Actif Édition de 27.12.2006
| Nom du document | "TECHNOLOGIE DE L'INFORMATION. MÉTHODES ET MOYENS DE SÉCURITÉ. SYSTÈMES DE GESTION DE LA SÉCURITÉ DE L'INFORMATION. EXIGENCES. GOST R ISO/IEC 27001-2006" |
| Type de document | commande, standard, gost, iso |
| Organisme hôte | Rostekhregulirovanie |
| numéro de document | ISO/CEI 27001-2006 |
| Date d'acceptation | 01.01.1970 |
| Date de révision | 27.12.2006 |
| Date d'inscription au Ministère de la Justice | 01.01.1970 |
| Statut | valide |
| Publication |
|
| Navigateur | Remarques |
"TECHNOLOGIE DE L'INFORMATION. MÉTHODES ET MOYENS DE SÉCURITÉ. SYSTÈMES DE GESTION DE LA SÉCURITÉ DE L'INFORMATION. EXIGENCES. GOST R ISO/IEC 27001-2006"
8. Amélioration du système de gestion la sécurité des informations
8.1. Amélioration continue
L'organisme doit continuellement améliorer l'efficacité du SMSI en affinant la politique de sécurité de l'information, les objectifs de sécurité de l'information, en utilisant les résultats des audits, en analysant les événements maîtrisés, les actions correctives et préventives, et en utilisant les résultats de la revue du SMSI par la direction (voir Article 7 ).
8.2. Mesures correctives
L'organisme doit prendre des mesures pour éliminer les causes de non-conformités aux exigences du SMSI afin d'éviter qu'elles ne se reproduisent. Une procédure d'action corrective documentée doit établir des exigences pour :
a) identification des non-conformités ;
b) déterminer les causes des non-conformités ;
C) évaluer la nécessité d'une action pour éviter la récurrence des non-conformités ;
d) déterminer et mettre en œuvre les actions correctives nécessaires ;
e) conserver des enregistrements des résultats des actions entreprises (voir 4.3.3) ;
f) examiner les mesures correctives prises.
8.3. Actions préventives
L'organisme doit déterminer les actions nécessaires pour éliminer les causes de non-conformités potentielles aux exigences du SMSI afin d'éviter leur récurrence. Les mesures préventives prises doivent être proportionnées aux conséquences des problèmes potentiels. La procédure documentée pour l'action préventive entreprise doit spécifier les exigences pour :
a) identifier les non-conformités potentielles et leurs causes ;
b) évaluer la nécessité d'une action pour prévenir l'apparition de non-conformités ;
c) déterminer et mettre en œuvre les actions préventives nécessaires ;
d) les enregistrements des résultats de l'action entreprise (voir 4.3.3) ;
e) examiner les résultats des actions entreprises.
L'organisme doit identifier les changements dans les évaluations des risques et établir des exigences pour les actions préventives, en accordant une attention particulière aux quantifications des risques significativement modifiées.
Les priorités concernant la mise en œuvre des actions préventives doivent être déterminées sur la base des résultats de l'évaluation des risques.
NOTE En général, le coût d'une action pour prévenir les non-conformités est plus économique que l'action corrective.
Dans le monde des technologies de l'information, la question d'assurer l'intégrité, la fiabilité et la confidentialité des informations devient une priorité. Par conséquent, reconnaître la nécessité d'un système de gestion de la sécurité de l'information (SMSI) dans une organisation est une décision stratégique.
Conçu pour créer, mettre en œuvre, maintenir et amélioration continue SMSI à l'entreprise De plus, grâce à l'application de cette norme, il devient évident pour les partenaires externes de la capacité de l'organisation à répondre à ses propres exigences en matière de sécurité de l'information. Cet article discutera des principales exigences de la norme et discutera de sa structure.
(ADV31)
Principaux objectifs de la norme ISO 27001
Avant de procéder à la description de la structure de la norme, précisons ses principales tâches et considérons l'histoire de l'émergence de la norme en Russie.
Objectifs de la norme :
- établir des exigences uniformes pour toutes les organisations afin de créer, mettre en œuvre et améliorer le SMSI ;
- assurer l'interaction entre la haute direction et les employés;
- préserver la confidentialité, l'intégrité et la disponibilité des informations.
Dans le même temps, les exigences établies par la norme sont générales et sont destinées à être appliquées par toute organisation, quels que soient son type, sa taille ou sa nature.
Historique de la norme :
- En 1995, le British Standards Institute (BSI) a adopté le Code de gestion de la sécurité de l'information en tant que norme nationale britannique et l'a enregistré sous le numéro BS 7799 - Partie 1.
