2024.11.21 Iso 27003 - Chap4

ISO 27003 – chapitre 4
Résumé
21/11/2024 1
Introduction
• Le Chapitre 4 de la norme ISO/IEC 27003:2017, intitulé "Planification du système de gestion de la sécurité de
l'information (SGSI)", fournit des lignes directrices sur la manière de planifier et de mettre en place un Système de Gestion de
la Sécurité de l'Information (SGSI). Il s'agit de la phase où l'organisation détermine comment elle va aborder la sécurité de
l'information et définir un cadre pour la gestion et la protection des données sensibles tout au long du cycle de vie de l'entreprise.
• Le chapitre 4 de la norme ISO/IEC 27003 se concentre sur la phase de planification du SGSI. Cette phase est cruciale pour établir
les bases solides sur lesquelles reposera la sécurité de l'information dans l'organisation. La planification du SGSI doit tenir compte
des objectifs de sécurité, des ressources disponibles, des exigences légales et des risques auxquels l'organisation est confrontée.
21/11/2024 2
Résumé du Chapitre 4 : "Planification du
SGSI"
• 4.1. Compréhension des besoins et du contexte de l’organisation
• Avant de commencer la mise en place du SGSI, il est essentiel pour l'organisation de bien comprendre ses besoins en matière de
sécurité de l'information ainsi que le contexte dans lequel elle évolue. Ce processus comprend plusieurs étapes :
• Analyse du contexte organisationnel : L'organisation doit évaluer son environnement, ses objectifs, ses parties prenantes
(internes et externes), ainsi que les exigences légales, réglementaires et contractuelles qui influencent la gestion de la sécurité de
l'information. Cela implique d'identifier les besoins de sécurité des informations au sein de l'entreprise et les attentes des parties
prenantes.
• Définir les objectifs en matière de sécurité de l'information : L'organisation doit établir des objectifs clairs de sécurité
de l'information en fonction de ses activités, de ses ressources et de ses priorités. Ces objectifs doivent être alignés avec la
stratégie générale de l'entreprise.
• Analyse des risques : L'organisation doit procéder à une analyse des risques pour identifier et évaluer les menaces, les
vulnérabilités et les impacts potentiels sur ses informations et ses systèmes. Ce processus permet de définir les priorités pour les
mesures de sécurité à adopter.
• 4.2. Définition du périmètre du SGSI
• Le périmètre du SGSI doit être clairement défini pour déterminer quelles parties de l'organisation, quels systèmes d'information, et
quelles données seront couvertes par le SGSI. La définition du périmètre doit tenir compte de :
• L'étendue du SGSI : Il est nécessaire de décrire quelles fonctions, processus, sites et systèmes sont inclus dans le SGSI. Le
périmètre peut être ajusté au fur et à mesure que l'organisation progresse dans la mise en œuvre du SGSI.
• Les exclusions éventuelles : L'organisation doit préciser si certains aspects ou domaines sont exclus du SGSI, tout en expliquant
les raisons de ces exclusions et comment elles n'affectent pas globalement la gestion de la sécurité de l'information.
21/11/2024 3
SGSI"
• 4.3. Planification des ressources nécessaires
• La mise en œuvre d’un SGSI exige des ressources humaines, financières et technologiques. L’organisation doit planifier et
allouer ces ressources de manière à garantir l’efficacité du SGSI.
• Ressources humaines : Il est essentiel de désigner des responsables compétents pour la gestion de la sécurité de l'information,
ainsi que d'impliquer toutes les parties prenantes dans la gestion de la sécurité.
• Ressources financières : L'organisation doit allouer un budget pour le développement, la mise en œuvre et la maintenance du
SGSI. Cela peut inclure des coûts liés à la formation, à la technologie, à l’audit et à la gestion des risques.
• Ressources technologiques : L'organisation doit identifier et mettre en place les outils technologiques nécessaires pour le
SGSI (par exemple, des logiciels de gestion de la sécurité, des outils de chiffrement, etc.).
• 4.4. Évaluation des risques et traitement des risques
• La norme ISO/IEC 27003 insiste sur la nécessité de bien comprendre et d’évaluer les risques liés à la sécurité de l'information.
Cela implique :
• Identification des risques : L'organisation doit identifier les menaces et les vulnérabilités qui pourraient affecter la sécurité de
ses informations et de ses systèmes. Cela inclut des risques internes (ex : erreurs humaines, défaillance technique) et externes
(ex : cyberattaques, réglementations changeantes).
• Évaluation des risques : Après l'identification des risques, l'organisation doit les évaluer en termes de probabilité et d'impact
potentiel. Cela permet de prioriser les risques à traiter et de définir des stratégies de mitigation.
• Traitement des risques : Sur la base de l'évaluation, l'organisation doit élaborer des stratégies pour traiter les risques
identifiés. Les options incluent la réduction des risques (par exemple, en appliquant des contrôles de sécurité), l’acceptation
des risques, ou leur transfert (par exemple, via des assurances).
21/11/2024 4
SGSI"
• 4.5. Définition des contrôles et des mesures de sécurité
• Une fois les risques identifiés et évalués, l'organisation doit définir les contrôles nécessaires pour protéger les informations. Cela
implique :
• Sélection des contrôles appropriés : En fonction des risques identifiés, l'organisation doit choisir des contrôles adaptés pour
gérer les risques (ex : politiques de sécurité, contrôles d'accès, chiffrement des données, etc.).
• Références aux bonnes pratiques : L’organisation peut se baser sur des normes et des référentiels comme ISO/IEC 27002
pour choisir les contrôles de sécurité adaptés.
• 4.6. Développement du plan de mise en œuvre du SGSI
• Enfin, l’organisation doit élaborer un plan de mise en œuvre pour le SGSI. Ce plan doit inclure :
• Objectifs à court, moyen et long terme : L’organisation doit établir des objectifs de sécurité mesurables et déterminer
comment ils seront atteints.
• Calendrier de mise en œuvre : Un calendrier détaillé pour la mise en œuvre des contrôles et des mesures de sécurité doit être
défini.
• Responsabilités : Les rôles et responsabilités des parties prenantes doivent être clairs, afin de garantir que le SGSI est
correctement déployé.
21/11/2024 5
Conclusion
Le Chapitre 4 de la norme ISO/IEC 27003 fournit une feuille de route pour la planification du Système
de Gestion de la Sécurité de l'Information (SGSI). Ce processus de planification est essentiel pour
établir un cadre de sécurité solide et adapté aux besoins spécifiques de l'organisation. La norme insiste sur
l’importance de comprendre le contexte de l'organisation, d’identifier les risques, de définir les objectifs de
sécurité, d'allouer les ressources nécessaires et de sélectionner des contrôles appropriés pour traiter les
risques. Une planification efficace permet à l'organisation de créer un SGSI qui répond à ses besoins en
matière de sécurité de l'information et qui s'aligne avec ses objectifs stratégiques.
21/11/2024 6

2024.11.21 Iso 27003 - Chap4

Transféré par

Droits d'auteur :

Formats disponibles

2024.11.21 Iso 27003 - Chap4

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

2024.11.21 Iso 27003 - Chap4

Transféré par

Droits d'auteur :

Formats disponibles

ISO 27003 – chapitre 4

Vous aimerez peut-être aussi