# ISO 27001-2022 LI / Compléments de notes *dernière mise à jour, 3 mai 2024* ### Section 2 - Normes / Cadres réglementaires (p. 21 à 35) - ISO est un créateur de normes, **pas d'obligation légale** - Cofrac est un organisme français d'accréditation et accrédite PECB ici comme organisme de certification pour la 27001 - l'ISO 27001 appartient à la famille des normes 27000 comprenant **les normes de sécurité de l'information** et doit se conformer aux exigences énoncées dans les articles 4 à 10 (30 au total) - ISO 27002 et 27003 sont des lignes directrices / bonnes pratiques dans la mise en oeuvre respectivement des mesures de sécurité de l'information et du SMSI. - l'ISO 27001:2022 est une norme certifiante pour les personnes et spécifie des exigences d'un SMSI. Ces dernières sont rédigées à l'impératif du verbe "devoir" - Avoir une certification ISO 27001 Lead Implementer permet d'être qualifier pour gérer les projets SMSI ### Section 3 - SMSI (p. 36 à 51) - **faire de la doc la plus exhaustive que possible avec un catalogue d'index pour faciliter la recherche d'information** car il y aura de l'audit à la fin - L'acronyme de SMSI c'est - **S** pour "Système" = on fait allusion à l'outil / méthode aide au projet - **M** pour "Managament" = gestion de projet - **S** pour "Sécurité" = elle doit répondre au CID - **I** pour "Information" = information n'est pas informatique donc ça regroupe tout ce qui touche à l'information - Un auditeur va challanger le SMSI sur les mesures mises en oeuvre et non sur les solutions - **l'ISO 27001 comprends 30 exigences (de 4 à 10) et 93 mesures dans l'Annexe A** - Un SMSI comprend des politiques, procédures, lignes directrices et des ressources et activités associées. - Un SMSI utilise l'approche systématique fondée sur l'appréciation du risque et leurs niveaux d'acceptation définis par l'organisme pour traiter/gérer les risques efficacement. - Un SMSI pour une organisation permet d'instaurer une culture de l'amélioration continue en garantissant la sécurité des informations dans les procédures, processus et activités. - Avantages du SMSI: réduire les risques SI, protéger les actifs et les info sensibles, créer une image de notoriété et protéger CID ##### Article 4. Organisation - proposer un organigramme et contexte, facteurs externes et internes liés au SMSI - créer un domaine d'application du SMSI -> périmètre - déterminer les parties intéressées et leurs exigences en SI - se conformer aux exigences de la norme et faire de l'amélioration continue ##### Article 5. Leadership - assurer que le SMSI soit compatible avec l'orientation stratégique de l'organisme - lettre d'engagement - établir une PSSI et à communiquer à toutes les parties intéressées - attribuer les rôles, responsabilités et autorités. cf. organigramme de l'organisme ##### Article 6. Planification - déterminer les actions pour traiter liées aux risques (négatives) et opportunités (positives) - établir des objectifs de SI qui doivent être mesurables (valeur) et surveillés (état) - communiquer et mettre à jour ces objectifs sous forme de documents - pouvoir mettre en oeuvre un plan de changement sous forme de processus quand c'est nécessaire; planification - exécution - validation ##### Article 7. Support - avoir les ressources nécessaires pour un SMSI à jour dans une approche PDCA - assurer que le personnel soit compétent - faire de la sensibilisation et de la communication sur la PSSI et le SMSI mis en place ##### Article 8. Fonctionnement - planifier et contrôler les processus opérationnels - faire une appréciation des risques SI et conserver - mettre en oeuvre le traitement des risques SI - faire systématiquement des enregistrements pour garder une trace des actions ##### Article 9. Evaluation des performances - Doit évaluer/analyser les performances et l'efficacité du SMSI - Effectuer des audits internes de façon régulière (1-2 fois par an) - ne regarde les solutions mais plutôt faire des recommandations - le max des nc doit être remonté - se fait au fil de l'eau - Procéder à une revue de direction de façon régulière (1 fois par an) après avoir fait les évaluations et l'audit interne ##### Article 10. Amélioration continue - Améliorer continuellement la pertinence, l'adéquation et l'efficacité du SMSI - Réagir, évaluer et traiter les nc rencontrées en menant des actions correctives appropriées ##### Annexe A (p. 52) - mesures de sécurité de l'information - contient 93 mesures et fait partie de la norme 27001 - l'ISO 27002 est une norme contenant les lignes directrices de l'annexe et en tant que telle suivre les recommandations n'est pas une exigence - par rapport à la version 2013, on a regroupé dans la 2022 dans 4 familles A.5 "organisationnelle", A.6 "personnes", A.7 "physique" et A.8 "technologiques" - La liste des mesures SI ici est non exhaustive - Si mesure est nc, elle doit être justifiée sur le pourquoi de l'exclusion - La norme 27001 