- En 1998, BSI publie BS7799-2, qui se compose de deux parties, dont l'une comprenait un code de pratique et l'autre - les exigences pour les systèmes de gestion de la sécurité de l'information.
- Au cours des révisions ultérieures, la première partie a été publiée en tant que BS 7799:1999, Partie 1. En 1999, cette version de la norme a été soumise à l'International Certification Organization.
- Ce document a été approuvé en 2000 en tant que norme internationale ISO/IEC 17799:2000 (BS 7799-1:2000). La dernière version de cette norme, adoptée en 2005, est ISO/IEC 17799:2005.
- En septembre 2002, la deuxième partie de la norme BS 7799 "Information Security Management System Specification" est entrée en vigueur. La deuxième partie de la norme BS 7799 a été révisée en 2002 et, fin 2005, a été adoptée par l'ISO en tant que norme internationale ISO/IEC 27001:2005 "Technologies de l'information - Pratiques de sécurité - Systèmes de gestion de la sécurité de l'information - Exigences".
- En 2005, la norme ISO/CEI 17799 a été incluse dans la 27e série de normes et a reçu nouveau numéro- ISO/CEI 27002:2005.
- Le 25 septembre 2013, la norme mise à jour ISO/IEC 27001:2013 « Information Security Management Systems. Conditions". Actuellement, les organisations sont certifiées selon cette version de la norme.
Structure de la norme
L'un des avantages de cette norme est la similitude de sa structure avec l'ISO 9001, car elle contient des titres de sous-section identiques, un texte identique, des termes communs et des définitions de base. Cette circonstance permet d'économiser du temps et de l'argent, car une partie de la documentation a déjà été développée lors de la certification selon ISO 9001.
Si nous parlons de la structure de la norme, il s'agit d'une liste d'exigences ISMS obligatoires pour la certification et se compose des sections suivantes :
| Rubriques principales | Annexe A |
|---|---|
| 0. Présentation | A.5 Politiques de sécurité de l'information |
| 1 domaine d'utilisation | A.6 Organisation de la sécurité de l'information |
| 2. Références réglementaires | A.7 Sécurité des ressources humaines (personnel) |
| 3. Termes et définitions | A.8 Gestion des actifs |
| 4. Contexte de l'organisation | A.9 Contrôle d'accès |
| 5. Direction | A.10 Cryptographie |
| 6. Planification | A.11 Sécurité physique et protection de l'environnement |
| 7. Assistance | A.12 Sécurité opérationnelle |
| 8. Opérations (Opération) | A.13 Sécurité des communications |
| 9. Évaluation (Mesure) de la performance | A.14 Acquisition, développement et maintenance des systèmes d'information |
| 10. Amélioration (Amélioration) | A.15 Relations avec les fournisseurs |
| A.16 Gestion des incidents | |
| A.17 Assurer la continuité des activités | |
| A.18 Conformité légale |
Les exigences de «l'annexe A» sont obligatoires, mais la norme vous permet d'exclure les domaines qui ne peuvent pas être appliqués dans l'entreprise.
Lors de la mise en œuvre de la norme dans une entreprise pour une certification ultérieure, il convient de rappeler que les exceptions aux exigences établies dans les sections 4 à 10 ne sont pas autorisées.Ces sections seront discutées plus loin.
Commençons par la section 4 - Contexte organisationnel
Contexte organisationnel
Dans cette section, la Norme exige qu'une organisation identifie les problèmes externes et internes qui sont pertinents pour ses objectifs et qui affectent la capacité de son SMSI à atteindre les résultats attendus. Cela devrait tenir compte des exigences légales et réglementaires et des obligations contractuelles en matière de sécurité de l'information. L'organisation doit également définir et documenter la portée et l'applicabilité du SMSI pour établir sa portée.
Leadership
La haute direction doit faire preuve de leadership et d'engagement envers le système de gestion de la sécurité de l'information, par exemple, en veillant à ce que la politique de sécurité de l'information et les objectifs de sécurité de l'information soient établis et conformes à la stratégie de l'organisation. En outre, la haute direction doit s'assurer que toutes les ressources nécessaires au SMSI sont fournies. En d'autres termes, il devrait être évident pour les employés que la direction est impliquée dans les questions de sécurité de l'information.
La politique de sécurité de l'information doit être documentée et communiquée aux employés. Ce document ressemble à la politique qualité ISO 9001. Il doit également être cohérent avec l'objectif de l'organisation et inclure des objectifs de sécurité de l'information. Eh bien, s'il s'agit de véritables objectifs, tels que le maintien de la confidentialité et de l'intégrité des informations.
