google.com/imgres?imgurl=http://www.gwha.com/img/dell_logo.png&imgrefurl=http://www.gwha.com/products/computers/dell/&h=188&w=188&sz=5&hl=fr&start=2&tbnid=DP-D_6Ei9kzbbM:&tbnh=102&tbnw=102&prev=/images?q=dell+logo&gbv=2&svnum=10&hl=fr&sa=G

http://images.google.com/imgres?imgurl=http://logotypes.designer.am/t/ibm_logo.png&imgrefurl=http://logotypes.designer.am/srch/search.php?way=detailed&id=11696&r=t&a=i&pg=1&h=201&w=201&sz=2&hl=fr&start=3&tbnid=57EahV0A82xQWM:&tbnh=104&tbnw=104&prev=/images?q=ibm+logo&gbv=2&svnum=10&hl=fr&sa=G

http://images.google.com/imgres?imgurl=http://www.jadebug.com/gallery/pacasmayo/Introduction/linux-logo.png&imgrefurl=http://www.jadebug.com/gallery/pacasmayo/Introduction/&h=360&w=327&sz=14&hl=fr&start=2&tbnid=nDs1zCwYvXs7lM:&tbnh=121&tbnw=110&prev=/images?q=linux+logo&gbv=2&svnum=10&hl=fr&sa=G



http://images.google.com/imgres?imgurl=http://www.international.gc.ca/department/auditreports/evaluation/evalPEMD03-8-fr.gif&imgrefurl=http://www.international.gc.ca/department/auditreports/evaluation/evalPEMD03-fr.asp&h=281&w=519&sz=5&hl=fr&start=23&tbnid=6kqFKjqGo9b1MM:&tbnh=71&tbnw=131&prev=/images?q=stock+d'information&start=20&gbv=2&ndsp=20&svnum=10&hl=fr&sa=N





3

Gérer la sécurité…..Un vrai casse tête

3

http://images.google.co.ma/imgres?imgurl=http://www.imcsline.com/screen/MA_Histogramme.jpg&imgrefurl=http://www.imcsline.com/MAnalyzer.asp&h=544&w=798&sz=100&hl=fr&start=3&um=1&usg=__3jeHaXcdmLy8g01udDL-y9wuThc=&tbnid=jX796sf9Yt3UtM:&tbnh=97&tbnw=143&prev=/images?q=histogramme&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://khany.developpez.com/tutoriel/mschart/images/graphe3d01.jpg&imgrefurl=http://khany.developpez.com/tutoriel/mschart/&h=432&w=711&sz=37&hl=fr&start=14&um=1&usg=__2DafSDHBfh6G0lA6SgxNX1whGzA=&tbnid=ED0T7L7TR237bM:&tbnh=85&tbnw=140&prev=/images?q=graphe&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://khany.developpez.com/tutoriel/mschart/images/graphe3d02.jpg&imgrefurl=http://khany.developpez.com/tutoriel/mschart/&h=428&w=439&sz=31&hl=fr&start=34&um=1&usg=__R4znUGvGjiV1cs9MAxld0qvZr6I=&tbnid=CXjBtp1ISjQesM:&tbnh=124&tbnw=127&prev=/images?q=graphe&start=18&ndsp=18&um=1&hl=fr&sa=N

http://images.google.co.ma/imgres?imgurl=http://manageengine.adventnet.com/products/opmanager/images/netflow-drilldown.gif&imgrefurl=http://manageengine.adventnet.com/products/opmanager/netflow-plugin.html&h=630&w=809&sz=72&hl=fr&start=3&um=1&usg=__nR3p5Ib1doGDFd6SGa1VqoBIrl4=&tbnid=xY5y4EnlUjatvM:&tbnh=111&tbnw=143&prev=/images?q=netflow+analyzer&um=1&hl=fr

http://images.google.co.ma/imgres?imgurl=http://pixhost.eu/avaxhome/avaxhome/2007-05-11/2007E05R11_000447.jpg&imgrefurl=http://www.download.ir/archives/utilities/index.php?page=69&h=280&w=424&sz=30&hl=fr&start=3&um=1&usg=__2mHroemnkixqn7oyTfvxdJkJmeU=&tbnid=GIDzMc9qQ-pmMM:&tbnh=83&tbnw=126&prev=/images?q=gfi+languard&um=1&hl=fr

