Quelques mots sur la Sécurité des Systèmes d'Informations

ISO 27002 Archive

Bientôt la norme ISO 27002:2013

0
Publié dans Sécurité

Pour mémoire, la norme ISO/IEC 27002 (Information technology — Security techniques — Code of practice for information security controls) est un guide aidant à la définition/sélection de mesures de sécurité n’est pas un référentiel de certification (contrairement à ISO 27001 qui est un recueil d’exigences, à l’instar de l’ISO 9001 dans le domaine de la qualité) La première version date de 2005 et devrait être remplacée, d’ici la fin de cette année, par une nouvelle version ISO/IEC 27002:2013. Le brouillon de cette version est en appel à commentaires jusqu’à Mars 2013. Je vous propose de découvrir l’état actuel et la nouvelle structuration de ce document normatif (j’aborderai le fond, certaines nouvelles thématiques, dans de prochains articles). NB : La version française – « NF », n’étant évidemment pas encore

Lire l'article

Trouver n’est rien, c’est le plan qui est difficile Dostoïevski Comme je l’ai écrit dans le précédent billet, la norme 27799 comporte à mon sens une redite de la norme 27001 (même si les auteurs s’en défendent dès l’introduction du document). Ainsi, en ce qui concerne le “plan d’actions pratique pour la mise en œuvre de la 27002″, on y lit que la conformité à l’ISO 27002 peut être garantie par la mise en place d’un SMSI (Système de Management de la Sécurité des Informations) et que “si possible” ce SMSI respectera les recommandations des points 6.2 à 6.7 de la 27799 et que vous seriez aussi inspirés de lire les exemples de son annexe B. Autrement, cela revient à dire: “mettez en place un

Lire l'article

Contexte normatif et sectoriel Depuis plusieurs années, la continuité et la qualité des soins reposent de plus en plus sur les systèmes d’informations. La sécurité de ces systèmes, et souvent des informations de santé personnelles, est devenue un enjeu crucial notamment en raison de l’augmentation de leur traitement informatique et du nombre d’échanges entre professionnels. La norme internationale ISO 27799:2008 (“Gestion de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002″) parue en juin dernier, propose des recommandations pour la mise en oeuvre de mesures de sécurité adaptées aux organisations de soins et autres dépositaires de données personnelles de santé. Elle peut donc intéresser des établissements de soins, des réseaux de santé ou des hébergeurs. C’est pendant l’année 2002 qu’un groupe de

Lire l'article