La direction doit également répartir les fonctions et les responsabilités liées à la sécurité de l'information entre les employés.
Planification
Dans cette section, nous arrivons à la première étape du principe de gestion PDCA (Plan - Do - Check - Act) - planifier, faire, vérifier, agir.
Lors de la planification du système de management de la sécurité de l'information, l'organisme doit prendre en compte les problèmes mentionnés à l'Article 4 et identifier les risques et les opportunités qui doivent être pris en compte pour garantir que le SMSI peut atteindre les résultats attendus, prévenir les effets indésirables et réaliser une amélioration continue. .
Lors de la planification de la manière d'atteindre ses objectifs de sécurité de l'information, une organisation doit déterminer :
- ce qui sera fait;
- quelles ressources seront nécessaires;
- qui sera responsable ;
- quand les objectifs seront atteints ;
- comment les résultats seront évalués.
En outre, l'organisation doit conserver les données sur les objectifs de sécurité de l'information en tant qu'informations documentées.
Sécurité
L'organisme doit déterminer et fournir les ressources nécessaires pour développer, mettre en œuvre, maintenir et améliorer en permanence le SMSI, cela inclut à la fois le personnel et la documentation. En termes de personnel, l'organisation est censée recruter du personnel de sécurité de l'information qualifié et compétent. Les qualifications des employés doivent être confirmées par des certificats, diplômes, etc. Il est possible d'attirer des spécialistes tiers dans le cadre du contrat ou de former vos propres employés. En termes de documentation, il devrait inclure:
- les informations documentées requises par la Norme ;
- informations documentées jugées nécessaires par l'organisme à l'efficacité du système de management de la sécurité de l'information.
Les informations documentées requises par le SMSI et la Norme doivent être contrôlées pour s'assurer qu'elles :
- disponible et utilisable où et quand nécessaire, et
- protégées de manière appropriée (par exemple, contre la perte de confidentialité, l'utilisation abusive ou la perte d'intégrité).
Fonctionnement
Cette section traite de la deuxième étape du principe de gouvernance PDCA - la nécessité pour une organisation de gérer les processus pour assurer la conformité et de mener à bien les activités identifiées dans la section Planification. Il stipule également qu'une organisation doit effectuer une évaluation des risques de sécurité de l'information à intervalles réguliers ou lorsque des changements importants sont proposés ou se produisent. L'organisation doit conserver les résultats de l'évaluation des risques pour la sécurité de l'information en tant qu'informations documentées.
Évaluation des performances
La troisième étape est la vérification. L'organisme doit évaluer le fonctionnement et l'efficacité du SMSI. Par exemple, il devrait effectuer un audit interne pour obtenir des informations sur
- si le système de gestion de la sécurité de l'information est conforme aux
- les propres exigences de l'organisation pour son système de gestion de la sécurité de l'information ;
- les exigences de la Norme ;
- que le système de gestion de la sécurité de l'information est effectivement mis en œuvre et opérationnel.
Bien sûr, le volume et le calendrier des audits doivent être planifiés à l'avance. Tous les résultats doivent être documentés et conservés.
Amélioration
Le but de cette section est de définir la marche à suivre lorsqu'une non-conformité est identifiée. L'organisation doit corriger l'écart, les conséquences et procéder à une analyse de la situation afin que cela ne se reproduise plus à l'avenir. Toutes les non-conformités et actions correctives doivent être documentées.
Ceci conclut les principales sections de la norme. L'annexe A fournit des exigences plus précises qu'une organisation doit respecter. Par exemple, en termes de contrôle d'accès, utilisez appareils mobiles et porteurs d'informations.
Avantages de la mise en œuvre et de la certification ISO 27001
- rehausser le statut de l'organisation et, par conséquent, la confiance des partenaires;
- augmenter la stabilité du fonctionnement de l'organisation;
- augmenter le niveau de protection contre les menaces à la sécurité de l'information ;
- assurer le niveau nécessaire de confidentialité des informations des parties intéressées ;
- élargir les possibilités pour l'organisation de participer à des contrats majeurs.
Les avantages économiques sont :
- confirmation indépendante par l'organisme de certification de la présence dans l'organisation haut niveau sécurité de l'information contrôlée par un personnel compétent ;
- la preuve du respect des lois et réglementations applicables (conformité au système des exigences obligatoires) ;
- démonstration d'un certain niveau élevé de systèmes de gestion pour assurer le bon niveau de service aux clients et partenaires de l'organisation ;
- Démonstration de la réalisation d'audits réguliers des systèmes de gestion, de l'évaluation des performances et de l'amélioration continue.
