Étude de Schéma

• Le schéma synthétise une durée allant de 6 mois à 1 an.

• Le schéma ci-dessus présente une vue globale du processus d’implémentation du SMSI allant de la définition du périmètre du SMSI jusqu’à la certification ISO27001.

• Les étapes de l’implémentation :

1. Start

2. Avoir l’appui de la direction :

- S’engager et mettre en place les ressources nécessaires.

- Cette étape est une exigence de la norme ISO/EC 27002.

- Document de sortie : Note de cadrage; Décision de la direction ; Procédure de validation des documents.

- Cette étape est la première étape de la phase « Plan» du cycle PDCA.

3. Définir le périmètre du SMSI :

- Cette étape est une exigence de la norme ISO/EC 27002.

- Documents de sortie : Périmètre du SI ; Politique SMSI.

- Cette étape est la deuxième étape de la phase « Plan» du cycle PDCA.

4. Inventaire des actifs :

- Cette étape est la troisième étape de la phase « Plan» du cycle PDCA.

- Inventaires des actifs informationnels (base d’audit) :

+ La norme exige que les actifs informationnels soient enregistrés sur un support ou une solution numérique.

+ On utilise dans cet inventaire les éléments de la boite à outils ISO27000.

- Au moment de l’inventaire : Faire une analyse de risques préliminaires.

5.

a. Définir la méthode d’analyse de risques :

-Méthode d’analyse de risques (27005, Méhari,...)

b. Réaliser l’analyse de risques :

- Documents de sortie : Rapport d’analyse de risques.

6. -Au moment de l’inventaire : poser des questions sur les mesures de sécurité.

-Faire l’inventaire en terme de sécurité des actifs

- L’auditeur ne rentre pas dans l’aspect technique, il se limite à voir si on respecte les exigences.

a. Préparer la déclaration d’applicabilité

b. Prépare le plan de traitement de risque

Les étapes 1/2/3/4/5/6/ →sont enregistrées sur une application (inventaire) des actifs informationnels.

▲ La mission d’audit externe peut s’arrêter à ce point si l’inventaire est insuffisant et n’est pas conforme.

...