PDCA complet ISO27001-FR-FORMITYS- 23072023-5

[Virtual Presenter] Bienvenue à ce module 4 consacré à la norme ISO 27001 et à sa phase de mise en place. Au cours de cette étape, les objectifs du Système de Management de la Sécurité de l'Information sont déterminés. Cette phase comprend quatre étapes. La première étape consiste à définir la politique et le périmètre du SMSI. Plus précisément, le périmètre désigne le domaine d'application du SMSI et ce qu'il inclut, tandis que la politique précise le niveau de sécurité à appliquer aux informations de l'entreprise. Ces deux éléments sont entièrement libres et constituent un outil essentiel de souveraineté pour la société..

[Audio] La seconde étape du Plan de Management de la Sécurité de l'Information (SMSI) consiste à identifier et à évaluer les risques liés à la sécurité et à élaborer la politique de sécurité correspondante. La norme ISO 27001 ne précise pas de méthode particulière à adopter pour estimer ces risques ; ainsi, les entreprises peuvent choisir de s'appuyer sur un modèle existant ou bien de créer le leur conformément aux exigences du SMSI. La méthode EBIOS développée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'une des méthodes les plus usitées. Elle prend en compte 7 facteurs à prendre en considération pour évaluer les risques : les actifs, les responsables, les vulnérabilités, les menaces, les impacts et le potentiel des risques, ainsi que les niveaux de risque..

ISO27001––FORMITYS – 28/07/2023 55. Module 4: ISO 27001 – to PLAN.

[Audio] Lors de la phase d'établissement du SMSI, on définit sa politique et son périmètre. Il convient ensuite de déterminer les menaces qui pouraient porter atteinte aux éléments essentiels du système d'information. Une fois ces menaces estimées, il est possible de définir les risques et d'appliquer des critères d'évaluation en vue de les hiérarchiser..

[Audio] "SMSI établissement phase comprend quatre étapes. Une des principales étapes est définir politique et périmètre SMSI. Cette étape est libre et est un "levier de souveraineté" très important pour entreprise. C'est pourquoi il est important de connaître différentes options de traitement risque. Il y a quatre options : refus ou évitement, transfert, réduction ou autoriser conservation risque. Ces options appliquent à l'impact et/ou à potentialité d'un risque pour le rendre acceptable..

[Audio] La phase d'établissement du SMSI comprend 4 étapes, dont la définition de la politique et du périmètre du SMSI. Cette définition peut être considérée comme un "levier de souveraineté" pour l'entreprise. Cela signifie que définir la politique et le périmètre du SMSI permet à l'entreprise d'adapter ses objectifs et plans de sécurité à ses besoins et critères stratégiques. Il est ensuite nécessaire d'effectuer une acceptation du risque et une communication du risque à toutes les parties prenantes concernées..

[Audio] La phase d'établissement du SMSI est cruciale pour assurer la sûreté des informations. Elle se décompose en 4 étapes distinctes, notamment la définition de la politique et du périmètre du SMSI. Il s'agit d'un outil de gouvernance pour l'entreprise, qui va déterminer le cadre d'intervention et de protection des informations. La première étape est le plan de gestion des risques. Il est nécessaire de mettre en place une matrice des responsabilités et des rôles pour chaque membre de l'équipe, ainsi qu'un budget pour couvrir les risques. La seconde étape est l'identification des risques par analyse par phase, analyse par check list, DELPHI, brainstorming et enfin le modèle de la méthode "7D". Une fois les menaces identifiées, il est important de les vérifier et de les enregistrer dans le Registre des risques..

[Audio] La quatrième étape de la phase d'établissement consiste à analyser qualitativement et quantitativement les risques qui peuvent affecter votre entreprise. Cette analyse va vous permettre de mieux comprendre l'impact des risques et de mettre en place des plans d'actions de prévention et de protection. La cinquième étape consiste à autoriser ces risques et définir les plans d'actions. Dans le module 4, vous trouverez les outils nécessaires pour vous aider à planifier et à mettre en œuvre ces stratégies..

[Audio] Pour la troisième étape du SMSI, il s'agit de traiter les risques identifiés et de calculer le risque résiduel. Il existe quatre méthodes de traitement possibles: l'évitement, la réduction, le transfert et l'assurance, présentées par ordre décroissant d'intérêt pour l'organisme. Ces options offrent plus de flexibilité et plus de souveraineté à l'organisation dans sa gestion des risques..

[Audio] Pour la phase de planification du SMSI, il est nécessaire de définir la politique et le périmètre de la sécurité. La politique doit être formulée et validée par le plus haut niveau de l'organisation et prendre en compte tous les processus, services et ressources. Le périmètre doit être clairement défini et identifier le système ou le domaine à couvrir par le SMSI. Ces étapes sont primordiales afin de définir le cadre à mettre en place et valider les référentiels à appliquer..

