Archivage électronique et ISO 27000


FEDISA Jeudi 26 Mai, l’association FEDISA fait le point sur l’intérêt de l’application des normes ISO 27000 dans le cadre de l’archivage électronique, interne au entreprises ou externalisé chez un tiers de confiance. Elle va même au-delà en affirmant que cette série des normes relative à la sécurité constitue un pré-requis à l’archivage électronique. Sur ce point les D&IM ne peuvent que partager le point de vue de l’a FEDISA et rappeler l’obligation des organisation à s’aligner sur l’état de l’art pour offrir les meilleures garanties.

Après avoir rappelé que les critères d’appréciation sont souvent différents entre les experts techniques et les experts juridiques, quelques normes sont mentionnées et repositionnées:
TRAC – Trustworthy Repositories Audit and Certification (NARA)
ISO 30301 – Information et documentation – Système de management des informations et des documents – Exigences
ETSI TS 101 456 – Policy requirements for certification Authorities issuing qualified certificates
ISO/IEC 27000:2009 Information technology – Security techniques – Information security management systems – Overview and vocabulary
ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements
ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management
ISO/IEC 27003:2010 Information technology – Security techniques – Information Security Management Systems Implementation Guidelines
ISO/IEC 27004:2009 Information technology – Security techniques – Information Security Measurements and Metrics
ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management
ISO/IEC 27006:2007 Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems

Il est intéressant ensuite de comprendre, sur la base d’explication détaillée sur le processus de certification, comment l’on peut certifier l’application de ces normes en bonne et due forme.

Mais le plus intéressant reste à venir…

image La FEDISA publie un exemple d’analyse de certification d’un tiers de confiance imaginaire: ARP et met en évidence le besoin d’aller au-delà des normes pour garantir les archives électroniques selon les critères de: Disponibilité, Intégrité, Confidentialité et Traçabilité. C’est ainsi que l’a FEDISA définit un sur-ensemble des normes 27002 et 27005 pour traiter plus précisément de l’archivage électronique et propose une méthodologie d’appréciation du risque extrêmement pertinente.

Alors que nombreux sont ceux qui parlent d’archivage électronique à force probante en oubliant souvent de décrire comment la conservation est réalisée et protégée… l’approche relatée dans ces  quelques lignes est la bienvenue.
Il est aussi très clair que les travaux menés et restitués avec une telle qualité ne peuvent et ne doivent pas être ignorés par les D&IM (ni par les Documestre) qui vont dorénavant s’appliquer à faire prendre en compte la certification ISMS (Information Security Management System) au sein de leur organisation, sans omettre un petit passage par l’extension ‘ARP’ de la FEDISA.

Jean-Pierre BLANGER
Membre Aproged et Clusif
Directeur R&D Ricoh

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s