Planification d’un Système de Management de la Sécurité de l’Information selon la famille des normes ISO 2700X

Abstract

L’implantation d’un système d’information fiable, opérant avec un contrôle continu et une sécurité maximale, est devenue l’objectif à atteindre pour tous type d’organisation quelle que soit son contexte ou son domaine d’activité. Compte tenu du niveau d'exposition aux risques et de la dépendance vitale des organisations vis-à-vis de leurs systèmes d'information, il est crucial de prêter attention aux exigences de sécurité. La réalisation d'un équilibre entre la sécurité et l'efficacité du système d’information est une tâche complexe qui exige au préalable une analyse approfondie du contexte organisationnel. Elle nécessite également l'identification, l'analyse, et la gestion des risques encourus par l’entreprise. Dans le cadre de notre projet de mise en place d’un système de management de la sécurité d’information, nous avons réussie à aboutir de la phase la plus essentiel, celle de sa planification en auditant le système actuel, et en analysant les risques encourus par ce dernier, nous proposons, pour cela, une base de connaissance des menaces et des vulnérabilités en plus d’une politique de sécurité des systèmes d’information dériver des exigences de sécurité recommander par l’ISO,

Mots clés Exigences de sécurité, Analyse des risques, Audit, Menaces, Vulnérabilités

The implementation of a reliable information system, operating with continuous monitoring and maximum security, has become the objective to be achieved for all types of organizations whatever their context or field of activity. Given the level of exposure to risk and the vital reliance of organizations on their information systems, it is crucial to pay attention to security requirements. Achieving a balance between security and the effectiveness of the information system is a complex task that requires a thorough analysis of the organizational context. It also requires the identification, analysis, and management of the risks incurred by the company. As part of our project to set up an information security management system, we have managed to reach the most essential phase, that of its planning by auditing the current system, and by analyzing the risks. incurred by the latter, we propose, for this, a knowledge base of threats and vulnerabilities in addition to an information system security policy derive from the security requirements recommended by the ISO,

Keywords Security Requirements, Risk Analysis, Audit, Threats, Vulnerabilities.