Continuité & Recouvrement d’activité

Conseils en gouvernance et sécurité du SI

Les liens entre ISO27001 & ISO22301
Continuité & Sécurité de l’information

ISO27001 fournit les exigences en vue de l’etablissement et l’amélioration continue d’un systeme de management de la sécurité de l’information (SMSI)

ISO 22301 spécifie les exigences pour planifier, déployer, mettre en œuvre et améliorer  un système  permettamt de réduire la probabilité d’occurrence d’un événement désastreux (SMCA)

Les exigence de la norme ISO22301 en terme de continuité des activités et celles de l’ISO27001 en terme de securité de l’information et BIA sont indissociables sur ce point.

Eg2si propose son expertise précisement sur la partie Informatique de la continuité

Grace a une connaissance transverse des differents métiers, une connaissance approfondie des exigences de la norme ISO et une experience de plus de 15 ans dans le management des services informatiques, nous vous accompagnons dans toutes ces phases.

SMSI
Methodologie
& Principales étapes 

(Non exhaustive)

Élaborer son Plan de gestion de la sécurité de l’information
ISO 27001

Retour d’expérience sur les clé du succés de l’implementation d’un SMSI:
-Intégrer les opérationnels dans la gestion des mesures de sécurité,
-Nomer un  RSSI
-Créer un comité de sécurité
-Etablir une matrice RACI
-Intégrer la direction

Plus d’informations
Choix du périmètre du SMSI (Plan)

Définir le périmètre, les activités et actifs sur lesquelles s’appliquent le SMSI, et justifier le cas échéant les domaines exclus de ce périmètre. Identifier les écarts

Déclaration d’intention

Une fois le périmètre délimité, définir la stratégie de la sécurité de l’information. Cette déclaration d’intention se formalise par une Politique de sécurité rédigée et signée par la Direction Générale.

Démarche d’analyse de risques

Identifier les risques sur le périmètre d’activité en choisissant une méthode d’évaluation des risques, adaptée au contexte (Mehari, ebios, iso27005) Validation du plan de traitement des risques.

Objectifs de sécurité (Do)

Le plan de traitement des risques oriente les objectifs de sécurité a atteindre. En fonction des risques identifiés, les mesures de sécurité a appliquer sont encadreées par des réunions de suivi du projet et de pilotage.

Exploitation du SMSI (Check)

L’ensemble des mesures  de sécurité sont revues selon le modèle de la roue de Deming: Plan, Do, Check, Act, la base de l’amelioration continue.

Surveillance du SMSI (Act)

Mesurer la santé du SMSI et appliquer les correctifs le cas echéant.
-Audit interne
-Actions correctives sur les non-conformités 
-Revue de la direction  et approbation du SMSI 
-Audit « blanc » en cas d’audit de certification est prévu.

Contactez Nous !

SMCA 
Methodologie
& Principales étapes

(Non exhaustive)

Élaborer son Plan de Continuité d’Activités PCA- ISO 22301

Le management de la continuité implique la gestion de la reprise d’activités en cas d’interruption, la gestion du processus dans son ensemble par la formation des acteurs concernés, des exercices et des révisions, assurant l’opérationnalité du PCA. Elles applique le cycle PDCA (Plan-Do-Check-Act) pour définir, mettre en œuvre, contrôler et améliorer le système.

Plus d’informations
Définition d’un périmètre

Un préalable indispensable à la mise en œuvre d’un SMCA. Il est organisationnel, fonctionnel, physique.
Il permet d’obtenir l’appui de la Direction et de commencer à mobiliser les parties concernées

Contrôle et gestion documentaire

Ces contrôles permettent de s’assurer d’avoir une information :
– Lisible, aisément identifiable et traçable,
– Stockée, protégée et disponible.

Cartographie des risques

Permet à l’organisation de comprendre les menaces et vulnérabilités qui pèsent sur ses activités critiques

Business Impact Analysis (BIA)

Permet d’identifier les activités critiques de l’organisation et les ressources minimales nécessaires au fonctionnement en mode dégradé

Gestion de crise et stratégies de continuité

La mise en œuvre les dispositions nécessaires pour gérer la situation de crise et reprendre ses activités dans le délai cible de rétablissement

Stratégies de traitement des risques

Pour chacune des activités critiques, il s’agit d’identifier des mesures permettant :
– de réduire la probabilité d’occurrence 
– d’éviter un arrêt brutal
– de limiter les impacts d’un arrêt sur les activités

Plan de continuité d’activités

Etablir des procédures documentées permettant de répondre à un incident perturbateur et  poursuivre ou rétablir les activités dans un délai prédéterminé.

Test & Amélioration continue

Le plan de continuité d’activités mis en œuvre a été validé par des tests et exercices,  mis à jour en fonction des résultats obtenus.
Les tests permettent de vérifier l’adéquation du PCA avec les exigences liées à l’activité.