N° 7 – Octobre 2010 La Lettre de la Sécurité de l’Information Normes ISO et Sécurité de l’Information Madame, Monsieur, Madame, Monsieur, Depuis de nombreuses années, vous avez entendu parler de : ISO 9000 pour la Qualité Puis plus récemment, ISO 14000 pour l’Environnement Et enfin  ISO 20000 pour la Gestion des Services Informatiques. Le point commun de ces normes était la maitrise des processus, et par là la réduction des aléas. Ces normes peuvent aussi bénéficier de ISO 31000 pour la Gestion des Risques La Sécurité de l’Information « n’échappe pas » à cette tendance via la norme ISO 27000, et plus précisément ISO 27002 qui donne les codes de bonnes pratique pour la gestion de la Sécurité de l’Information. Un audit détaillé s’appuyant sur cette norme analysera plus de 130 points de contrôle. La mise en application de ces normes, sans aller forcément jusqu’à la certification (seules quelques rares sociétés sont certifiées ISO27000 en France), et surtout d’un système de Management en accompagnement, permet aux Entreprises de s’améliorer selon le cycle « PDCA » : Planifier – Développer (ou Déployer) – Contrôler – Ajuster. « Pourquoi ne pas effectuer un premier pas  ? » Responsable de la Sécurité de l’Information pendant près de dix ans chez un leader mondial dans son domaine, maintenant Consultant et Formateur, je propose de réaliser une évaluation sommaire du niveau de risques de votre Système d’Information (données numériques ou non) selon un outil développé par l’Enisa (voir Lettre n° 5) et qui ne réclamera que quelques minutes de votre temps au téléphone. Mon message vous intéresse ? Faites-le moi savoir… (il n’y a pas de trop petite Entreprise !).