4

Vision intégrée de la sécurité SI

5

La famille ISO 27000

6

La norme ISO 27001

Généralités

7

La norme ISO27001

ISO 27001: Gestion de la sécurité de l'information - Spécification pour les systèmes de management de la sécurité de l'information

Spécifie les exigences pour la conception, la mise en place et la documentation des SMSI

Spécifie les exigences pour la mise en œuvre de contrôles conformément aux besoins des organisations

L'annexe A se compose de 11 sections comportant 133 contrôles de ISO 27002

Les organisations peuvent postuler à la certification à cette norme.

8

Systèmes deManagement de laSécurité de l’Information

Généralités

SMSI

9

Système de management de la sécurité de l’information

Il s’agit de la sécurité de l’information

• au sens large du terme (pas seulement de la sécurité informatique).

• Sous toutes ses formes indépendamment du support (logiciel, matériel, humain, papier…

Sécurité de l’information

Réduire le SMSI à son coté strictement informatique serait une erreur.

10

La norme ISO 27001

Le noyau dur de la norme (chapitre 4) est articulé autour du modèle Plan, Do, Check, Act.

11

La norme ISO 27001

Phase Plan du SMSI

Cette phase se décompose en 4 grandes étapes:

Etape 1: Définir le périmètre et la politique.

Etape 2: Apprécier les risques

Etape 3: Traiter les risques et identifier le risque résiduel

Etape 4: Sélectionner les mesures de sécurité


12

La norme ISO 27001 (Phase Plan du SMSI)

Le périmètre et la politique constituent la véritable pierre angulaire du système de management.

Périmètre: c’est le domaine d’application du SMSI. Le but est d’inclure dans le périmètre toutes les activités dont les parties prenantes exigent de la confiance.

Politique: il s’agit de préciser le niveau de sécurité qui sera appliqué dans le domaine définit dans le périmètre

La norme ne donne aucune directive sur la manière de choisir le périmètre et la politique du SMSI.

Elle ne formule des exigences que sur la forme.

Etape 1: Définir le périmètre et la politique

13

Le besoin d'apprécier les risques n'est pas nouveau car les entreprises sont depuis toujours exposées à des menaces.

La norme spécifie qu’il est obligatoire d’adopter une méthode d’appréciation des risques, sans en imposer aucune en particulier.

Méthode Origine Organisme Gratuit

Ebios France DCSSI Oui

Mehari France Clusif Oui

CRAMM Royaume-Uni CCTA Non

Octave Etats-Unis CERT Oui



14


ISO 27005 : GESTION DES RISQUES

15

La norme exige un cahier de charge très strict qui spécifie toutes les étapes clés de l’appréciation des risques.(Toute méthode ne respectant pas l'un de ces points est considérée comme étant non conforme à la norme)

Il suffit (au responsable chargé de l’appréciation du risque) de vérifier que la méthode utilisée, pour l’appréciation des risques, soit compatible avec les exigences de la norme.

L’entreprise peut très bien inventer sa propre méthode maison, en respectant rigoureusement le cahier des charges de l’ISO 27001.



16

Les sous-étapes suivantes sont très importantes dans l’appréciation des risques:



1 • Identifier les actifs

2 • Identifier les personnes responsables

3 • Identifier les vulnérabilités

4 • Identifier les menaces

5 • Identifier les impacts

6 • Evaluer la vraisemblance

7 • Estimer les niveaux de risque

17

1 2

3

4

5

6

7

8

9

10

11

12

131415

16

17

18

19

20

21

22

23

24

25

26

0.0

1.0

2.0

3.0

4.0

Cartographie des risques potentiels1 - Vol ou destruction de matériel informatique dans les locaux de l'entreprise

2 - Destruction de matériels informatiques

3 - Perte financière suite à des incidents dans le SI non couverts par des assurances

