---
title: NMSSI
tags: NMSSI
authors: moemoea.fierin
---
# Objectif de la norme ISO 27002
```
But ? En réponse à quels besoins ?
```
La norme 27002 a pour objectif:
- d’aider à l’évaluation et au traitement des risques de sécurité des informations liés au DIC.
- de présenter une série de contrôles (35 objectifs de contrôle) qui suggèrent de tenir compte des risques de sécurité des informations relatives à la confidentialité, l'intégrité et les aspects de disponibilité.
La Norme internationale établit des lignes directrices et des principes généraux pour préparer, mettre en œuvre, entretenir et améliorer la gestion de la sécurité de l’information au sein d’un organisme.
Les objectifs esquissés dans la Norme fournissent une orientation générale sur les buts acceptés communément dans la gestion de la sécurité de l’information.
Les objectifs et mesures décrits dans la Norme internationale sont destinés à être mis en œuvre
pour répondre aux exigences identifiées par une évaluation du risque. La Norme internationale est
prévue comme base commune et ligne directrice pratique pour élaborer les référentiels de sécurité de
l’organisation, mettre en œuvre les pratiques efficaces de la gestion de la sécurité, et participer au
développement de la confiance dans les activités entre organismes.
# Structure :
```
Comment s’y prend-t-on pour atteindre ce but ?
Caractère obligatoire ou recommandations, suggestions ?
Sur quels principes se base cette approche (Analyse de risques, Processus...)?
```
La Norme 27002 est structuré en 11 articles relatifs aux mesures de sécurité, qui comprennent un total de 39 catégories de sécurité (et un article d’introduction sur l’appréciation et le traitement du risque.)
a) Politique de sécurité
b) Organisation de la sécurité de l’information
c) Gestion des biens
d) Sécurité liée aux ressources humaines
e) Sécurité physique et environnementale
f) Gestion opérationnelle et gestion de la communication
g) Contrôle d’accès
h) Acquisition, développement et maintenance des systèmes d’information
i) Gestion des incidents liés à la sécurité de l’information
j) Gestion de la continuité de l’activité
k) Conformité
## Obligatoire
## Recommandation
## Suggestion
# Acteurs :
```
Quels sont les acteurs participants à sa prise en compte, à sa mise en oeuvre `
```
Les acteurs principaux pour la mise en place de l'ISO 27002 est notamment la direction avec les différentes personnes nommée comme le responsable de la politique de sécurité.
# Pré-requis
```
Pré-requis : Quelles actions, quels documents doivent être éventuellement menées ou suivis préalablement ?
```
1) identifier les exigences en matiere de sécurité. elle peuvent etre originaire de 3 sources:
- exigences légales reglementaire/contractuelle
- suite a une appreciation du risque propre a l'organisme
- provenant de principes/objectif et exigences generales de l'entreprise
2) Appréciation du risque lié a la sécurité
Avant de définir les mesures a mettre en place il est important d'analyser les risques encourue par l'organisme en prenant en compte les dépenses et les dommages susceptible de subvenir.
# Facilité de mise en oeuvre :
```
Mise en place, maintenance,
moyens, compétences requises `
```
# Périmètre, limites :
```
Degré de couverture des domaines abordésselon vous ? Niveau d’abstraction, applicabilité PME,
transversalité/SI, souplesse, adaptabilité ... `
```
# Maturité:
```
Votre appréciation: Diffusé,standardisé,récent, stabilisé?
```
# Auditabilité :
```
Quels moyens sont prévus (indicateurs, audits,
évaluations ...) ou peuvent être mis en oeuvre pour mesurer le
niveau de prise en compte dans l’entreprise, l’efficience ?
```
# Suite logique de la mise en oeuvre :
```
Articulation avec d’autres
documents du même type traitant de SSI, actions qui doivent/
peuvent suivre
```
# Votre analyse :
## • Avantages, bénéfices, intérêts : Par exemples :
```
- Niveau de maîtrise des risques pour l’entreprise ?
- Apport de confiance pour les clients ?
- Avantage concurrentiel ? ..`
```
## •Inconvénients, contraintes, freins : Par exemples
```
- Difficultés de mises en oeuvre ?
- Complexité, niveau d’expertise nécessaire ?
- Mesure de l’efficacité difficile ? ..`
```
Sign in with Wallet
Connect another wallet