Certificat
Une organisation peut être certifiée par des agences accréditées conformément à cette norme. Le processus de certification comprend trois étapes :
- L'étape 1 - étude par l'auditeur des documents clés du SMSI pour la conformité aux exigences de la norme - peut être réalisée à la fois sur le territoire de l'organisation et en transférant ces documents à un auditeur externe ;
- Étape 2 - audit détaillé, y compris test des mesures mises en œuvre et évaluation de leur efficacité. Comprend une étude complète des documents requis par la norme;
- Étape 3 - réalisation d'un audit de surveillance pour confirmer que l'organisation certifiée répond aux exigences énoncées. Réalisé périodiquement.
Résultat
Comme vous pouvez le voir, l'utilisation de cette norme dans une entreprise permettra une augmentation qualitative du niveau de sécurité de l'information, ce qui vaut beaucoup dans les réalités d'aujourd'hui. La norme contient de nombreuses exigences, mais l'exigence la plus importante est de faire ce qui est écrit ! Sans application réelle des exigences de la norme, il se transforme en un ensemble vide de feuilles de papier.
(ISMS)- la partie du système de management global, qui s'appuie sur l'approche des risques métiers dans la création, la mise en œuvre, l'exploitation, le suivi, l'analyse, le support et l'amélioration de la sécurité de l'information.Dans le cas d'un bâtiment conforme aux exigences de la norme ISO/IEC_27001, il s'appuie sur le modèle PDCA :
- plan(Planification) - la phase de création d'un SMSI, de création d'une liste d'actifs, d'évaluation des risques et de choix des mesures ;
- Faire(Action) - le stade de mise en œuvre et la mise en œuvre des mesures pertinentes ;
- Vérifier(Vérification) - la phase d'évaluation de l'efficacité et des performances du SMSI. Généralement effectué par des auditeurs internes.
- loi(Améliorations) - mise en place d'actions préventives et correctives ;
Le concept de sécurité de l'information
La norme ISO 27001 définit la sécurité de l'information comme suit : « préserver la confidentialité, l'intégrité et la disponibilité des informations ; en outre, d'autres propriétés peuvent être incluses, telles que l'authenticité, la non-répudiation, la crédibilité."
Confidentialité – veiller à ce que les informations ne soient accessibles qu'aux personnes disposant de l'autorité appropriée (utilisateurs autorisés).
Intégrité – s'assurer de l'exactitude et de l'exhaustivité des informations, ainsi que des modalités de leur traitement.
Disponibilité – fournir l'accès aux informations aux utilisateurs autorisés si nécessaire (sur demande).
4 Système de gestion de la sécurité de l'information
4.1 Exigences générales
L'organisation doit établir, mettre en œuvre, utiliser, contrôler, réviser, tenir à jour et améliorer les dispositions documentées du SMSI dans toutes les activités commerciales de l'organisation et les risques auxquels elle est confrontée. Pour le bénéfice pratique de ce Standard international le processus utilisé est basé sur le modèle PDCA illustré à la fig. une.
4.2 Création et gestion du SMSI
4.2.1 Établir un SMSI
L'organisation doit faire ce qui suit.
a) En tenant compte des caractéristiques des activités de l'organisation, de l'organisation elle-même, de son emplacement, de ses actifs et de sa technologie, déterminer la portée et les limites du SMSI, y compris les détails et les justifications des exclusions de toute disposition du document du projet de SMSI (voir 1.2) .
b) En tenant compte des caractéristiques des activités de l'organisation, de l'organisation elle-même, de son emplacement, de ses actifs et de sa technologie, développer une politique SMSI qui :
1) comprend un système de définition des objectifs (tâches) et établit la direction générale de la gestion et les principes d'action en matière de sécurité de l'information ;
2) prend en compte les exigences commerciales et légales ou réglementaires, les obligations contractuelles de sécurité ;
3) connecté à l'environnement de gestion des risques stratégiques dans lequel la création et la maintenance du SMSI ont lieu ;
4) établit les critères par rapport auxquels le risque sera évalué (voir 4.2.1 c)); et
5) approuvé par la direction.
NOTE : Pour les besoins de la présente Norme internationale, une politique SMSI est considérée comme un ensemble étendu de politiques de sécurité de l'information. Ces politiques peuvent être décrites dans un seul document.
c) Développer le concept d'évaluation des risques dans l'organisation.
1) Déterminer une méthodologie d'évaluation des risques qui convient au SMSI et aux exigences légales et réglementaires établies en matière de sécurité des informations commerciales.
