Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Management de la sécurité de l'information et ISO 27001 - Principes et mise en oeuvre de la gouvernance

Management de la sécurité de l'information et ISO 27001 Principes et mise en oeuvre de la gouvernance

3 avis

Informations

Livraison possible dès le 26 novembre 2024
  • Livraison à partir de 0,01 €
  • Version en ligne offerte pendant 1 an
Livres rédigés par des auteurs francophones et imprimés à Nantes

Caractéristiques

  • Livre (broché) - 17 x 21 cm
  • ISBN : 978-2-409-02953-0
  • EAN : 9782409029530
  • Ref. ENI : DPSECISO

Informations

  • Consultable en ligne immédiatement après validation du paiement et pour une durée de 10 ans.
  • Version HTML
Livres rédigés par des auteurs francophones et imprimés à Nantes

Caractéristiques

  • HTML
  • ISBN : 978-2-409-02954-7
  • EAN : 9782409029547
  • Ref. ENI : LNDPSECISO
Cet ouvrage traite de la gouvernance de la sécurité de l’information tant dans ses principes fondamentaux que dans sa mise en œuvre au quotidien selon la norme ISO 27001. Il s’adresse à tous les publics, néophytes, confirmés ou experts, qu’ils soient désireux d’appréhender le sujet à travers ses composantes stratégique, tactique et opérationnelle ou de bénéficier de retours d’expérience. Rédigé par des formateurs experts du domaine, impliqués au quotidien dans la mise en œuvre et l’audit des...
Consulter des extraits du livre en ligne Aperçu du livre papier
  • Niveau Initié à Confirmé
  • Nombre de pages 294 pages
  • Parution mars 2021
  • Niveau Initié à Confirmé
  • Parution mars 2021
Cet ouvrage traite de la gouvernance de la sécurité de l’information tant dans ses principes fondamentaux que dans sa mise en œuvre au quotidien selon la norme ISO 27001. Il s’adresse à tous les publics, néophytes, confirmés ou experts, qu’ils soient désireux d’appréhender le sujet à travers ses composantes stratégique, tactique et opérationnelle ou de bénéficier de retours d’expérience.

Rédigé par des formateurs experts du domaine, impliqués au quotidien dans la mise en œuvre et l’audit des systèmes de gouvernance, cet ouvrage, structuré selon une logique très progressive, conjugue à la fois une approche théorique et pragmatique indispensable à tout acteur de la gouvernance et de la sécurité de l’information.

