Les référentiels usuels dans les systèmes d`information

Transcription

Les référentiels usuels dans les
systèmes d’information
- Yves LE ROUX CISM, CISSP, ITIL
- Technology Strategist
- [email protected]
- Membre du SMC de l’ISACA
Les Standards/Normes
COSO
ISO 9000
Métiers
Six Sigma
ScoreCard
ValIT
DSI
COBIT
CMM
ITIL
Gestion des Services
Gestion des Applications
SNIA
TCO
ISO 27000
Infrastructure
Benchmark
© 2005 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective companies.
Positionnement des Referentiels
Positionnement des Référentiels
COSO
COmmittee of Sponsoring Organizations
of the Treadway Commission
Cadre du COSO
http://www.coso.org/Publications/ERM/COSO_ERM_Execu
tiveSummary_french.pdf
Cadre de référence pour la gestion des risques de
l’entreprise (Enterprise Risk Management Framework)
-Identifier les événements potentiels pouvant affecter
l’organisation,
-Maîtriser les risques afin qu’ils soient dans les limites
du « Risk Appetite (appétence au risque)» de
l’organisation,
-Fournir une assurance raisonnable quant à la
réalisation des objectifs de l’organisation.
Objectifs du COSO
4 catégories d’objectifs:
-Stratégique: objectifs stratégiques servant la
mission de l’organisation
-Opérationnel: objectifs visant l’utilisation efficace
et efficiente des ressources
-Reporting: objectifs liés à la fiabilité du reporting
-Conformité: objectifs de conformité aux lois et
aux réglementations en vigueur
Eléments du COSO
- 8 éléments:
-Environnement interne
-Fixation des objectifs
-Identification des événements
-Evaluation des risques
-Traitement des risques
-Activités de contrôle
-Information et communication
-Pilotage
Le cube COSO
- Les quatre grandes catégories d’
objectifs: stratégiques,
opérationnels, reporting et
conformité sont représentées par
les colonnes,
- les huit éléments du management
des risques par les lignes
- et les unités de l’organisation par
la troisième dimension.
COBIT
Control Objectives for
Information and related Technology
Cobit et la Gouvernance des SI
- La première version de
COBIT a été publiée par
l’ISACA en 1994,
- Definit 5 domaines de la
gouvernance
a
de l
ure
e
Mes rmanc
o
perf
- La version V4 est sortie en
2006
t
n
e e
m
e iqu
n
ig tég
l
A ra
st
Va
ajo leu
uté r
e
Gouvernance
des TI
Gestion des
ressources
http://www.isaca.org/
Maît
rise
risqu des
es
- COBIT est devenu un
standard de fait de la
gouvernance des TI
Les Composants de Cobit
Relations entre composants Cobit
Les 34 Processus et les domaines
P=Primary enabler S=Secondary enabler
Mesurer l’atteinte des objectifs
- Une fois les objectifs métiers, informatiques,
processus et activités définis, il faut s’assurer
qu’ils seront atteints
- COBIT propose à cet effet deux catégories
d’indicateurs
-Les indicateurs clés d’objectifs (ICO) mesurent à
chaque niveau (métier, informatique, processus,
activité) ce qui doit être réalisé
-Les indicateurs clés de performance (ICP)
mesurent le niveau de performance atteint
-A un niveau donné, il y a un lien important de
cause à effet entre ICP et ICO
Les niveaux de maturité
- Initial : Les facteurs de réussite des projets ne sont pas
identifiés, la réussite ne peut donc être répétée (par dérision,
ce niveau est aussi nommé héroïque ou chaotique).
- Piloté : Les projets sont pilotés individuellement et leurs
succès sont répétables.
- Standardisé : Les processus de pilotage des projets sont mis
en place au niveau de l'organisation par l'intermédiaire de
normes, procédures, outils et méthodes.
- Quantifié : La réussite des projets est quantifiée. Les causes