4 - Perte d'intégrité des données dans les applications centrales

5 - Perte de données personnelles dans des postes de travail utilisateurs

6 - Indisponibilité prolongée du réseau informatique

7 - Indisponibilité prolongée de la messagerie électronique

8 - Perte d'intégrité des données bureautiques

9 - Indisponibilité prolongée de(s) application(s) centrale(s)

10 - Intrusion logique dans le système d'information au travers de la connexion internet

11 - Fuite de données informatiques sensibles

12 - Perte ou vol de matériel informatique mobile (ordinateur portable, PDA)

13 - Accès illicite à des informations à caractères privés

14 - Accès illicite à des systèmes de tiers

15 - Copie illégale de logiciels ou de progiciels

16 - Impossibilité de récupérer des traces ou des preuves

informatiques

17 - Vol de documents ou d'informations sensibles dans les

locaux de l'entreprise

18 - Désorganisation des services suite à des incidents dans le

Système d'Information

19 - Indisponibilité prolongée des accès téléphoniques

20 - Indisponibilité prolongée des équipements de bureau

21 - Destruction partielle des bâtiments du siège de l'entreprise

22 - Débauchage par la concurrence de personnel clé

23 - Fraude financière importante

24 - Destruction des archives papiers

25 - Destruction partielle ou totale des bâtiments d'une agence

de l'entreprise

26 - Désorganisation des services provoqués par des absences de

personnel



18

La norme identifie quatre traitements possibles auxquelles il faut se conformer

1. L’acceptation: ne déployer aucune mesure de sécurité supplémentaire à celles déjà en place.

2. L’évitement: dans le cas où les conséquences d’un incident sont jugées inacceptables pour l’entreprise, il est possible d’éviter le risque.

3. Le transfert: lorsque le risque ne peut pas être évité, mais que l’entreprise ne peut le cerner, il peut choisir de le transférer (souscription à une assurance ou appel à la sous-traitance)

4. La réduction: mettre en place toutes les mesures techniques et organisationnelles afin de réduire le risque à un niveau jugé acceptable.


Etape 3: Traiter le risque et identifier le risque résiduel.

19

Dès que le traitement de risque est décidé, il reste à identifier les risques résiduels.Le risque résiduel est celui qui reste une fois que l’on a mis en place les mesures de sécurité. Il faut traiter ce genre de risque.

1. S’il est jugé inacceptable alors appliquer des mesures de sécurité supplémentaires pour tendre à réduire ce risque jusqu’à ce qu’il atteigne un niveau acceptable

2. En général, il reste toujours un risque résiduel. La norme oblige le management soit de les accepter en connaissance de cause soit de les refuser et de prendre les actions appropriées.


Etape 3: Traiter le risque et identifier le risque résiduel.

20

L’objectif est d’identifier les mesures de sécurité qui permettront de réduire le risque de façon raisonnable.

La norme présente 133 mesures de sécurité, classées selon 11 catégories, qui peuvent être implémentées (Annexe A: liste de mesure sans aucune aide d’implémentation).

Une fois l’appréciation des risques effectué, de même que le traitement; la norme oblige à considérer chacun des risques à traiter, et à sélectionner dans l’annexe A la (les) mesure (s) de sécurité la (les) plus appropriée (s).



21

La dernière étape dans la phase Plan, consiste à dresser un tableau récapitulatif,

reprenant les 133 mesures de l’annexe A, et en précisant pour chacune d’entre

elle, celles qui ont été retenues pour réduire le risque et celles qui ont été

écartées (tableau appelé déclaration d’applicabilité = SoA Statement of

Application).

Toute sélection de chaque mesure ou son abondant doit être justifié. C’est une exigence de la norme.



22

La norme ISO 27001


23

Phase Do du SMSI

Une fois les objectifs du SMSI fixés (dans la phase Plan), il faut les mettre en œuvre. Plusieurs actions sont à entreprendre:

Action1: Planifier de traitement des risques

Action2: Déployer les mesures de sécurité

Action3: Générer les indicateurs

Action4: Former et sensibiliser le personnel

Action5: Gérer le SMSI au quotidien

Action6: Détection et réaction rapide aux incidents

La norme ISO 27001


24

Action6: Détection et réaction rapide aux incidents.