Ainsi, depuis la présentation des concepts jusqu’aux conseils de mise en œuvre, le lecteur découvre les différents éléments d’un système de gouvernance de la sécurité au travers d’études approfondies de chaque étape. La norme de gouvernance, les politiques de sécurité, l’analyse et la gestion des risques, la planification ou encore la surveillance et l’évaluation sont ainsi détaillées et enrichies de conseils et d’études de cas.
Prérequis
  1. 1. Introduction
  2. 2. Que suppose une bonne gouvernance ?
    1. 2.1 La prise de décision
    2. 2.2 La définition de la structure organisationnelle
    3. 2.3 La mise en avant des avantages
    4. 2.4 L'intérêt commun
  3. 3. Quels rôles pour quelles responsabilités ?
    1. 3.1 L'identification des rôles
    2. 3.2 La cohérence entre l'identification et l'attribution
    3. 3.3 Le cadrage juridique
  4. 4. Que prévoir en termes de ressources ?
    1. 4.1 La variété des ressources
    2. 4.2 L'estimation des ressources nécessaires
  5. 5. Quel serait un contexte favorable ?
Finalités de la norme
  1. 1. Les principes constitutifs de la norme
    1. 1.1 Les enjeux de la norme
    2. 1.2 Les finalités de la norme
    3. 1.3 La cible de la norme
      1. 1.3.1 La cible : tout ou partie d'une personne morale
      2. 1.3.2 La cible : une personne physique
    4. 1.4 L'investissement induit
  2. 2. L'obtention d'une certification ISO 27001
    1. 2.1 La synthèse du processus de certification d'une entité
    2. 2.2 Les motivations pour une certification
    3. 2.3 Les limites d'une certification
  3. 3. Le recueil de bonnes pratiques
    1. 3.1 Le concept d'état de l'art
    2. 3.2 Le traitement d'un thème précis
    3. 3.3 Évaluation de la maturité sécurité
    4. 3.4 Préparation à la certification
  4. 4. La formation de personnes
    1. 4.1 Une bonne approche de la norme
  5. 5. Rappel des points clés
  6. 6. Cas pratiques
    1. 6.1 Cas pratique 1
    2. 6.2 Cas pratique 2
      1. 6.2.1 Exercice 1 : certification d'une société
      2. 6.2.2 Exercice 2 : certification d'un directeur financier
La norme ISO
  1. 1. Contextualisation de la norme
  2. 2. Rappel historique sur sa construction
  3. 3. Domaine adressé
  4. 4. Usage actuel de la norme
    1. 4.1 Obtenir la certification ISO 27001
    2. 4.2 Un point de passage vers d’autres certifications
    3. 4.3 Répondre aux exigences des donneurs d’ordre
    4. 4.4 Obtenir un avantage concurrentiel
    5. 4.5 Une reconnaissance internationale
  5. 5. Philosophie de la norme
  6. 6. Contenu de la norme
    1. 6.1 Clause 4 : contexte de l’organisation
      1. 6.1.1 Compréhension de l’organisation et de son contexte
      2. 6.1.2 Compréhension des besoins et des attentes des parties intéressées
      3. 6.1.3 Détermination du domaine d’application du système de management de la sécurité de l’information
      4. 6.1.4 Système de management de la sécurité de l’information
    2. 6.2 Clause 5 : leadership
      1. 6.2.1 Leadership et engagement de la direction
      2. 6.2.2 Politique
      3. 6.2.3 Rôles, responsabilités et autorités au sein de l’organisation
    3. 6.3 Clause 6 : planification
      1. 6.3.1 Généralités
      2. 6.3.2 Appréciation des risques
      3. 6.3.3 Traitement des risques
    4. 6.4 Clause 7 : support
      1. 6.4.1 Gestion des ressources
      2. 6.4.2 Gestion des compétences
      3. 6.4.3 Sensibilisation
      4. 6.4.4 Communication
      5. 6.4.5 Gestion documentaire
    5. 6.5 Clause 8 : fonctionnement
      1. 6.5.1 Planification et contrôle opérationnel
      2. 6.5.2 Appréciation des risques
    6. 6.6 Clause 9 : évaluation des performances
      1. 6.6.1 Surveillance, mesures, analyse et évaluation
      2. 6.6.2 Audit interne
      3. 6.6.3 Revue de direction
    7. 6.7 Clause 10 : amélioration
      1. 6.7.1 Gestion des non-conformités
      2. 6.7.2 Amélioration continue
    8. 6.8 Annexe A
  7. 7. Rappel des points clés
Les politiques et mesures de sécurité