2) Élaborer des critères d'acceptation des risques et déterminer les niveaux de risque acceptables (voir 5.1f).
La méthodologie d'évaluation des risques choisie doit garantir que l'évaluation des risques produit des résultats comparables et reproductibles.
REMARQUE : Il existe différentes méthodologies d'évaluation des risques. Des exemples de méthodologies d'évaluation des risques sont présentés dans l'ISO/CEI TR 13335-3, Technologies de l'information - Recommandations à la directionCESécurité - Méthodes de gestionCESécurité.
d) Identifier les risques.
1) Définir les actifs dans le cadre des dispositions du SMSI et les propriétaires2 (2 Le terme « propriétaire » est identifié avec une personne ou une entité qui est approuvée pour être responsable du contrôle de la production, du développement, Maintenance, la sécurité des applications et des actifs. Le terme "propriétaire" ne signifie pas que la personne a réellement des droits de propriété sur l'actif) de ces actifs.
2) Identifier les dangers pour ces actifs.
3) Identifier les vulnérabilités du système de protection.
4) Identifier les impacts qui détruisent la confidentialité, l'intégrité et la disponibilité des actifs.
e) Analyser et évaluer les risques.
1) Évaluer les dommages aux activités de l'organisation pouvant être causés par la défaillance du système de protection, ainsi que la conséquence d'une violation de la confidentialité, de l'intégrité ou de la disponibilité des actifs.
2) Déterminer la probabilité d'une défaillance de la sécurité à la lumière des dangers et des vulnérabilités qui prévalent, des grèves liées aux actifs et des contrôles actuellement mis en œuvre.
3) Évaluer les niveaux de risque.
4) Déterminer l'acceptabilité des risques, ou exiger une réduction des risques, en utilisant les critères d'acceptabilité des risques définis en 4.2.1c-2).
f) Identifier et évaluer les outils de réduction des risques.
Les actions possibles incluent :
1) Application de contrôles appropriés ;
2) Acceptation consciente et objective des risques, en s'assurant qu'ils répondent inconditionnellement aux exigences de la politique de l'organisme et aux critères d'acceptabilité des risques (voir 4.2.1c-2)) ;
3) Évitement des risques ; et
4) Transfert des risques commerciaux pertinents à une autre partie, par exemple des compagnies d'assurance, des fournisseurs.
g) Sélectionner les tâches et les contrôles pour réduire les risques.
Les tâches et les contrôles doivent être sélectionnés et mis en œuvre conformément aux exigences établies par le processus d'évaluation et de réduction des risques. Ce choix doit tenir compte à la fois des critères de tolérance au risque (voir 4.2.1c-2)) et des exigences légales, réglementaires et contractuelles.
Les tâches et les contrôles de l'annexe A doivent être sélectionnés dans le cadre de ce processus et répondre aux exigences spécifiées.
Étant donné que toutes les tâches et tous les contrôles ne sont pas répertoriés à l'annexe A, des tâches supplémentaires peuvent être sélectionnées.
REMARQUE : L'annexe A contient une liste complète des objectifs de contrôle qui ont été identifiés comme étant les plus pertinents pour les organisations. Afin de ne manquer aucun point important des options de contrôle, il convient que les utilisateurs de la présente Norme internationale se réfèrent à l'Annexe A comme point de départ pour le contrôle de l'échantillonnage.
h) Obtenir l'approbation pour la gestion des risques résiduels perçus.
4) faciliter la détection des événements de sécurité et ainsi, grâce à certains indicateurs, prévenir les incidents de sécurité ; et
5) déterminer l'efficacité des mesures prises pour prévenir une atteinte à la sécurité.
b) Procéder à des examens réguliers de l'efficacité du SMSI (y compris discussion de la politique SMSI et de ses objectifs, examen des contrôles de sécurité), en tenant compte des résultats des audits, des incidents, des résultats des mesures de performance, des suggestions et des recommandations de toutes les parties intéressées .
c) Évaluer l'efficacité des contrôles pour déterminer si les exigences de sécurité sont respectées.
d) Vérifier l'évaluation des risques pour les périodes prévues et vérifier les risques résiduels et les niveaux de risque tolérables, en tenant compte de l'évolution :
1) organisations ;
2) technologie ;
3) objectifs et processus commerciaux ;
4) menaces identifiées ;
5) l'efficacité des contrôles mis en place ; et
6) des événements externes tels que des changements dans l'environnement juridique et de gestion, des obligations contractuelles modifiées, des changements dans le climat social.
e) Conduite audits internes SMSI pendant les périodes programmées (voir 6)
REMARQUE : Les audits internes, parfois appelés audits primaires, sont menés au nom de l'organisation elle-même à ses propres fins.
f) Examiner régulièrement la gestion du SMSI pour s'assurer que la situation reste correcte et que le SMSI est amélioré.
g) Mettre à jour les plans de sécurité en fonction des résultats de la surveillance et de l'examen.
h) Enregistrer les actions et les événements susceptibles d'affecter l'efficacité ou les performances du SMSI (voir 4.3.3).
