--- title: NMSSI norme 27002 authors: jeremy.delbarre tags: NMSSI --- # Norme 27002 objectif la norme 27002 définit les principes généraux pour définir la gestion de la sécurité de l'information. # Etude du risque il est important d'analyser les risques du au systemes d'information pour établir les actions a mettre en place pour les limiter et ainsi les comparer avec les risques acceptables. De plus, cette anaylse doit être réeffectué a chaqyue modification du systèmes pour potentiellement trouver de nouveau risque lié a ces modifications ## traiter les risques - mettre en place des mesures pour les réduire - acceptation des risques acceptable - annuler les actions engeandrant ces risques - tranférer les risques a des tiers :::warning Il est important de prendre en compte les problèmes de sécurité dès la conception dyu système d'information pour eviter des surcout ou l'impossibilité d'obtenir un niveau de sécurité suffisant. ::: # Politique de sécurité Objectif: Apporter à la sécurité de l’information une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur. le document doit être rédiger par la direction puis diffuser a l'ensembles des membres de l'entreprise. ## contenu du document - définition de la sécurité de l'information, ses objectifs et son domaine d'applications - les principes de sécurité - politique, norme et exigence - exigence légale, réglementaire et contractuelles - exigence en termes de formation et de sensibilisation - plan de continuité de l'activité - conséquences des violations des règles de sécurité de l'information ## mise a jour du document Ce document doit etre mis a jour a des intervalles régulier. Pour cela la direction doit désigner une personne comme étant responsable de la politiqque de sécurité pour développer, réexaminer et évaluer. ce réexamen doit contenir des revue de gestion. c'est revue doivent contenir: - un retour des parties intéressée - le résultats des revues précédentes - l'état des action préventives et correctives - la conformité de la politique - les incidents de sécurité - les recommendation des autorités la politique doit être validé par la direction a chaque modifications # Organisation de la sécurité de l'information Objectif: gérer la sécurité au sein de l'organisme la direction doit valider la politique de sécurité et potentiellement créer un conseil en charge de la sécurité ## Engagement de la direction - garantir que les objectifs concerne la sécurité de l'information sont identifié et intégrée - formule, revoie et approuve la politique de sécurité de l'information - formule des directive claire et soutiens les initiatives prises pour renforcer la sécurité - fournisse les resources nécessaires a la sécurité de l'information ## Coordination de la sécurité de l'information repose sur la collaboration des directeurs, utilisateurs, administrateurs etc - orgnise la mise en place des mesures de la politique de sécurité