  1. 1. Introduction
  2. 2. Politique de gouvernance et politique de sécurité
  3. 3. Bonnes pratiques de définition d’une politique de gouvernance
    1. 3.1 Préciser les objectifs
    2. 3.2 État des lieux et plan projet
    3. 3.3 Négocier les objectifs, les moyens et le calendrier
    4. 3.4 Points clés de la gouvernance
    5. 3.5 Organisation de la gouvernance : comitologie
      1. 3.5.1 Comité stratégique
      2. 3.5.2 Comité opérationnel
    6. 3.6 Sensibilisation et formation
    7. 3.7 Audit interne
    8. 3.8 Fonctionnement et évaluation des performances
    9. 3.9 Communication
    10. 3.10 Amélioration continue
  4. 4. Bonnes pratiques de rédaction d’une politique de sécurité
    1. 4.1 De la bonne définition des règles (mesures)
    2. 4.2 De la bonne formulation des règles (mesures)
  5. 5. Points clés d’une politique de sécurité : les pratiques ISO 27002
    1. 5.1 Chapitre 5 : politiques de sécurité de l’information
    2. 5.2 Chapitre 6 : organisation de la sécurité de l’information
    3. 5.3 Chapitre 7 : sécurité des ressources humaines
    4. 5.4 Chapitre 8 : gestion des actifs
    5. 5.5 Chapitre 9 : contrôle d’accès
    6. 5.6 Chapitre 10 : cryptographie
    7. 5.7 Chapitre 11 : sécurité physique et environnementale
    8. 5.8 Chapitre 12 : sécurité liée à l’exploitation
    9. 5.9 Chapitre 13 : sécurité des communications
    10. 5.10 Chapitre 14 : acquisition, développement, maintenance
    11. 5.11 Chapitre 15 : relation avec les fournisseurs
    12. 5.12 Chapitre 16 : gestion des incidents
    13. 5.13 Chapitre 17 : aspects de la sécurité dans la gestion de la continuité de l’activité
    14. 5.14 Chapitre 18 : conformité
  6. 6. Du caractère virtuel d’une politique de sécurité
  7. 7. Rappel des points clés
  8. 8. Cas pratique : quelques conseils en matière de politique
La démarche d'analyse des risques
  1. 1. Rappels des principaux concepts de sécurité
    1. 1.1 Sécurité de l'information
    2. 1.2 Besoins de sécurité
      1. 1.2.1 Sources du besoin de sécurité
      2. 1.2.2 Critères de sécurité
      3. 1.2.3 Échelle de criticité
    3. 1.3 Protection des éléments sensibles
      1. 1.3.1 Enjeux de sécurité
      2. 1.3.2 Objectifs de sécurité
    4. 1.4 Risques de sécurité
      1. 1.4.1 Évaluation de l'imprévu
      2. 1.4.2 Définition
      3. 1.4.3 Approche pour la valorisation du risque
      4. 1.4.4 Finalité du risque
  2. 2. Vers une identification des risques
    1. 2.1 Notions sous-jacentes aux risques
      1. 2.1.1 Vulnérabilité
      2. 2.1.2 Source de menace
      3. 2.1.3 Menace
      4. 2.1.4 Objet
      5. 2.1.5 Scénario de menace
    2. 2.2 Des scénarios aux risques
      1. 2.2.1 Regroupement des scénarios de menace
      2. 2.2.2 Évaluation de la menace pesant sur les besoins de sécurité
      3. 2.2.3 Identification des risques stratégiques
      4. 2.2.4 Préparation à l'identification des risques opérationnels
  3. 3. Poursuite du travail d'analyse sur les risques
    1. 3.1 Du général au particulier
      1. 3.1.1 Description du contexte
      2. 3.1.2 Recueil de l'information stratégique
      3. 3.1.3 Prise en compte de la menace
      4. 3.1.4 Prise en compte des risques stratégiques
      5. 3.1.5 Prise en compte des risques opérationnels
    2. 3.2 Confrontation à l'existant
      1. 3.2.1 Validation des scénarios de menace
      2. 3.2.2 Validation des risques
    3. 3.3 Synthèse
  4. 4. Cas pratique
    1. 4.1 Énoncé du cas
    2. 4.2 Réponse possible
La gestion des risques
  1. 1. Introduction
  2. 2. Gouvernance du risque
    1. 2.1 Identification des risques à traiter
    2. 2.2 Organisation pour la prise de décisions
    3. 2.3 Gérer les évolutions
    4. 2.4 Niveau de risque exprimé
  3. 3. Traitement des risques
    1. 3.1 Interprétation des éléments de l'analyse
      1. 3.1.1 Couverture des risques
      2. 3.1.2 Seuil et critères d'acceptation du risque
    2. 3.2 L'organisation du traitement