4.2.4 Maintenance et amélioration du SMSI
L'organisation doit continuellement faire ce qui suit.
a) Mettre en œuvre des corrections spécifiques au SMSI.
b) Prendre les mesures correctives et préventives appropriées conformément aux points 8.2 et 8.3. Appliquer les connaissances accumulées par l'organisation elle-même et tirées de l'expérience d'autres organisations.
c) Communiquez vos actions et améliorations à tout le monde parties prenantes dans le degré de détail approprié à la situation; et, en conséquence, de coordonner leurs actions.
d) S'assurer que les améliorations atteignent l'objectif visé.
4.3 Exigences documentaires
4.3.1 Général
La documentation doit inclure les protocoles (enregistrements) décisions de gestion, pour convaincre que la nécessité d'agir est due aux décisions et aux politiques de gestion ; et assurer la reproductibilité des résultats enregistrés.
Il est important de pouvoir démontrer Rétroaction contrôles sélectionnés avec les résultats des processus d'évaluation et d'atténuation des risques, et plus loin avec la politique SMSI et ses objectifs.
La documentation du SMSI doit inclure :
a) déclarations documentées de la politique et des objectifs du SMSI (voir 4.2.1b) );
b) mise à disposition du SMSI (voir 4.2.1a)) ;
c) le concept et les contrôles à l'appui du SMSI ;
d) une description de la méthodologie d'évaluation des risques (voir 4.2.1c));
e) rapport d'évaluation des risques (voir 4.2.1c) à 4.2.1g));
f) plan de réduction des risques (voir 4.2.2b)) ;
g) un concept documenté, organisation nécessaire assurer l'efficacité de la planification, du fonctionnement et de la gestion de ses processus de sécurité de l'information et décrire comment mesurer l'efficacité des contrôles (voir 4.2.3c));
h) les documents requis par la présente Norme internationale (voir 4.3.3) ; et
i) Déclaration d'applicabilité.
NOTE 1 : Pour les besoins de la présente Norme internationale, le terme "concept documenté" signifie que le concept est mis en œuvre, documenté, exécuté et suivi.
REMARQUE 2 : La taille de la documentation ISMS dans différentes organisations peut varier en fonction de :
La taille de l'organisation et le type de ses actifs ; et
L'échelle et la complexité des exigences de sécurité et du système géré.
NOTE 3 : Les documents et rapports peuvent être fournis sous n'importe quelle forme.
4.3.2 Contrôle des documents
Les documents requis par le SMSI doivent être protégés et gérés. Il est nécessaire d'approuver la procédure de documentation nécessaire pour décrire les actions de gestion pour :
a) établir la conformité des documents à certaines normes avant leur publication ;
b) vérification et mise à jour des documents si nécessaire, nouvelle approbation des documents ;
c) s'assurer que les changements sont cohérents avec l'état actuel des documents révisés ;
d) rendre disponibles les versions importantes des documents actuels ;
e) s'assurer que les documents sont compréhensibles et lisibles ;
f) mettre les documents à la disposition de ceux qui en ont besoin ; ainsi que leur transfert, stockage et enfin destruction conformément aux procédures applicables en fonction de leur classement ;
g) authentifier les documents provenant de sources externes ;
h) contrôler la distribution des documents ;
i) empêcher l'utilisation involontaire de documents obsolètes ; et
j) leur appliquer une méthode d'identification appropriée s'ils sont conservés au cas où.
4.3.3 Contrôle des enregistrements
Des enregistrements doivent être créés et conservés pour garantir la conformité aux exigences et le fonctionnement efficace du SMSI. Les enregistrements doivent être protégés et vérifiés. Le SMSI doit tenir compte de toutes les exigences légales et réglementaires et des obligations contractuelles. Les enregistrements doivent être compréhensibles, facilement identifiables et récupérables. Les contrôles nécessaires pour identifier, stocker, protéger, récupérer, conserver et détruire les enregistrements doivent être documentés et mis en place.
