ISO/CEI 27003

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

La norme ISO/CEI 27003 fournit un guide d'implémentation de la suite de norme ISO 27000. Ce guide de conception permet de définir un Système de Management de la Sécurité de l'Information (SMSI) conforme aux exigences de la norme ISO 27001.

ISO/CEI 27003 décrit le processus de spécification et de conception du SMSI de la phase de cadrage au déploiement du SMSI.

Ces étapes couvrent les activités de préparation et de planification avant la mise en œuvre effective, et incluent les éléments clés suivant :

  • Validation de la Direction et autorisation d'implémenter le SMSI.
  • Définition du périmètre et des limites du SMSI (y compris les moyens techniques et les sites impliqués).
  • Évaluation des risques informationnels et planification du traitement des risques. Définition des exigences de contrôle sur les risques.
  • Conception du SMSI.
  • Planification du projet d'implémentation.

La norme ISO 27003 est basée sur les autres normes de la suite ISO 27000 et notamment sur ISO 27001.

  1. Périmètre.
  2. Références normatives.
  3. Glossaire.
  4. Structure de la norme.
  5. Obtenir l'approbation du management (Direction) pour commencer le projet d'implémentation du SMSI.
    1. Vue d'ensemble de l'approbation de la Direction en amont du lancement du projet de SMSI.
    2. Clarifier les priorités de l'organisation quant à la mise en œuvre du SMSI.
    3. Définir le périmètre initial du SMSI.
    4. Créer le plan business et le plan projet afin d'obtenir l'approbation de la direction
  6. Définir le périmètre et les limites du SMSI ainsi que la Politique du SMSI .
    1. Vue d'ensemble du périmètre et des limites du SMSI, et de la politique du SMSI.
    2. Définir le périmètre et les limites de l'organisation.
    3. Définir le périmètre et les limites des technologies impliquées.
    4. Définir le périmètre et les limites des sites.
    5. Intégrer chacun des périmètres et limites afin de recalibrer le périmètre et les limites du SMSI.
    6. Établir la politique du SMSI et obtenir l'approbation de la Direction.
  7. Analyser les exigences sous l'angle de la sécurité de l'information.
    1. Vue d'ensemble de l'analyse des exigences.
    2. Définir les exigences Sécuritaires du processus SMSI.
    3. Identifier les actifs compris dans le SMSI.
    4. Réaliser une évaluation de la Sécurité de l'Information.
  8. Réaliser une analyse des risques puis un plan de traitement des risques. (cf. ISO 27005)
    1. Vue d'ensemble de la conduite de l'évaluation des risques et du plan de traitement.
    2. Réaliser une évaluation des risques.
    3. Sélectionner les contrôles et objectifs.
    4. Obtenir l'autorisation de la Direction d'implémenter le SMSI.
  9. Réalisation du SMSI.
    1. Vue d'ensemble de la réalisation du SMSI.
    2. Définir l'organisation de la Sécurité de l'Information.
    3. Définir la Sécurité physique et logique.
    4. Définir les spécificités sécuritaires du SMSI.
    5. Livrer le plan de projet final du SMSI.