Un SMSI opérationnel se doit de détecter rapidement tout incident, qu’il soit d’origine malveillante ou accidentelle, risquant d’altérer la disponibilité, la confidentialité ou l’intégrité de l’information.

Le principe de la sécurité axée sur le temps est de mise.

Idées de départ: Toute attaque prend un certain temps à l’agresseur avant de réussir Toute attaque prend un certain temps à être détectée par le

défenseur Les actions entreprises par le défenseur pour contrecarrer l’attaque

prennent un certain temps

Il faut assurer que:Le temps de détection + temps de réaction

< temps nécessaire à l’agresseur pour réussir son attaque

La norme ISO 27001 (Phase Do du SMSI)

25

La norme ISO 27001


26

La norme ISO 27001 (Phase Check du SMSI)

Phase Check du SMSILa norme impose la mise en place de moyen de contrôle est de surveiller en permanence :

1. L’efficacité du SMSI2. Sa conformité par rapport aux spécifications

Trois familles d’outils permettent à l’implémenteur de répondre à cette exigence:

Les audits internes Le contrôle interne Les revues ( ou encore réexamen)


27

La norme ISO 27001


28

Phase Act du SMSIToutes les activités de contrôle réalisées lors de la phase « Check » sont susceptible de mettre en lumière un certain nombre de dysfonctionnement

Les constats peuvent être de plusieurs ordres Ecarts entre le SMSI et les exigences de la norme Ecarts entre les spécifications du SMSI et la pratique constatée. Mesures de sécurité inefficaces ou insuffisamment performantes Risques oubliés lors de l’appréciation des risques Changements de contexte entraînant de nouveaux risques Problèmes récurrents

La norme ISO 27001


29

La norme ISO 27001 (Phase Act du SMSI)

Phase Act du SMSI : Les actions;

La norme impose d’identifier systématiquement des actions correctives, préventives ou d’amélioration pour chacun de ces constats.

Actions correctives Elles sont entreprises lorsqu’un incident ou un écart a été constaté. Le but est d’agir d’abord sur les effets pour corriger l’écart, puis sur les causes pour éviter que l’écart ne se reproduise à nouveau.

Actions préventives Elles sont lancer lorsqu’on détecte une situation qui risque d’entraîner un écart ou un incident si rien n’est fait. Les actions préventives consistent à agir sur les causes avant que l’écart ne se produise.

Actions amélioration Leur but n’est pas de corriger ni d’éviter un écart, mais d’améliorer la performance d’un processus du SMSI

30

Le code des bonnes pratiqueISO 27002

31

La norme ISO 27002

Les 11 chapitres de la norme ISO 27002

32

L’objectif est, pour la Direction, de:o Exprimer formellement la stratégie de sécurité de la

sociétéo Communiquer clairement son appui à sa mise en œuvre.

Un document exposant la politique de sécurité doit être approuvé Il doit être révisé et adapté périodiquement en prenant en

compte l’efficacité de ses mesures, le coût et l’impact des contrôles sur l’activité, les effets des évolutions technologiques.

La sécurité est une responsabilité partagée par tous les membres de l’équipe de direction.

Un comité de direction multifonction doit être formé pour assurer un pilotage clair et une visibilité élevée de l’engagement de la direction.

Il définit les rôles et responsabilités, les méthodes et procédures, approuve et supporte les initiatives de communication internes.

Politique de sécurité

33

La norme ISO 27002


34

Responsable de Sécurité SI

Comité de Sécurité SI

Organisation de la sécurité de l’information

35

La norme ISO 27002


36

Classification des actifs

L’objectif est de maintenir le niveau de protection adapté à chaque actif

d’information en accord avec la politique de sécurité.

Tout élément d’actif important doit être répertorié et alloué à un

responsable nominatif.

L’information doit être classifiée en fonction du besoin, de la

priorité et du degré de sa sécurité.

Les procédures de classification des informations doivent être définies et

couvrir la manipulation des informations sous forme physique aussi bien

que électronique, et pour les différentes activités de copie, stockage,

transmission et destruction.

37

La norme ISO 27002


38

Plus de 80% des incidents proviennent de l’intérieur de l’entreprise !