[Audio] L’établissement d'un système de management de la sécurité de l'information (SMSI) se compose de quatre étapes. Il est essentiel de bien comprendre ces étapes qui constituent un "levier de souveraineté" pour l'entreprise. La première étape consiste à définir la politique de sécurité et définir le périmètre du SMSI, qui sont libres. Les autres étapes sont : identifier les risques, planifier la gestion des risques, analyser quantitativement et qualitativement les risques, planifier la réponse aux risques et suivre et contrôler les risques. Ces étapes sont indispensables pour assurer la souveraineté et la sécurité de l'entreprise..

[Audio] Pour la phase d'établissement du SMSI, la définition de la politique et du périmètre est un "levier de souveraineté" pour l'entreprise. Pour la deuxième étape, il est nécessaire d'identifier les risques afin de pouvoir mettre en place un Système de Management de la Sécurité de l'Information (SMSI). Cela implique de prendre en compte des facteurs tels que réglementaires, informatiques, humains et organisationnels. Une fois ces facteurs identifiés et analysés, les équipes peuvent documenter la prise en charge et prendre des mesures pour équilibrer le coût et l'efficacité des contrôles de sécurité..

[Audio] Résumant, la phase d'établissement du Système de Management de la sécurité des informations (SMSI) comprend 4 étapes. La définition de la politique et du périmètre du SMSI sont des éléments libres, considérés comme un "levier de souveraineté" pour l'entreprise. Parmi ces étapes, il y a le choix des mesures de sécurité à mettre en place. La norme ISO 27001 offre une annexe A qui regroupe 114 mesures de sécurité, organisées en 14 catégories. Cette annexe n'est qu'une liste et ne fournit pas de conseils de mise en œuvre au sein de l’entreprise. Pour plus de détails, nous vous prions de consulter la norme ISO 27002..

[Audio] La mise en place du Système de Management de la Sécurité de l'Information (SMSI) comprend 4 étapes, dont la définition de la politique et du périmètre du SMSI, qui sont à la discrétion de l'entreprise et représentent un moyen de s'affirmer. La quatrième étape consiste à évaluer les risques. Dans cette étape, l'entreprise peut définir librement sa politique et ses limites de périmètre, ce qui constitue une force de souveraineté pour l'entreprise..

[Audio] L'établissement d'un SMSI se décompose en 4 étapes, dont la définition d'une politique et d'un périmètre. La quatrième étape de ce processus consiste à évaluer les risques afin de pouvoir identifier et résoudre les vulnérabilités susceptibles d'avoir une incidence négative sur le système. La matrice de criticité est un outil qui permet de pondérer les menaces et les vulnérabilités identifiées afin de déterminer leur probabilité et leur impact respectif. Cette étape offre un moyen pour l'entreprise de prendre le contrôle et ainsi protéger ses données et systèmes..

[Audio] À la septième étape, nous devons définir les plans d'actions de protection. Il s'agit ici d'atténuer les conséquences qu'un risque avéré pourrait avoir sur le projet. Pour ce faire, la façon la plus efficace est de réduire la gravité du risque. Ainsi, il sera nécessaire de définir des actions claires permettant cette réduction et de s'assurer qu'elles soient mises en place..

[Audio] Pour cette étape N°6, il est indispensable de définir des plans d’action (et/ou de prévention). Préparer et définir ces plans d’action est une étape cruciale pour mettre en œuvre des actions de prévention. Ces actions sont indispensables pour atteindre les objectifs de sécurité et de confidentialité des informations. Il est donc primordial d’être précis dans la définition de nos plans d’action, qui doivent satisfaire aux besoins et exigences de l’organisation..

[Audio] Atteindre l'étape 6 consiste à définir des plans d'action destinés à répondre aux différents besoins de sécurité des systèmes d'information établis au cours de l'étape 5. Ceux-ci se composent d'un ensemble de six mesures de protection qui, une fois appliquées, minimiseront les risques identifiés. Ces mesures doivent être adaptées à l'entreprise et à sa taille, ainsi qu'à sa nature..

[Audio] Concernant la phase d'établissement du SMSI, elle peut être partagée en quatre étapes. Premièrement, la définition des objectifs et des objectifs stratégiques. Deuxièmement, la définition de la politique de sécurité du système d'information. Troisièmement, la délimitation du périmètre du SMSI. Quatrièmement, la sélection et la mise en place des contrôles. Ces quatre étapes représentent un "levier de souveraineté" pour l'entreprise. Afin d'établir un système de management de la sécurité de l'information (SMSI), la deuxième étape consiste à définir la politique et le périmètre du SMSI. Cela implique de définir des objectifs et des règles afin d'assurer la sécurité et la protection des informations de l'entreprise. Pour ce faire, il est important de créer un document, appelé Politique de Sécurité du Système d'Information, qui définit les objectifs, les responsabilités des utilisateurs et des gestionnaires, ainsi que les règles et les procédures à appliquer pour assurer la confidentialité, l'intégrité et la disponibilité des données de l'entreprise. La politique et le périmètre du SMSI représentent un moyen de souveraineté pour l'entreprise..

