Les référentiels usuels dans les systèmes d`information
Transcription
Les référentiels usuels dans les systèmes d`information
Les référentiels usuels dans les systèmes d’information - Yves LE ROUX CISM, CISSP, ITIL - Technology Strategist - [email protected] - Membre du SMC de l’ISACA Les Standards/Normes COSO ISO 9000 Métiers Six Sigma ScoreCard ValIT DSI COBIT CMM ITIL Gestion des Services Gestion des Applications SNIA TCO ISO 27000 Infrastructure Benchmark © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Positionnement des Referentiels © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Positionnement des Référentiels © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. COSO COmmittee of Sponsoring Organizations of the Treadway Commission © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Cadre du COSO http://www.coso.org/Publications/ERM/COSO_ERM_Execu tiveSummary_french.pdf Cadre de référence pour la gestion des risques de l’entreprise (Enterprise Risk Management Framework) -Identifier les événements potentiels pouvant affecter l’organisation, -Maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite (appétence au risque)» de l’organisation, -Fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation. © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Objectifs du COSO 4 catégories d’objectifs: -Stratégique: objectifs stratégiques servant la mission de l’organisation -Opérationnel: objectifs visant l’utilisation efficace et efficiente des ressources -Reporting: objectifs liés à la fiabilité du reporting -Conformité: objectifs de conformité aux lois et aux réglementations en vigueur © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Eléments du COSO - 8 éléments: -Environnement interne -Fixation des objectifs -Identification des événements -Evaluation des risques -Traitement des risques -Activités de contrôle -Information et communication -Pilotage © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Le cube COSO - Les quatre grandes catégories d’ objectifs: stratégiques, opérationnels, reporting et conformité sont représentées par les colonnes, - les huit éléments du management des risques par les lignes - et les unités de l’organisation par la troisième dimension. © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. COBIT Control Objectives for Information and related Technology © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Cobit et la Gouvernance des SI - La première version de COBIT a été publiée par l’ISACA en 1994, - Definit 5 domaines de la gouvernance a de l ure e Mes rmanc o perf - La version V4 est sortie en 2006 t n e e m e iqu n ig tég l A ra st Va ajo leu uté r e Gouvernance des TI Gestion des ressources http://www.isaca.org/ © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Maît rise risqu des es - COBIT est devenu un standard de fait de la gouvernance des TI Les Composants de Cobit © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Relations entre composants Cobit © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Les 34 Processus et les domaines P=Primary enabler S=Secondary enabler © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Mesurer l’atteinte des objectifs - Une fois les objectifs métiers, informatiques, processus et activités définis, il faut s’assurer qu’ils seront atteints - COBIT propose à cet effet deux catégories d’indicateurs -Les indicateurs clés d’objectifs (ICO) mesurent à chaque niveau (métier, informatique, processus, activité) ce qui doit être réalisé -Les indicateurs clés de performance (ICP) mesurent le niveau de performance atteint -A un niveau donné, il y a un lien important de cause à effet entre ICP et ICO © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Les niveaux de maturité - Initial : Les facteurs de réussite des projets ne sont pas identifiés, la réussite ne peut donc être répétée (par dérision, ce niveau est aussi nommé héroïque ou chaotique). - Piloté : Les projets sont pilotés individuellement et leurs succès sont répétables. - Standardisé : Les processus de pilotage des projets sont mis en place au niveau de l'organisation par l'intermédiaire de normes, procédures, outils et méthodes. - Quantifié : La réussite des projets est quantifiée. Les causes d'écart peuvent être analysées. - Optimisé : La démarche d'optimisation est continue. © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. ITIL /ISO 20000 © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. ITIL Vue d’ensemble Planifier la mise en place de la Gestion des Services L a Gestion des Services L e M é t i e r Soutien des Services Perspective Métier Gestion des Infrastructures TIC Fourniture des Services Gestion de la Sécurité Gestion des Applications © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. T e c h n o l o g i e © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. ISO/CEI 21827 Modèle de maturité de capacité (SSE-CMM®) © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Le modèle Deux dimensions : « domaine » et « adaptabilité ». - La dimension « domaine » représente les « pratiques de base » (BP). - La dimension « adaptabilité » représente des « pratiques génériques » (GP) liées à la gestion et à la mise en place des processus de la dimension « domaine » dans l’entité étudiée. - La méthode répertorie 129 BP réparties en 22 catégories de processus. - Les GP s’appliquent à chacun des 22 processus. - Elles permettent d’identifier des pratiques courantes et de définir 6 niveaux de maturité. © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. « Votre organisation peut-elle allouer des ressources pour identifier les vulnérabilités ? » © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. 