Réseaux-Télécom.net

Sylvain Laborde

Le système de gestion de la sécurité, le SMSI, constitue l'essentiel de l'ISO 27001

Sylvain Laborde - Responsable de l'offre ISO 27001 de Sogeti


(01/06/2008)

La certification ISO 27001 manifeste la volonté de la direction générale en matière de sécurité, ce qui mobilisera tous les utilisateurs dans l'entreprise. Elle passe par la mise en oeuvre d'un système de gestion de la sécurité, le SMSI.

... le Management de la Sécurité de l'Information. Quelles sont entreprises aptes à démontrer que leur politique de sécurité et les mesures associées sont issues d'une analyse des risques, prenant en compte leur contexte et basées sur leurs métiers et leurs processus critiques ?

La certification montre l'engagement de la direction générale
Gérer son SMSI s'affiche comme l'assurance de maîtriser ses coûts et ses priorités en matière d'investissements budgétaires au regard des enjeux business et des risques. La gestion d'un SMSI garantit la justesse des investissements de sécurité. Le SMSI permet de mobiliser l'ensemble des acteurs de l'entreprise autour d'un projet commun. Chaque acteur, depuis l'utilisateur final, jusqu'à la direction générale, en passant par l'administrateur système, prend sa part de responsabilité dans la sécurité. Leur implication ne s'obtiendra que par l'engagement de la direction générale de l'entreprise qui s'affirmera de manière claire et visible par la démarche de certification. Le SMSI permet au RSSI passer du mode réactif à celui de gestionnaire de la sécurité et des risques.

Des flux d'un niveau de sécurité adapté
La certification validera la mise en oeuvre des exigences générales de la norme ISO 27001 et son amélioration continue selon le modèle PDCA de la roue de Deming. Elle assure une gestion efficace et efficiente du Système de Management de la Sécurité de l'Information. Sans garantir la couverture des risques à 100%, elle atteste de la capacité à les gérer. La certification ISO 27001 offre aux clients, aux partenaires et aux fournisseurs, l'avantage de disposer de services et de flux informatiques d'un niveau de sécurité adapté. En se préparant à cette perspective, les entreprises anticiperont les exigences de leurs clients et pourront ainsi imposer un même niveau de sécurité à leurs fournisseurs.

< Page précédente (1/2)