[Audio] Comme professeur, je peux affirmer que la mise en place du SMI est essentielle pour chaque entreprise. Il se compose de quatre étapes, dont l'élaboration de la politique et du périmètre du SMI. On peut considérer ces définitions comme un moyen de prise de décision pour l'entreprise. La suite est consacrée à l'implémentation des mesures de sécurité, à la création des indicateurs de performance et de conformité. Finalement, il faut former et sensibiliser le personnel..

[Audio] Cette diapositive donne une brève description de la phase d'établissement des SMSI qui se compose de quatre étapes. La première étape est la définition de la politique et du périmètre du SMSI. Ces étapes sont libres et constituent un "levier de souveraineté" pour l'entreprise. ISO 27001 et ISO 20000 doivent être prises en compte lors de la création du système de gestion intégré. Les organisateurs doivent tenir compte de divers facteurs, tels que les autres systèmes de management existants, les processus et leurs interdépendances, ainsi que l'impact du SMSI sur l'entreprise et ses clients. L'éducation et la mise en place des principes du système de gestion sont une partie importante de la mise en œuvre réussie d'un système de gestion intégré..

ISO27001––FORMITYS – 28/07/2023 74. • Module 4: ISO 27001 et ISO 20000.

[Audio] Ainsi, la phase d'établissement du SMSI se compose de 4 étapes visant à définir sa politique et son périmètre. Ces étapes s'avèrent libres et offrent une "souplesse de souveraineté" à l'entreprise. Lors de chacune de ces étapes, nous devons satisfaire les exigences des services, établir des processus de résolution, de gestion des relations et de fourniture des services, ainsi qu'un mécanisme de contrôle. De cette manière, nous pouvons garantir l'efficacité et la qualité des services rendus par l'entreprise à ses clients et aux autres parties concernées..

[Audio] "L'établissement du SMSI comporte 4 étapes, dont la définition de la politique et du périmètre du SMSI, qui sont des éléments fondamentaux de la souveraineté de l'entreprise. Pour mettre en place le système de gestion de la sécurité de l'information (SMSI), l'organisation doit fournir des ressources, des compétences et une sensibilisation aux acteurs impliqués. Il est impératif que les personnes concernées connaissent la politique de sécurité, leur rôle dans l'amélioration de l'efficacité du SMSI et les conséquences d'un manquement à cette politique. Il est essentiel que des ressources et des connaissances appropriées soient mises en place pour s'assurer que le SMSI est opérationnel et conforme à la politique et au périmètre établis..

[Audio] Afin de réussir la mise en œuvre du SMSI, la définition de la politique et du périmètre constitue une étape fondamentale. Cela permet d'identifier les enjeux et les objectifs à atteindre, et offre à l'organisme une vision claire et complète pour exercer sa souveraineté. La communication et la documentation des informations sont également d'une importance capitale. Il convient donc de déterminer le besoin éventuel en communication et en documentation afin d'en assurer la bonne gestion et la réussite de ce processus..

[Audio] Lors de l'établissement d'un système de management de la sécurité de l'information (SMSI), il est essentiel de définir sa politique et son périmètre. Cette étape est un "levier de souveraineté" pour l'entreprise et doit inclure la définition et la documentation des processus et procédures pour la création et la mise à jour des documents, le contrôle des informations documentées et leur conservation et élimination si nécessaire. L'organisation doit vérifier que l'identification et la description des données documentées, les formats et le support sont adéquatement contrôlés, disponibles et protégés. De plus, les informations documentées d'origine externe doivent être correctement conservées. Les autres étapes pour l'établissement du SMSI sont l'établissement de contrôles de sécurité, la mise en œuvre des contrôles de sécurité et leur surveillance et amélioration..