6 niveaux de maturité - 0. Non mis en œuvre - 1. Mis en œuvre informellement - Pratiques de base mises en œuvre, « artisanat », « pansement » - 2. Planifié et suivi - Processus comparables menés de manière similaire, planification, vérification et suivi de la performance disciplinée - 3. Standardisé - Processus définis, mis en œuvre et coordonné - 4. Contrôlé qualitativement - Mise en place de métriques, établissement de buts mesurables, gestion objective de la performance - 5. En amélioration constante - Optimisation des métriques et capacité à redéfinir le processus, amélioration continue, amélioration de la capacité organisationnelle, amélioration de l’efficacité du processus © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. ISO 27000 © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Les différentes normes de la série - ISO 27000 : Vocabulaire - ISO 27001 : Système de management de la sécurité de l'information (SMSI) - ISO 27002 : Renumérotation de l’ISO 17799 - ISO 27003 : Implémentation (en développement-Octobre 2008) - ISO 27004 : Métriques et mesures (en développement) - ISO 27005 : Management du risque (ISO 13335, BS 77993:2006 ) - ISO 27006 : Conditions d'accréditation pour les organismes certificateurs de SMSI - ISO 2700? : Plan de continuité et de reprise (ISO/CEI 24762) - ISO 27031 : Lignes directrices pour les télécommunications - ISO 27799 : ISO 17799 pour la santé (en développement) © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. ISO 27001 © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Système de Management de la Sécurité de l’Information (SMSI) - Planification : définir le champ du SMSI, identifier et évaluer les risques, produire le document (Statement of applicability, SOA) qui énumère les mesures de sécurité à appliquer ; - Action : affecter les ressources nécessaires, rédiger la documentation, former le personnel, appliquer les mesures décidées, identifier les risques résiduels ; - Contrôle : audit et revue périodiques du SMSI, qui produisent des constats et permettent d’imaginer des corrections et des améliorations ; - Correction : prendre les mesures qui permettent de réaliser les corrections et les améliorations dont l’opportunité a été mise en lumière par la phase Contrôle, préparer une nouvelle itération de la phase Planification. © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. CONTROLES ISO 27001 Correspondent aux 11 chapitres (5 à 15), 39 objectifs et 133 mesures de sécurité de l'ISO 17799:2005 - 5 Politique de sécurité formation - 6 Organisation de la sécurité de l’information - 7 Gestion des biens (actifs) - 8 Sécurité liée aux ressources - 9 Sécurité physique et environnementale - 10 Gestion de l’exploitation et des télécommunications - 11 Contrôle d’accès - 12 Acquisition, développement et maintenance des systèmes d’information - 13 Gestion des incidents liés à la sécurité de l’information - 14 Gestion du plan de continuité de l’activité - 15 Conformité © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. CONTROLES ISO 27001 - Le chapitre 4 mentionne les étapes (établir le SMSI, le mettre en oeuvre et l’exploiter, le contrôler et le réviser, le maintenir et l’améliorer). Il décrit aussi les exigences en matière de documents. - Le respect des clauses des chapitres 4 à 8 est indispensable dans le cadre d’une certification. - Annexe B: tableau de correspondance entre cette norme et les principes de l’OCDE - Annexe C: tableau de correspondance entre cette norme et les normes IS 9001:2000 (qualité) et IS 14000:2005 (environnement) © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Comment utiliser conjointement ces différents referentiels? © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. CobiT, ITIL et ISO 27001 - CobiT aide à définir ce qui doit être fait au niveau de la gouvernance de l’IT. - ISO 27001 aide à définir ce qui doit être fait au niveau de la sécurité des informations - ITIL explique comment le faire dans le domaines de la gestion des services - Exemple: -CobiT va définir les objectifs de l’IT -ITIL va définir les SLAs correspondants -ISO 27001 va définir les mesures nécessaires pour satisfaire la partie relative à la sécurité de ces SLAs et définir les métriques et mesures © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Les tableaux de correspondance - Afin de comprendre l’interaction entre CobiT et les autre référentiels, l’ISACA/ITGI a lancé des études conjointes avec un certain nombre d’autres organisations responsables des referentiels. - Le résultat est contenu dans des documents de « mappings ». © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Les documents de mapping de l’ISACA existants http://www.isaca.org/ Section=Downloads - COBIT Mapping: Overview of International IT Guidance, 2nd Edition - Aligning COBIT, ITIL and ISO 17799 for Business Benefit (CobiT 3, ITIL V.2, ISO 1799:2000) - COBIT Mapping: Mapping SEI's CMM for Software to COBIT 4.0 - COBIT® Mapping: Mapping of ITIL with COBIT® 4.0 - COBIT® Mapping: Mapping of ISO/IEC 17799:2005 with COBIT® 4.0 - COBIT® Mapping: Mapping of PRINCE2 with COBIT® 4.0 © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Autres Mappings en cours - COBIT® Mapping: Mapping of CMMI® for Development v1.2 With COBIT® 4.0 - COBIT® Mapping: Mapping of TOGAF With COBIT® 4.0 - COBIT® Mapping: Mapping of COSO ERM With COBIT® 4.1 - COBIT® Mapping: Mapping of IT Baseline Protection Manual With COBIT® 4.1 - COBIT® Mapping: Mapping of NIST FISMA With COBIT® 4.1 © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Unified Compliance Framework - Développé par IT Compliance Institute - Création d’un corpus de normes, standards, de lois et de règlements - Standardisation de la terminologie des contrôle des systèmes d’information - Détection des points communs entre les documents - Réalisation d’une matrice ayant 1400 points de contrôle et pour chaque élément du corpus l’existence ou non de ce point de contrôle - http://www.itcinstitute.com/ucp/index.aspx © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Conflits de lois - SWIFT: -US Patriot Act contre Directive Européenne 95/46 - Lignes éthiques -Sarbanes-Oxley contre Directive Européenne 95/46 © 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies. Les référentiels usuels dans les systèmes d’information - Yves LE ROUX CISM, CISSP, ITIL - Technology Strategist - [email protected] - Membre du SMC de l’ISACA