Les spécifications techniques ISO/IEC TS 33052:2016 « Technologies de l'information -- Modèle de référence des procédés pour le management de la sécurité de l'information » et ISO/IEC TS 33072:2016 « Technologies de l'information -- Évaluation des procédés -- Modèle d'évaluation de la capacité des procédés pour le management de la sécurité de l'information », ont été publiées cette année par l’ISO après plus de deux ans de travaux. M. Stéphane Cortina, coéditeur de ces documents, nous relate son expérience.
Les spécifications techniques ISO/IEC TS 33052:2016 et 33072:2016 définissent respectivement un modèle de référence des processus (Process Reference Model - PRM) et un modèle d’évaluation des processus (Process Assessment Model - PAM) pour le domaine de la gestion de la sécurité de l’information. En étroite relation avec différentes normes internationales (voir figure ci-dessous), ces spécifications techniques entendent ainsi fournir d’une part une description des processus couverts par la norme ISO/IEC 27001:2013 et d’autre part des indicateurs pour guider l’interprétation des objectifs et des résultats attendus de ces processus.
Basés sur les exigences issues de la norme ISO/IEC 27001:2013 ainsi que sur les contrôles de sécurité provenant de la norme ISO/IEC 27002:2013 (Code de bonne pratique pour le management de la sécurité de l’information), ces modèles permettent d’évaluer l’aptitude des processus de gestion de la sécurité de l’information. Leur utilisation, selon les principes définis dans la série de normes ISO/IEC 33000, permet à un évaluateur d’établir objectivement le niveau de mise en place des processus d’un Système de Management de la Sécurité de l’Information (SMSI), ainsi que leurs forces et faiblesses. De tels modèles peuvent donc être utilisés dans divers contextes, que ce soit pour mesurer l’avancement d’un projet d’implémentation d’un SMSI, pour structurer un programme d’amélioration, ou encore pour supporter une démarche de certification.
| Témoignage de M. Stéphane Cortina, Délégué national en normalisation au sein du comité miroir national ISO/IEC JTC 1/SC 7 « Ingénierie des logiciels et des systèmes » |
|
 |
Mon implication, depuis plus de 8 ans déjà, dans le comité technique ISO/IEC JTC 1/SC 7 dédié à la normalisation technique pour l’ingénierie des logiciels et des systèmes m’a offert la possibilité de contribuer activement au développement des spécifications techniques ISO/IEC TS 33052:2016 et 33072:2016. Cela m’a notamment amené à participer aux réunions internationales biannuelles du comité technique (notamment à Pise, Sydney, et Rio de Janeiro). A cette occasion j’ai eu l’opportunité de proposer des contributions basées sur la méthodologie TIPA® pour l'évaluation de processus, en influençant les discussions grâce aux travaux et résultats de projets du département “IT for Innovative Services” (ITIS) du LIST dans le domaine de la sécurité de l'information et des systèmes de gestion intégrés, et en traitant des commentaires de tous les pays de la communauté ISO participant aux votes. En effet, à titre personnel, être coéditeur de ces deux spécifications techniques m’a permis de rencontrer des experts internationaux de l’évaluation de processus venant d’Afrique du Sud, de Finlande, ou encore d’Australie et ainsi enrichir mes propres connaissances (ainsi que la méthodologie TIPA elle-même) des meilleures pratiques en vigueur dans ces différents pays. |
Si vous souhaitez rejoindre la communauté des experts nationaux et découvrir les opportunités offertes par la normalisation, l’ILNAS, Organisme luxembourgeois de normalisation propose une inscription gratuite aux comités de normalisation. Pour plus de renseignements, vous pouvez nous contacter à l’adresse anec@ilnas.etat.lu.