___________________________________
Je vous
remercie pour votre publication de cet article pour les internautes
tunisiens. Sachez qu’en Tunisie, il y a des personnes qui sont en train de
travailler sur cette norme, dont moi-même, et il y en a aussi qui ont
commencé mais non pas accompli leur travail. Cette norme est fortement liée
à celle de l’ISO 17779, qui est principalement une norme pour les bonnes pratiques et
les 134 points de contrôle qu’il faudrait suivre pour remédier aux
principales menaces et vulnérabilités identifiées dans la phase d’identification
et d’estimation des risques dans la Norme 27001.
Ces 2 normes sont valides jusqu’en avril 2007. Personnellement, je suis un
étudiant en 5ème année INSAT spécialité Génie Logiciel, ayant comme
mini-projet (PFA), sur 4 mois (février – Mai), et dans un binôme de deux
(mon ami et moi), l’implémentation d’une solution (Logiciel) qui repose sur
ces 2 normes pour valider toutes les démarches et points citées au sein de
ces deux normes.
Notre solution commence par l’identification des actifs, activités et
processus de l’entreprise, puis, l’identification des risques (menaces et
vulnérabilités) associés à chaque Actif (les actifs sont de 8 catégories),
ensuite, pour chaque risque (risque = (valeur de l’actif * menace *
vulnérabilité)/mesures de contrôle associée), on l’estime et on lui affecte
différentes propriétés (probabilité d’occurrence, Impact, Confidentialité,
Maîtrisabilité, Détectabilité). Pour que, ensuite, on évalue ce risque
suivant une matrice…. Vient ensuite, la préparation à l’audit interne, et
un questionnaire reposant sur la deuxième norme que je viens de citer, pour
enfin, avoir une idée claire (relativement) sur la probabilité de réussir un
audit externe pour l’obtention de cette norme. N’oublions pas enfin, le
module d’administration qui sert comme bibliothèque pour le paramétrage de
tout ce qui peut l’être.
Je vous ai envoyé cette réaction car vous avez dit des bons mots sur les
étudiants de l’INSAT. Et en voici une autre confirmation de ce que vous avez
dit à propos de nous, sachant que ce n’est qu’un sujet de MINI-PROJET et non
pas de PFE. Je ne crois pas que les autres grandes écoles soient bien à la
page de ces nouvelles, et même si elles le sont, je ne crois pas qu’ils
auront des MINI-PROJETS de cette complexité et importance, voire des PFE…
I.K
Réaction à l’article :
«La norme ISO 27001 ouvre l’ère de la confiance dans la sécurité des
systèmes d’information» (Hervé Schauer, expert en sécurité)
Contact :
webmaster@webmanagercenter.com
|