d'écart peuvent être analysées.
- Optimisé : La démarche d'optimisation est continue.
ITIL /ISO 20000
ITIL Vue d’ensemble
Planifier la mise en place de la Gestion des Services
L
a
Gestion des Services
L
e
M
é
t
i
e
r
Soutien des
Services
Perspective
Métier
Gestion des
Infrastructures
TIC
Fourniture
des Services
Gestion de
la Sécurité
Gestion des Applications
T
e
c
h
n
o
l
o
g
i
e
ISO/CEI 21827
Modèle de maturité de capacité
(SSE-CMM®)
Le modèle
Deux dimensions : « domaine » et « adaptabilité ».
- La dimension « domaine » représente les «
pratiques de base » (BP).
- La dimension « adaptabilité » représente des «
pratiques génériques » (GP) liées à la gestion et à
la mise en place des processus de la dimension «
domaine » dans l’entité étudiée.
- La méthode répertorie 129 BP réparties en 22
catégories de processus.
- Les GP s’appliquent à chacun des 22 processus.
- Elles permettent d’identifier des pratiques
courantes et de définir 6 niveaux de maturité.
« Votre organisation peut-elle
allouer des ressources pour identifier
les vulnérabilités ? »
6 niveaux de maturité
- 0. Non mis en œuvre
- 1. Mis en œuvre informellement
- Pratiques de base mises en œuvre, « artisanat », « pansement »
- 2. Planifié et suivi
- Processus comparables menés de manière similaire, planification,
vérification et suivi de la performance disciplinée
- 3. Standardisé
- Processus définis, mis en œuvre et coordonné
- 4. Contrôlé qualitativement
- Mise en place de métriques, établissement de buts mesurables,
gestion objective de la performance
- 5. En amélioration constante
- Optimisation des métriques et capacité à redéfinir le processus,
amélioration continue, amélioration de la capacité
organisationnelle, amélioration de l’efficacité du processus
ISO 27000
Les différentes normes de la série
- ISO 27000 : Vocabulaire
- ISO 27001 : Système de management de la sécurité de
l'information (SMSI)
- ISO 27002 : Renumérotation de l’ISO 17799
- ISO 27003 : Implémentation (en développement-Octobre 2008)
- ISO 27004 : Métriques et mesures (en développement)
- ISO 27005 : Management du risque (ISO 13335, BS 77993:2006 )
- ISO 27006 : Conditions d'accréditation pour les organismes
certificateurs de SMSI
- ISO 2700? : Plan de continuité et de reprise (ISO/CEI 24762)
- ISO 27031 : Lignes directrices pour les télécommunications
- ISO 27799 : ISO 17799 pour la santé (en développement)
ISO 27001
Système de Management de la
Sécurité de l’Information (SMSI)
- Planification : définir le champ du SMSI, identifier et évaluer les
risques, produire le document (Statement of applicability, SOA) qui
énumère les mesures de sécurité à appliquer ;
- Action : affecter les ressources nécessaires, rédiger la
documentation, former le personnel, appliquer les mesures
décidées, identifier les risques résiduels ;
- Contrôle : audit et revue périodiques du SMSI, qui produisent des
constats et permettent d’imaginer des corrections et des
améliorations ;
- Correction : prendre les mesures qui permettent de réaliser les
corrections et les améliorations dont l’opportunité a été mise en
lumière par la phase Contrôle, préparer une nouvelle itération de la
phase Planification.
CONTROLES ISO 27001
Correspondent aux 11 chapitres (5 à 15), 39 objectifs et 133
mesures de sécurité de l'ISO 17799:2005
- 5 Politique de sécurité formation
- 6 Organisation de la sécurité de l’information
- 7 Gestion des biens (actifs)
- 8 Sécurité liée aux ressources
- 9 Sécurité physique et environnementale
- 10 Gestion de l’exploitation et des télécommunications
- 11 Contrôle d’accès
