Sécurité Les cadres de contrôle - les nuls

Les organisations adoptent souvent un cadre de contrôle de sécurité pour faciliter leurs efforts de conformité légale et réglementaire. Voici quelques exemples de cadres de sécurité pertinents:

• COBIT. Développé par l'ISACA (Information Systems Audit and Control Association) et l'ITGI (IT Governance Institute), COBIT comprend plusieurs composants dont
  • Framework. Organise les objectifs de gouvernance informatique et les meilleures pratiques.
  • Descriptions des processus. Fournit un modèle de référence et un langage commun.
  • Objectifs de contrôle. Documente les exigences de gestion de haut niveau pour le contrôle des processus informatiques individuels.
  • Directives de gestion. Outils pour attribuer des responsabilités, mesurer les performances et illustrer les relations entre les processus.
  • Modèles de maturité. Évaluer la maturité / capacité organisationnelle et combler les lacunes.

Le cadre COBIT est populaire dans les organisations soumises à la loi Sarbanes-Oxley.

• NIST (Institut national de normalisation et de technologie) Publication spéciale 800-53: Contrôles de sécurité et de confidentialité pour les systèmes et organisations d'information fédéraux. Connu sous le NIST SP800-53, il s'agit d'un cadre de contrôle très populaire et complet requis par toutes les agences gouvernementales américaines. Il est également largement utilisé dans l'industrie privée.
• COSO (Comité des organisations parrains de la Commission Treadway). Développé par l'Institute of Management Accountants (IMA), l'American Accounting Association (AAA), l'American Institute of Certified Public Accountants (AICPA), l'Institute of Internal Auditors (IIA) et Financial Executives International (FEI), le COSO se compose de cinq composants:
  • Environnement de contrôle. Fournit la base pour tous les autres composants de contrôle interne.
  • Évaluation des risques. Établit des objectifs par l'identification et l'analyse des risques pertinents et détermine si quelque chose empêchera l'organisation d'atteindre ses objectifs.
  • Activités de contrôle. Politiques et procédures qui sont créées pour assurer la conformité avec les directives de gestion. Diverses activités de contrôle sont discutées dans les autres chapitres de ce livre.
  • Information et communication. S'assure que des systèmes d'information appropriés et des processus de communication efficaces sont en place dans toute l'organisation.
  • Surveillance. Activités qui évaluent la performance dans le temps et identifient les déficiences et les actions correctives.
• ISO / CEI 27002 (Organisation internationale de normalisation / Commission électrotechnique internationale). Formellement intitulé «Technologies de l'information - Techniques de sécurité - Code de pratiques pour la gestion de la sécurité de l'information», ISO / IEC 27002 décrit les meilleures pratiques de sécurité dans 14 domaines:
  • Politiques de sécurité de l'information
  • Sécurité des ressources humaines
  • Gestion d'actifs
  • Contrôle d'accès et gestion des accès utilisateur
  • Technologie cryptographique
  • Sécurité physique des sites et équipements de l'organisation
  • Sécurité opérationnelle
  • Communications sécurisées et transfert de données > Acquisition, développement et support de systèmes d'information
  • Sécurité des fournisseurs et des tiers
  • Gestion des incidents de sécurité de l'information
  • Sécurité de l'information de la gestion de la continuité des opérations
  • Conformité
  • ITIL (Information Technology Infrastructure Library).
  Un ensemble de bonnes pratiques pour la gestion des services informatiques composé de cinq volumes, à savoir:
• Stratégie de service. Traite de la gestion de la stratégie des services informatiques, de la gestion de portefeuille de services, de la gestion financière des services informatiques, de la gestion de la demande et de la gestion des relations commerciales.
  • Conception du service. Adresses coordination de conception, gestion de catalogue de service, gestion de niveau de service, gestion de disponibilité, gestion de capacité, gestion de continuité de service informatique, système de gestion de sécurité d'information et gestion de fournisseur.
  • Transition de service. Traite la planification et la prise en charge de la transition, la gestion des modifications, la gestion des actifs et des configurations, la gestion des versions et des déploiements, la validation et le test des services, l'évaluation des modifications et la gestion des connaissances.
  • Opération de service. Adresse la gestion des événements, la gestion des incidents, l'exécution des demandes de service, la gestion des problèmes et la gestion des accès.
  • Amélioration continue du service. Définit un processus en sept étapes pour les initiatives d'amélioration: identification de la stratégie, définition de ce qui sera mesuré, collecte des données, traitement des données, analyse des informations et des données, présentation et utilisation de l'information.