[Audio] Les quatre étapes de l'établissement du SMSI consistent à établir la politique et le périmètre du SMSI ; à analyser le contexte interne et externe ; à déployer la politique et les lignes directrices ; et à élaborer les procédures et la documentation associée. La définition de la politique et du périmètre du SMSI est une étape fondamentale car elle est libre et constitue un "levier de souveraineté" pour l'entreprise. L'étape suivante implique l'analyse du contexte interne et externe pour déterminer les exigences du SMSI et les contraintes liées à son déploiement." Bonjour à tous. Dans ce module, nous allons examiner la phase d'établissement du SMSI. Cette phase est constituée de quatre étapes, dont la définition de la politique et du périmètre du SMSI, qui constitue une étape fondamentale car elle laisse une importante marge de manœuvre à l'entreprise. Ensuite, l'étape suivante vise à analyser le contexte interne et externe afin de déterminer les exigences et les contraintes liées à son déploiement. La troisième étape implique le déploiement de la politique et des lignes directrices et la quatrième, la mise en place des procédures documentées. Merci pour votre attention..

[Audio] À cette étape cruciale du Système de Management de la Sécurité de l’Information, l’organisme doit évaluer la performance en matière de sécurité de l’information et l’efficacité du système. Pour y parvenir, il est nécessaire de déterminer les processus et les contrôles de sécurité à surveiller et à mesurer, ainsi que les mécanismes pour s'assurer de la validité des résultats obtenus. Une fois les données collectées, il est à prévoir les procédures d'analyse et d'évaluation, et de conserver des preuves documentées. Une fois la politique et le périmètre du SMSI définis, l'entreprise pourra ainsi disposer d’un "levier de souveraineté.

[Audio] Dans la phase d'établissement du SMSI, l'organisme doit établir un ou plusieurs programmes d'audits internes pour garantir que le système de gestion de la sécurité de l’information est en adéquation avec les normes et les exigences définies par l'entreprise. Ces programmes doivent contenir des critères et une portée précis pour chaque audit, et doivent être mis à jour à intervalles réguliers. Les résultats des audits doivent ensuite être communiqués à la direction concernée..

[Audio] Dans le cadre de l'établissement d'un Système de Management de la Sécurité de l'Information (SMSI), quatre étapes sont à prendre en compte : définir la politique et le périmètre du SMSI, une mesure de souveraineté pour votre entreprise ; procéder à une étude de gestion pour s'assurer de la pertinence, de l'adéquation et de l'efficacité du SMSI ; mettre en place des retours d'informations sur les performances en matière de sécurité et rechercher des possibilités d'amélioration continue ; et enfin, prendre des décisions en fonction des résultats de cette étude afin d'améliorer le SMSI et de modifier les procédures et politiques existantes..

[Audio] Mesdames et Messieurs, la phase d'établissement du SMSI se décompose en 4 étapes, dont la définition de la politique et du périmètre du SMSI, qui sont d’une importance capitale. A la fin de cette phase, l’entreprise peut bénéficier d'un « levier de souveraineté » pour gérer ses performances. Passons maintenant à la phase d’amélioration (to Act) du SMSI. Les objectifs à atteindre sont l’analyse des non-conformités et la mise en place des actions correctives, préventives et d’amélioration nécessaires. Les actions correctives visent à agir sur les causes et les effets des incidents pour qu’ils ne se reproduisent pas ; les actions préventives consistent à agir avant que l’incident ne se produise, et les actions d’amélioration permettent d’améliorer la performance d’un processus du SMSI..

[Audio] La phase d'établissement du SMSI comprend 4 étapes essentielles : 1. Définir la politique et le périmètre du SMSI ; 2. Identifier les exigences légales et réglementaires ; 3. Évaluer les risques et les écarts ; 4. Élaborer un plan de mise en œuvre et de mise à jour de l’ISMS. La définition de la politique et du périmètre du SMSI est une étape clé et constitue un « levier de souveraineté » pour l’entreprise. Les étapes suivantes, à savoir l’identification des exigences légales et réglementaires, l’évaluation des risques et les écarts, et l’élaboration d’un plan de mise en œuvre et de mise à jour de l’ISMS, sont des étapes majeures de ce processus de sécurité des systèmes d’information. La phase d'établissement du SMSI est donc très importante pour l'entreprise car elle lui permet d'identifier les exigences légales et réglementaires, d'évaluer les risques et les écarts, et d'élaborer un plan de mise en œuvre et de mise à jour de l’ISMS..

[Audio] Pour comprendre le processus de certification ISO 27001, il convient de distinguer l'audit initial et les audits de surveillance de l'audit de renouvellement. L'audit initial, qui porte sur l'ensemble du Système de Management de la Sécurité de l'Information, a une durée déterminée selon l'annexe C de la norme. L'auditeur ne délivre pas de certification suite à l'audit, mais donne un avis qui est ensuite soumis à un comité de validation technique puis de certification. Une fois la certification initiale délivrée, ses effets sont durables sur une période de trois ans. Cependant, si des problèmes sont détectés durant l'audit initial, un audit complémentaire pourra être réalisé dans les trois mois qui suivent, afin de corriger ces problèmes et obtenir le certificat. Voilà pour cette présentation. Merci de votre attention..