Les enregistrements doivent inclure des informations sur la mise en œuvre des activités décrites en 4.2 et sur tous les incidents et incidents significatifs pour la sécurité liés au SMSI.
Des exemples d'entrées sont un livre d'or, des pistes d'audit et des formulaires d'autorisation d'accès remplis.
C'est vrai, c'est gênant. Nous avons signalé la sortie imminente de la norme ISO 45001, qui devrait remplacer la norme actuelle de gestion de la protection du travail OHSAS 18001, ils ont dit qu'il fallait l'attendre fin 2016 ... Minuit approche, mais Herman est toujours parti. Il est temps d'admettre - ISO 45001 est retardé. C'est vrai, pour de bonnes raisons. La communauté d'experts avait trop de questions pour lui. […]
Un double article est prévu. organisation internationale sur la normalisation a clairement exprimé sa position sur l'utilisation de l'étiquetage de ses normes sur les produits - l'ISO dit "non". Cependant, les entrepreneurs veulent toujours vouloir le faire. Comment peuvent-ils l'être ? Pourquoi pas, vraiment ? Le fond de la question est le suivant. Comme vous le comprenez, les normes ISO ne sont pas directement liées aux produits fabriqués par des entreprises certifiées selon elles. […]
Prenons le sujet. Dans le dernier article, nous avons commencé à parler des huit principes du SMQ. Les principes sur lesquels repose tout système de gestion de la qualité. Notre objectif est de traduire ces principes du langage des coachs d'affaires en langage humain. Pour que vous puissiez vraiment en profiter. Nous avons parlé de l'orientation client. Ils ont parlé de la façon de produire non pas "quelque chose [...]
Beaucoup de gens parlent de gestion de la qualité. Mais pour une raison quelconque, ils le disent de telle manière que rien n'est clair à la fin. Ainsi, la gestion de la qualité reste des mots. Mots trop intelligents. Traduisons-les en langage courant et comprenons comment les principes de gestion de la qualité contribuent réellement à améliorer les performances de l'entreprise. Faisons sans longs préludes. Au total, les systèmes de gestion de la qualité actuels, dont les plus populaires […]
Gestion de projet... Je suis sûr qu'il y a beaucoup de gens qui parlent depuis trop longtemps à toutes sortes de consultants en affaires - et maintenant ils commencent à ressentir un peu la nausée à cause d'une telle phrase. Que faire? Sortons simplement les consultants en affaires de nos têtes et posons les choses en termes simples. La gestion de projet n'est pas nécessairement une personne en chemise blanche qui dessine des diagrammes et des organigrammes complexes avec un […]
GOST R ISO / CEI 27001-2006 " Informatique. Méthodes et moyens d'assurer la sécurité. Systèmes de gestion de la sécurité de l'information. Conditions"
Les développeurs de la norme notent qu'elle a été préparée comme modèle pour le développement, la mise en œuvre, l'exploitation, la surveillance, l'analyse, la maintenance et l'amélioration d'un système de gestion de la sécurité de l'information (ISMS). ISMS (en anglais - système de gestion de la sécurité de l'information; ISMS) est défini comme faisant partie d'un système de gestion global basé sur l'utilisation de méthodes d'évaluation des risques de l'entreprise pour le développement, la mise en œuvre, l'exploitation, la surveillance, l'analyse, le support et l'amélioration de la sécurité de l'information. Le système de gestion comprend structure organisationnelle, politiques, activités de planification, répartition des responsabilités, activités pratiques, procédures, processus et ressources.
La norme suppose l'utilisation d'une approche processus pour développer, mettre en œuvre, maintenir, surveiller, analyser, maintenir et améliorer le SMSI d'une organisation. Il est basé sur le modèle Plan - Do - Check - Act (PDCA), qui peut être appliqué dans la structuration de tous les processus SMSI. Sur la fig. La figure 4.4 montre comment le SMSI, en utilisant les exigences de sécurité de l'information et les résultats attendus des parties prenantes comme données d'entrée, produit des sorties de sécurité de l'information qui répondent à ces exigences et résultats attendus grâce aux activités et processus nécessaires.
Riz. 4.4.
À l'étape "Développement d'un système de gestion de la sécurité de l'information" l'organisation doit faire ce qui suit :
- - déterminer le périmètre et les périmètres du SMSI ;
- — définir la politique SMSI en fonction des caractéristiques de l'activité, de l'organisation, de la localisation, des actifs et de la technologie ;
- — déterminer l'approche de l'évaluation des risques dans l'organisme ;
- - identifier les risques ;
- - analyser et évaluer les risques ;
- — identifier et évaluer diverses options de traitement des risques ;
- — sélectionner les objectifs et les contrôles pour le traitement des risques ;
- - Obtenir l'approbation de la direction des risques résiduels anticipés ;
- - obtenir l'autorisation de la direction pour mettre en œuvre et exploiter le SMSI ;
- - préparer le règlement d'applicabilité.
