Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Cyber-résilience en entreprise
  3. résilience en entreprise
Extrait - Cyber-résilience en entreprise Enjeux, référentiels et bonnes pratiques (2e édition)
Extraits du livre
Cyber-résilience en entreprise Enjeux, référentiels et bonnes pratiques (2e édition)
1 avis
Revenir à la page d'achat du livre

Les normes ISO résilience-compatibles

Introduction

Dans le chapitre précédent, les principaux référentiels et guides de cyber-sécurité utiles pour appréhender et mettre en œuvre la cyber-sécurité/cyber-résilience en entreprise ont été présentés. Ce chapitre s’attache désormais au passage en revue d’un certain nombre (non exhaustif) de normes ISO/CEI indispensables dans une démarche de mise en place d’une politique de cyber-résilience : 27001, 27002, 27005, 27017, 27018, 22301, 20000 et 27701.

Les documents normatifs de la famille ISO/CEI

1. Normes relatives au management de la sécurité de l’information

a. ISO/CEI 27001 - Système de management de la sécurité de l’information

Cette norme certifiante est sans aucun doute le pilier de la conformité en matière de gestion de sécurité informatique au sein d’une organisation.

Initialement publiée en 2005 et révisée en 2013 (ISO/CEI 27001:2013), cette norme porte sur la mise en œuvre d’un système de management de la sécurité de l’information (SMSI). Elle est disponible (en version payante) sur le site de l’AFNOR.

Domaine d’application

"La présente Norme internationale spécifie les exigences relatives à l’établissement, à la mise en œuvre, à la mise à jour et à l’amélioration continue d’un système de management de la sécurité de l’information dans le contexte d’une organisation. La présente Norme internationale comporte également des exigences sur l’appréciation et le traitement des risques de sécurité de l’information, adaptées aux besoins de l’organisation. Les exigences fixées dans la présente Norme internationale sont génériques et prévues pour s’appliquer à toute organisation, quels que soient son type, sa taille et sa nature. Il n’est pas admis qu’une organisation s’affranchisse de l’une des exigences spécifiées aux Articles 4 à 10 lorsqu’elle revendique la conformité à la présente Norme internationale."

Contenu de la norme

Le corpus documentaire est constitué de deux parties :

Articles de 4 à 10

Il s’agit d’exigences relatives aux domaines suivants :

  • Contexte de l’organisation

  • Leadership

  • Planification

  • Support

  • Fonctionnement

  • Évaluation des performances

  • Amélioration

Dans ces articles, lorsqu’une information précise le terme "documenté", cela signifie qu’il...

Schéma d’une cyber-résilience normée

En guise de conclusion, il apparaît utile à ce stade de proposer une représentation synthétique des différentes normes vues dans ce chapitre :

images/03RI03.png

Les normes ISO dites cyber-résilientes