SNV

Lignes directrices ISO/CEI pour renforcer la confiance dans les contrôles de sécurité de l'information

Un rapport technique ISOISO
International Organization for Standardization
/CEI (TRTR
Technical Report
) établissant des lignes directrices relatives aux contrôles techniques et à la conformité à l'intention des auditeurs se propose d'améliorer l'efficacité des systèmes de sécurité de l'information au sein des organismes.


ISOISO
International Organization for Standardization
/CEI TRTR
Technical Report
27008:2011 «Technologies de l'information – Techniques de sécurité – Lignes directrices pour les auditeurs des contrôles de sécurité de l'information» vise à renforcer la confiance dans les contrôles qui soutiennent les systèmes de management de la sécurité de l'information des organismes. Il propose un processus d'examen applicable à tous les rouages des organismes, notamment les processus opérationnels et l'environnement des systèmes d'information.

Pour Edward Humphreys, responsable du groupe de travail qui a élaboré ce nouveau document, «le contexte commercial des entreprises évolue en permanence – et s'accompagne de menaces pour leur survie. Les organismes doivent donc avoir une longueur d'avance et une excellente parade peut être trouvée en mettant en place un audit des contrôles opérés pour soutenir la sécurité de l'information.

ISOISO
International Organization for Standardization
/CEI TRTR
Technical Report
27008:2011 vient à l'appui d'un audit rigoureux de la sécurité organisationnelle et d'un programme d'examen des contrôles de sécurité de l'information, à même de rassurer les organismes quant à la mise en œuvre et à l'exécution correctes de leurs contrôles et à l'adéquation de leur sécurité de l'information.»

ISOISO
International Organization for Standardization
/CEI 27008 donne des lignes directrices relatives à l'examen de la mise en œuvre et de l'exécution des contrôles, y compris la vérification de la conformité technique. Ce document est principalement destiné aux auditeurs de la sécurité de l'information qui sont chargés de vérifier la conformité technique des contrôles des organismes par rapport aux exigences d'ISOISO
International Organization for Standardization
/CEI 27002 et de toutes autres normes de contrôle utilisées par les organismes. ISOISO
International Organization for Standardization
/CEI TRTR
Technical Report
27008 les aidera à:

  • Identifier et cerner l'étendue des lacunes et problèmes éventuels des contrôles de sécurité de l'information
  • Identifier et cerner les effets négatifs potentiels au niveau organisationnel d'une mauvaise maîtrise des menaces et vulnérabilités grevant la sécurité de l'information
  • Identifier les priorités dans la mise en place d'activités de réduction des risques affectant la sécurité de l'information
  • Confirmer que les faiblesses ou défaillances déjà décelées ou naissantes ont été correctement traitées
  • Appuyer les décisions budgétaires associées au processus d'investissement et les autres décisions de gestion visant à améliorer le management de la sécurité de l'information de l'organisme.


ISOISO
International Organization for Standardization
/CEI 27008 sera ainsi utile aux organismes de tous types, entreprises privées ou publiques, entités du secteur public, et organismes sans but lucratif. Il s'agit du huitième document de la série ISOISO
International Organization for Standardization
/CEI 27000 sur les systèmes de management de la sécurité de l'information.

Pour Edward Humphreys, «dans chaque modèle d'entreprise et structure organisationnelle, chaque secteur d'activité et relation commerciale, l'information est une matière première essentielle qui peut être protégée grâce à la série de normes ISOISO
International Organization for Standardization
/CEI 27000.»

Source: ISOISO
International Organization for Standardization
News and Media, 8.11.2011

Le comité compétent suisse est l’INBINB
Secteur interdisciplinaire de normalisation
/CNCN
Comité de Normalisation
149 «Technologies de l'information».


Votre interlocutrice pour de plus amples informations:
Schneider Ruth, e-mail: ruth.schneidersnv.ch, téléphone.: +41 (0)52 224 54 28

Normes déjà publiées sur ce thème:
ISO/IEC TR 27008:2011 (anglais)
Toutes les publications INB/CN 149 (français et anglais)

Téléchargement de fichiers PDF après inscription gratuite sur www.mysnv.ch