Organiser " Mise en place et fonctionnement du système de management de la sécurité de l'information » exige qu'une organisation :
- — élaborer un plan de traitement des risques qui définit les actions de gestion, les ressources, les responsabilités et les priorités appropriées pour la gestion des risques liés à la sécurité de l'information ;
- - mettre en œuvre un plan de traitement des risques pour atteindre les objectifs de gestion visés, y compris les questions de financement, ainsi que la répartition des fonctions et responsabilités ;
- - mettre en œuvre les mesures de gestion retenues ;
- — déterminer comment l'efficacité des mesures de contrôle sélectionnées sera mesurée;
- - mettre en œuvre des programmes de formation et de développement professionnel pour les employés ;
- - gérer les travaux du SMSI ;
- - gérer les ressources SMSI ;
- — mettre en œuvre des procédures et d'autres mesures de gestion pour assurer une détection rapide des événements SI et une réponse aux incidents SI.
La troisième étape Surveillance et analyse du système de gestion de la sécurité de l'information » a besoin:
- - effectuer des procédures de surveillance et d'analyse ;
- - procéder à une analyse régulière de l'efficacité du SMSI ;
- - mesurer l'efficacité des mesures de contrôle pour vérifier le respect des exigences de sécurité de l'information ;
- — revoir les évaluations des risques à des intervalles spécifiés, revoir les risques résiduels et les niveaux de risque acceptables établis, en tenant compte des changements;
- — effectuer des audits internes du SMSI à des intervalles spécifiés ;
- - procéder régulièrement à une analyse du SMSI par la direction de l'organisme afin de confirmer l'adéquation du fonctionnement du système et déterminer les axes d'amélioration ;
- - mettre à jour les plans de sécurité de l'information en tenant compte des résultats d'analyse et de surveillance ;
- - enregistrer les actions et les événements qui peuvent affecter l'efficacité ou le fonctionnement du SMSI.
Et enfin, la scène "Accompagnement et amélioration du système de management de la sécurité de l'information" suggère que l'organisation réalise régulièrement les activités suivantes :
- - identifier les opportunités d'amélioration du SMSI ;
- - prendre les actions correctives et préventives nécessaires, mettre en pratique l'expérience en matière de sécurité de l'information acquise tant dans leur propre organisation que dans d'autres organisations ;
- - communiquer des informations détaillées sur les actions visant à améliorer le SMSI à toutes les parties intéressées, le niveau de détail devant correspondre aux circonstances et, si nécessaire, convenir d'actions supplémentaires ;
- — s'assurer que les améliorations du SMSI sont mises en œuvre pour atteindre les objectifs planifiés.
En outre, la norme fournit des exigences en matière de documentation, qui doivent inclure les dispositions de la politique SMSI et une description de la portée des opérations, une description de la méthodologie et un rapport d'évaluation des risques, un plan de traitement des risques et une documentation des procédures connexes. Un processus de gestion des documents ISMS doit également être défini, y compris la mise à jour, l'utilisation, le stockage et la destruction.
Pour apporter la preuve du respect des exigences et de l'efficacité du fonctionnement du SMSI, il est nécessaire de maintenir et de maintenir Comptes et les enregistrements de l'exécution du processus. Les exemples sont les journaux des visiteurs, les rapports d'audit, etc.
La norme précise que la direction d'une organisation est responsable de fournir et de gérer les ressources nécessaires à l'établissement d'un SMSI, ainsi que d'organiser la formation du personnel.
Comme indiqué précédemment, l'organisation doit, conformément au calendrier approuvé, effectuer des audits internes du SMSI pour évaluer sa fonctionnalité et sa conformité à la norme. Et la direction devrait revoir le système de gestion de la sécurité de l'information.
En outre, des travaux doivent être menés pour améliorer le système de gestion de la sécurité de l'information : pour augmenter son efficacité et le niveau de conformité avec l'état actuel du système et ses exigences.
Comment faire un costume d'oiseau de vos propres mains Costume d'oiseau de carnaval
Scénario pour 25 ans fille cool maisons
Exemples de nominations sérieuses pour récompenser les employés
Le scénario de l'anniversaire de la fille (jeune femme) "Une star nommée ...
Nominations comiques pour une fête d'entreprise