Phase « DO » du PDCA – la norme ISO/CEI 27001

La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act) :

3. Phase « DO » du PDCA

Cette phase consiste à décrire la mise en œuvre des mesures de sécurité sélectionnées dans le SoA à travers quatre étapes.

3.1- Plan de traitement

Il faut premièrement gérer l’interdépendance des actions à entreprendre. Certaines mesures sont partiellement ou déjà en place, d’autres doivent être intégralement déployées ou nécessitent la mise en œuvre d’une autre action avant de pouvoir être lancées. Ce travail revient à établir un plan de traitement qui peut être assimilé à de la gestion de projet. Une fois ce travail effectué, il faut déployer les mesures de sécurité en suivant le plan de traitement.

Par la suite, le responsable de projet doit définir des « mesures d’efficacité » pour contrôler le bon fonctionnement du SMSI.

3.2- Choix des indicateurs

Ce point consiste à mettre en place des indicateurs de performance pour vérifier l’efficacité des mesures de sécurité ainsi que des indicateurs de conformité pour contrôler la conformité du SMSI. Trouver de bons indicateurs n’est pas une tâche facile. La norme ne préconise pas d’indicateurs précis à utiliser mais l’ISO/CEI 27004 propose une démarche qui peut aider à les sélectionner [10].

L’étape suivante concerne la sensibilisation des collaborateurs aux principes de la sécurité de l’information.

3.3- Formation et sensibilisation des collaborateurs

Nous avons vu que les mesures de sécurité couvrent de nombreux domaines allant de la sécurité organisationnelle à la sécurité physique, en passant par la sécurité des systèmes réseaux etc. Les collaborateurs doivent maîtriser les outils de sécurité déployés dans les domaines très variés. Une formation du personnel peut s’avérer nécessaire.

La sensibilisation à la sécurité du système d’information concerne tous les collaborateurs. Elle peut débuter par un rappel des engagements de leur entreprise en matière de sécurité et se poursuivre par une liste de conseils tels que le respect de certaines règles de sécurité pour les mots de passe et l’environnement de travail.

3.4- Maintenance du SMSI

La maintenance consiste à garantir le bon fonctionnement de chacun des processus du SMSI et vérifier que leur documentation est à jour. Cela permet à l’auditeur externe de contrôler la gestion du SMSI. Il est à noter que tous les systèmes de management ISO sont concernés par la maintenance [7].

A ce stade de l’avancement du SMSI, les mesures identifiées du SoA fonctionnent, les indicateurs sont implémentés et les collaborateurs de l’organisme formés et sensibilisés à la sécurité du SMSI, nous pouvons poursuivre avec la phase « Check » du PDCA.

Mise en œuvre d’un système de management de la sécurité de l’information (SMSI)
Mémoire Pour l’obtention d’un Diplôme de Mastère Professionnel
Université Virtuelle de Tunis – Mastère en Optimisation et Modernisation des Entreprises

Table des matières :
Introduction
Première partie : Etat de l’art des systèmes de management de la sécurité de l’information
1. Introduction
2. Définitions
2.1- L’ISO (Organisation Internationale de Normalisation)
2.2- Les normes
2.3- La normalisation
2.4- Historique des normes en matière de sécurité de l’information
3. Les SMSI (Systèmes de Management de la Sécurité de l’Information)
3.1- Les systèmes de management
3.2- Sécurité de l’information
4. Les normes de la famille ISO/CEI 2700x
Deuxième partie : La norme ISO/CEI 27001 : Son approche en quatre phases (Plan, Do, Check, Act)
1. Introduction
2. Phase « PLAN » du PDCA
2.1- Politique et périmètre du SMSI
2.2- Appréciation des risques
3. Phase « DO » du PDCA
4. Phase « CHECK » du PDCA
4.1- Les audits internes
4.2- Les contrôles internes
4.3- Revues de direction
5. Phase « ACT » du PDCA
Troisième partie : Implémentation et Mise en œuvre de la norme ISO / CEI 27001
1. Introduction
2. Structure d’accueil
3. Audit Préalable de l’existant
3.1- Démarche de l’audit préalable
3.2- Conclusion de l’audit
4. Article « A.5 POLITIQUE DE SECURITE »
4.1- Fondements
4.2- Définitions
4.3- Champ d’application
4.4- La classification
4.5- Mentions particulières de confidentialité et les Informations Sensibles Non Classées (ISNC)
4.6- L’accès aux informations traitées à l’ambassade (Information de Sécurité d’Etat)
4.7- Lieux abritant des informations de sécurité d’Etat
4.8- Contrôles et inspections
5. Article « A.6 ORGANISATION DE LA SECURITE DE L’INFORMATION »
5.1- Principe
5.2- Implication de la direction
5.3- Elaboration du Catalogues des Fonctions des Informations de Sécurité d’Etat de l’Ambassade (CFISE)
5.4- Candidats à l’habilitation et gestion de l’habilitation
5.5- Procédure d’habilitation
5.6- La décision d’habilitation
5.7- La notification de la décision
5.8- Habilitation et changement d’affectation
5.9- Conservation des décisions 72
5.10- Répertoire des habilitations
5.11- Fin de l’habilitation
6. Conclusion



Leave a Reply

Your email address will not be published. Required fields are marked *