adopte la méthode cyclique du PDCA (roue de Deming) par processus sur tout le système de management - Les mesures de sécurité s'assurent ici que la conduite des processus d'affaires soit effectuée de manière sécurisée en terme de traitement de l'information. - Les processus et les mesures de sécurité sont dépendants. #### En résumé... - un système de management est un ensemble d'éléments interdépendants d'une organisation - un smsi = politiques, procédures, lignes directrices, mesures et activités mises en oeuvre pour réduire les risques SI et augmenter la sensibilisation à la SI ### Section 4 - Concepts et principes (p. 62 à 89) - information = données porteuses de sens - actif = item, chose ou entité qui a une valeur potentielle ou réelle pour un organisme (information, logiciel, actif physique - matériel info, service, personne, etc.) - type de documentation selon ISO 9000: enregistrement, spécification, document de procédure, plan, rapport et norme - bien distinguer entre un document, un enregistrement et une spécification - un document = support d'information et l'information qu'il contient - un enregistrement = document de sortie dont l'information est résultante d'un processus/mesure, apportant preuve ou état de résultat ### Section 5 - Initiation de la mise en oeuvre du SMSI (p. 84 à 94) - 1 projet = 1 processus unique consistant à un ensemble d'activités coordonnées et contrôlées - un projet a toujours un début et une fin définis dans le temps. - la gestion de projet SMSI est différent de la gestion des opérations du SMSI, l'une fait référence à la mise en oeuvre et l'autre à l'entretien quotidien du système. - dans une des recommandations sur l'application pratique de l'approche de mise en oeuvre est d'éviter l'intégration des nouvelles technologies. - une approche projet et méthodologie basée généralement sur les meilleures pratiques; guide [PMBoK](https://en.wikipedia.org/wiki/Project_Management_Body_of_Knowledge) et les normes [ISO/IEC 10006:2017](https://www.iso.org/standard/70376.html) et [ISO/IEC 27003:2017](https://www.iso.org/standard/63417.html) - la méthode PECB est basée en partie sur la norme ISO 27003:2017, et elle n'est pas une condition préalable à l'obtention de la certification SMSI - l'approche systématique comprend l'application des bonnes pratiques en matière de management de projet - le SMSI doit être intégré aux processus existants de l'organisation - la compréhension de l'organisme est l'étape suivante après le lancement de la mise en oeuvre du SMSI selon PECB ### Section 6 - Compréhension de l'organisation et de son contexte (p. 97 à ) - l'organisation doit determiner les enjeux externes et internes pertinents compte tenu de sa mission. - les exigences des parties intéressées peuvent include des exigences légales et réglementaires et des obligations contractuelles. - ne pas confondre l'utilisation du terme *exigence* dans le contexte des spécifications édictées dans une norme et *exigences de l'organisme*; ces dernières peuvent provenir de différentes parties prenantes, aussi bien explicites qu'implicites - toujours avoir une vue d'ensemble de l'organisme afin de comprendre les défis en matière de sécurité de l'information. - veiller à la cohérence et à l'alignement des objectifs stratégiques entre la politique de l'organisme (mission) et la politique de sécurité de l'information. - l'organisme doit se confronter aux lois et réglementations applicables. Dans tous les cas, **les lois prévalent sur les normes**. - le RSSI doit toujours travailler dans la mesure du possible avec des conseillers juridiques car de nouvelles lois relatives aux questions de confidentialité, aux obligations financières, etc. pointent le bout de leur nez. - bien analyser et déterminer son périmètre péliminaire avec une approche multi-étape. - analyser son environnement interne et externe en se basant sur des modèles connus comme les analyses [SWOT](https://bpifrance-creation.fr/encyclopedie/letude-marche/determiner-sa-strategie/swot-loutil-danalyse-strategique-developper), [PEST(EL)](https://fr.wikipedia.org/wiki/Analyse_PESTEL) ou [5 forces de Porter](https://en.wikipedia.org/wiki/Porter%27s_five_forces_analysis) - savoir identifier les structures regroupant les différents acteurs et les relations entre eux (hiérarchique/divisionnaire et fonctionnelle); - trouver son champion SMSI, un acteur clé dans la prise de décision proche de la direction et des influenceurs. ### Section 7 - ### Section 8 - ### Section 9 - ### Section 10 - ### Section 11 - ### Section 12 - ### Section 13 - ### Section 14 - ### Section 15 - ### Section 16 - ### Section 17 - ### Section 18 - ### Section 19 - ### Section 20 - ### Section 21 - ### Section 22 - ### Section 23 - ### Section 24 - ### Section 25 - ### Section 26 -
Last changed by  
Richard Randria
Work for a CNRS research lab @Nantes, FR Developing system apps and tools for HPC and Scientific Computation.
28