- 12 Acquisition, développement et maintenance des systèmes
d’information
- 13 Gestion des incidents liés à la sécurité de l’information
- 14 Gestion du plan de continuité de l’activité
- 15 Conformité
CONTROLES ISO 27001
- Le chapitre 4 mentionne les étapes (établir le
SMSI, le mettre en oeuvre et l’exploiter, le
contrôler et le réviser, le maintenir et l’améliorer).
Il décrit aussi les exigences en matière de
documents.
- Le respect des clauses des chapitres 4 à 8 est
indispensable dans le cadre d’une
certification.
- Annexe B: tableau de correspondance entre cette
norme et les principes de l’OCDE
- Annexe C: tableau de correspondance entre cette
norme et les normes IS 9001:2000 (qualité) et IS
14000:2005 (environnement)
Comment utiliser conjointement
ces différents referentiels?
CobiT, ITIL et ISO 27001
- CobiT aide à définir ce qui doit être fait au niveau
de la gouvernance de l’IT.
- ISO 27001 aide à définir ce qui doit être fait au
niveau de la sécurité des informations
- ITIL explique comment le faire dans le domaines
de la gestion des services
- Exemple:
-CobiT va définir les objectifs de l’IT
-ITIL va définir les SLAs correspondants
-ISO 27001 va définir les mesures nécessaires
pour satisfaire la partie relative à la sécurité de
ces SLAs et définir les métriques et mesures
Les tableaux de correspondance
- Afin de comprendre l’interaction entre CobiT et les
autre référentiels, l’ISACA/ITGI a lancé des études
conjointes avec un certain nombre d’autres
organisations responsables des referentiels.
- Le résultat est contenu dans des documents de
« mappings ».
Les documents de mapping de
l’ISACA existants
http://www.isaca.org/ Section=Downloads
- COBIT Mapping: Overview of International IT
Guidance, 2nd Edition
- Aligning COBIT, ITIL and ISO 17799 for Business
Benefit (CobiT 3, ITIL V.2, ISO 1799:2000)
- COBIT Mapping: Mapping SEI's CMM for Software to
COBIT 4.0
- COBIT® Mapping: Mapping of ITIL with COBIT® 4.0
- COBIT® Mapping: Mapping of ISO/IEC 17799:2005
with COBIT® 4.0
- COBIT® Mapping: Mapping of PRINCE2 with COBIT®
4.0
Autres Mappings en cours
- COBIT® Mapping: Mapping of CMMI® for
Development v1.2 With COBIT® 4.0
- COBIT® Mapping: Mapping of TOGAF With
COBIT® 4.0
- COBIT® Mapping: Mapping of COSO ERM With
COBIT® 4.1
- COBIT® Mapping: Mapping of IT Baseline
Protection Manual With COBIT® 4.1
- COBIT® Mapping: Mapping of NIST FISMA With
COBIT® 4.1
Unified Compliance Framework
- Développé par IT Compliance Institute
- Création d’un corpus de normes, standards, de lois
et de règlements
- Standardisation de la terminologie des contrôle des
- Détection des points communs entre les documents
- Réalisation d’une matrice ayant 1400 points de
contrôle et pour chaque élément du corpus
l’existence ou non de ce point de contrôle
- http://www.itcinstitute.com/ucp/index.aspx
Conflits de lois
- SWIFT:
-US Patriot Act contre Directive Européenne 95/46
- Lignes éthiques
-Sarbanes-Oxley contre Directive Européenne 95/46
Les référentiels usuels dans les
- Yves LE ROUX CISM, CISSP, ITIL
- Technology Strategist
- [email protected]
- Membre du SMC de l’ISACA

Les référentiels usuels dans les systèmes d`information

Transcription

Documents pareils

Monnaie Olympique en Allemagne.

SONDAGE – utilisation du site anglais On Your Markswww

Wireless Charging Base

THE COLLEGES OF OXFORD UNIVERSITY FRENCH

A venir récupérer dans votre magasin Marks and Spencer de

dp n°16 Du vent et des voiles, Musée Olympique, Lausanne

CV - julie herion

Marks And Spencer France Limited

solutions - Web Companies