    3. 3.3 Options de traitement
    4. 3.4 Mesures de sécurité
    5. 3.5 Risques résiduels
  4. 4. Amélioration de la gestion des risques
    1. 4.1 Appréciation du niveau courant de risques
    2. 4.2 Appréciation du niveau courant de sécurité
    3. 4.3 Amélioration du niveau de sécurité
  5. 5. Rappel des points clés
  6. 6. Cas pratique
    1. 6.1 Énoncé du cas
    2. 6.2 Pistes de réponse possible
      1. 6.2.1 RISQUE 1
      2. 6.2.2 RISQUE 2
      3. 6.2.3 RISQUE 3
La planification et le run
  1. 1. Introduction
  2. 2. Objectifs et causalités des actions
    1. 2.1 Actions de gouvernance
    2. 2.2 Actions de mise en conformité réglementaire et contractuelle
    3. 2.3 Action de réduction des risques
    4. 2.4 Actions d’amélioration continue
  3. 3. Formalisation des actions
  4. 4. Un énoncé clair et précis de l’action attendue
  5. 5. Structuration du plan d’action
  6. 6. Pilotage du plan d’action
  7. 7. Mise en œuvre, exploitation et amélioration du système de gouvernance
  8. 8. Rappel des points clés
  9. 9. Cas pratique
Les modalités de surveillance et de suivi
  1. 1. Introduction
  2. 2. La surveillance : un élément essentiel de l’amélioration
  3. 3. Contrôle et suivi : que surveiller ?
    1. 3.1 Définir des indicateurs à bon escient
    2. 3.2 En faire assez
    3. 3.3 Ne pas en faire trop
  4. 4. De manière progressive et adaptée
  5. 5. Définition des éléments de contrôle et de suivi : les indicateurs
    1. 5.1 Élaboration d’un indicateur
  6. 6. Quelques indicateurs de gouvernance
  7. 7. Quelques indicateurs d’efficacité des mesures de sécurité
  8. 8. Exploitation des indicateurs
  9. 9. Communication, acceptation par les équipes
  10. 10. Définition des éléments de contrôle et de suivi : les tableaux de bord
  11. 11. Rappel des points clés
  12. 12. Cas pratique
L'évaluation
  1. 1. Introduction
  2. 2. Pourquoi faire des audits ?
    1. 2.1 Audit de conformité réglementaire
    2. 2.2 Audit de contrôle d’un sous-traitant
  3. 3. Référentiels d’audit
  4. 4. Audit de certification
    1. 4.1 Référentiels d’audit
    2. 4.2 Choix d’un organisme auditeur/organisme de certification
      1. 4.2.1 La relation donneur d’ordre/organisme de certification
      2. 4.2.2 La relation auditeur/audité
  5. 5. Profil type d’un auditeur
    1. 5.1 De la certification de personnes
    2. 5.2 Des compétences requises de l’équipe d’audit
      1. 5.2.1 Expérience
      2. 5.2.2 Bagage technique et mise à jour des connaissances
      3. 5.2.3 Communication écrite et orale
  6. 6. Modalités d’audit
    1. 6.1 Réunion de lancement
    2. 6.2 Revue documentaire
    3. 6.3 Audit sur site
    4. 6.4 Réunion de clôture, constats, négociation
  7. 7. Plan de remédiation et mise à jour du plan d’action
  8. 8. L’audit, une étape indispensable à l’amélioration
  9. 9. Rappel des points clés
  10. 10. Cas pratique
    1. 10.1 Les non-conformités inadmissibles
    2. 10.2 Les marronniers des auditeurs
    3. 10.3 Quelques exemples de non-conformités discutables
    4. Index
4,7/5 3 avis
Version papier

CONFORME

GILLES L
Version papier

Livre très utile

Anonyme
Version papier

Très bien

Anonyme
Auteur : Jean-Pierre LACOMBE

Jean-Pierre LACOMBE

Docteur en mathématiques appliquées, directeur général de Fidens, Jean-Pierre LACOMBE a été pendant de nombreuses années représentant français à l’ISO et a ainsi participé à l’adoption des standards ISO 2700X dès les années 2000. Il a participé depuis à une centaine de missions de mise en œuvre et d’audit de SMSI, pour des grands comptes comme des PME.
En savoir plus
Auteur : Nadège LESAGE

Nadège LESAGE

Certifiée ISO 27001 Lead Auditor/Lead Implementer et ISO 27005 Risk Manager, Nadège LESAGE est consultante expérimentée en sécurité de l’information. Depuis plus de 15 ans, elle réalise pour ses clients différentes missions de conseils, d’audit et de formation en lien avec la norme ISO 27001.
En savoir plus

Nos nouveautés

voir plus