L’objectif est de:

Réduire le risque d’erreur, de vol, de fraude ou de mauvais usage des moyens de traitement.

Assurer que les utilisateurs sont informés des risques et menaces concernant les informations.

Assurer que les utilisateurs sont formés et sont équipés pour appliquer la politique de sûreté lors de leurs activités normales.

Minimiser les dommages en cas d’incident.

Apprendre de ces incidents.

Sécurité liée aux ressources humaines

39

La norme ISO 27002


40

L’objectif est de: Prévenir les accès non autorisés, les dommages et les interférences

sur les informations, les activités et les locaux de l’organisation. Prévenir la compromission ou le vol d’information ou de moyens de

traitement.

Sécurité physique et environnementale

41

La norme ISO 27002


42

L’objectif de ce chapitre de la norme est de: Assurer une exploitation correcte et sûre des moyens de

traitement. Minimiser les risques de pannes et leur impact. Assurer l’intégrité et la disponibilité des informations, des

traitements et des communications. Prévenir les dommages aux actifs et les interruptions de service. Prévenir les pertes, les modifications et les mauvaises utilisations

d’informations échangées entre organisations.

Gestion de l’exploitation et des télécommunications

43

La norme ISO 27002


44


Gérer et contrôler l’accès aux informations Prévenir les accès non autorisés Assurer la protection des systèmes en réseau Détecter les activités non autorisées

La politique de contrôle comprend notamment:

L'enregistrement unique de chaque utilisateur, Une procédure écrite de délivrance d'un processus

d'authentification signée du responsable hiérarchique, Des services de déconnexion automatique en cas d'inactivité, Une politique de révision des mots de passe

Contrôle d'accès

45

La norme ISO 27002


46


Assurer que la sécurité est incluse dès la phase de conception. Prévenir la perte, la modification ou la mauvaise utilisation des

informations dans les systèmes. Protéger la confidentialité, l’intégrité et la disponibilité des

informations. Assurer que les projets et les activités de maintenance sont

conduits de manière sûre. Maintenir la sécurité des systèmes d’application, tant pour le

logiciel que pour les données.

Acquisition, développement et maintenance des SI

47

La norme ISO 27002


48


Assurer que les incidents de sécurité sont enregistrés, résolus et qu’un reporting adéquat est mis en place (ITIL).

Gestion des incidents liés à la sécurité de l’information

https://www.google.com/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=CuabB2JxvEpO2M&tbnid=KVBSbERRiSC3TM:&ved=0CAUQjRw&url=https://twitter.com/UnlockThePast&ei=vcBrUo_fA8rXtAa-qICYCA&bvm=bv.55123115,d.bGE&psig=AFQjCNHOjF2byBYMFG-Jg_d22bWs8UIYuw&ust=1382879770868081

49

La norme ISO 27002


50

Gestion de la continuité de l’activité

L’objectif est de développer la capacité à répondre rapidement aux interruptions des activités critiques de l’organisation, résultant de pannes, d’incident, de sinistre ou de catastrophe.

Une analyse de risques à partir de divers scénarii de sinistre et une évaluation de la criticité des applications, permet d'établir différents plans de poursuite des opérations depuis le mode dégradé en cas de dysfonctionnements mineurs jusqu'à la reprise dans un local distant en cas de sinistre grave (incendie, attentat, grève, etc…).

51

La norme ISO 27002


52

La conformité se décline en 3 volets:

1. Le respect des lois et réglementations: licences logiciels, propriété intellectuelle, règles de manipulation des fichiers contenant des informations touchant la confidentialité des personnes,

2. La conformité des procédures en place au regard de la politique de sécurité de l'organisation, c'est à dire quels dispositifs ont été mis en place pour assurer les objectifs décrits par la Direction Générale

3. L'efficacité des dispositifs de traçabilité et de suivi des procédures en place, notamment les journaux d'activités, les pistes d'audit, les enregistrements de transaction.

4. Notamment la loi 0908

Conformité

© 2003 Acadys - all rights reserved Le management de la sécurité de l’information.

Documents

Transcript of © 2003 Acadys - all rights reserved Le management de la sécurité de l’information.