Read more

Learn CLI and Shell Commands

Lessons I hacked https://gitlab.in2p3.fr/-/snippets/697 Online Linux terminals weblinux on your browser copy.sh webminal lxd online by Canonical -- learn you how to use lxc learn shell online

3/10/2023
About Knowledges and Experiences worth sharing...

Books Tao Te Ching, « Laozi — The Way of Nature and Its Virtues » https://amzn.to/3nxW6ND Hannah Fry, « hello world » https://amzn.to/3i2ySOG About Ikigai, books recommended talking about this art [Richard] I have read this one from Hector Garcia giving his point of view as a practical Guide to Finding Happiness and Purpose the Japanese Way. Videos

3/30/2022
Introduction for cooperation

Myself Bio I am Richard RANDRIATOAMANANA and a full research engineer in computational science working at LS2N (Digital Research Science Lab) in Nantes in the research support and development department. I was born in Indonesia (Borneo island), lived and studied for 8 years in South America and 35 years since in France, graduated in computer science engineering school and worked since 2002 for the CNRS. Ongoing projects Deployed lab cloud computing infrastructure above an iaas virtualization stack (used for BioInformatics Research) for the need of AI research in a "plan-play-deploy" scheme Developing softwares on a large-scale and flexible testbed for experiment-driven research in all areas of computer science and distributed systems. SLICES European Project (introduction talk)

2/14/2022
workflow csan

Prenons un utilisateur lambda qui aimerait partager un programme ou un code de son projet avec d’autres utilisateurs, ou tout simplement pouvoir simplement accéder à ce programme dans plusieurs mésocentres, sans avoir à se préoccuper de le maintenir à jour partout. Cet utilisateur doit, à minima: fournir un fichier décrivant le conteneur (par exemple un fichier Dockerfile si c’est sous Docker ou GUIX si c’est sous guix…) respectant les bonnes pratiques (explicitées sur le portail), remplir les métadonnées obligatoires (cf Annexe). Une fois la soumission effectuée, un ensemble de procédés automatiques va construire l’image, scanner le code pour déceler d’éventuelles failles de sécurité et faire tourner les tests unitaires. Une fois les tests passés et les failles de sécurités identifiés, le conteneur est publié sur le portail CSAN avec des informations sur l’auteur et les métadonnées. A posteriori, un sysadmin de mésocentre va s’assurer que le programme tourne de manière optimisée sur le système de son mésocentre, et le cas échéant valide ce conteneur pour son mésocentre. Les utilisateurs utilisant le portail pourront ainsi vérifier que le conteneur est indiqué et validé pour tourner dans le mésocentre de son choix. Une fois connecté dans un environnement de calcul, notre utilisateur (ou n’importe quel autre utilisateur) pourra récupérer le conteneur simplement (via un pull ; docker pull conteneur:latest par exemple) et faire tourner le programme sur ses données locales.

2/4/2022
Read more from Richard Randria
Published on HackMD