Jeudi, le 28 Mars 2024

Exigences de la norme ISO 27001 sécurité de l'information version 2022

15/11/2023

Quiz exigences ISO 27001 version 2022

Vous souhaitez vous familiariser avec la structure de la norme, identifier et comprendre les exigences de l'ISO 27001 version 2022, alors à vous de jouer !

Commencer

Le quiz "Exigences de l'ISO 27001 version 2022" vous aidera à assimiler les principales exigences de la norme.

Les questions (exigences) de ce quiz sont 79, pas de panique. Les exigences de la norme sont 235 mais ces 79 exigences sont parmi les plus importantes, alors n'hésitez pas à apprendre de façon ludique !

Ne pensez pas que vous pouvez terminer ce quiz en moins d'une heure, voire deux heures, sauf bien sûr si vous êtes un petit génie !

 

Nouveautés sur la norme sécurité de l'information ISO 27001 version 2022

 

Les 235 exigences (doit, doivent, en anglais shall) des articles 4 à 10 et de l'annexe A de l'ISO 27001 sont réparties comme suit:

Exigences ISO 27001 version 2022 copyleft
Article
cycle PDCA
Exigences N°
Nombre
4
Contexte Planifier (Plan)
1 ÷ 10
10
5 Leadership Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act)
11 ÷ 28
18
6 Planification Planifier (Plan)
29 ÷ 67
39
7 Support PlanifierDérouler (Plan, Do)
68 ÷ 91
24
8 Réalisation Dérouler (Do)
92 ÷ 100
9
9 Performance Comparer (Check) 101 ÷ 130 30
10 Amélioration Agir (Act) 131 ÷ 142 12
 

Annexe A :

Comparer (Check) 143 ÷ 235 93
Total
235

exigences iso 27001

Les exigences dans les articles, paragraphes et annexes de la norme ISO 27001

 

PDCA

Le cycle PDCA de Deming

 

Remarque. Toute exigence normalement commence par "L'organisation doit ...". Pour simplifier nous présentons les exigences directement en commençant avec le verbe. 

ISO 27001 - Exigences et commentaires
Paragraphe
Exigence
Cycle PDCA, liens, commentaires
4
Contexte
Planifier (Plan)
 
4.1
L'entreprise et son contexte
 
1
4.1
Déterminer les enjeux externes et internes Comprendre tout ce qui peut influer sur la finalité (la mission) de l'entreprise (culture d'entreprise, innovation, orientation stratégique, compétition, marché, obligations, temps de travail, conditions de travail) et sa capacité à obtenir les résultats attendus du SMSI. Cf. paragraphe 6.1 et paragraphe 7.5.1
 
4.2
Parties intéressées
 
2
4.2 a
Déterminer les parties intéressées Concernés par le SMSI, comme clients, lois, contrats et autres. Cf. paragraphe 7.5.1
3 4.2 b Déterminer les exigences des parties intéressées Besoins et attentes relatives aux exigences et obligations sécurité de l'information
4 4.2 c Déterminer les exigences concernées par le SMSI Les exigences traitées par le SMSI
 
 4.3
Domaine d'application
 up
5
4.3
Déterminer le domaine d'application du SMSI Limites (administratives) et applicabilité
6  4.3 a Prendre en considération les enjeux externes et internes "Identifier les dangers c'est diminuer les risques". Cf. paragraphe 4.1
7  4.3 b Prendre en compte les exigences des parties intéressées Lors de modifications des processus, des exigences, des infrastructures. Cf. paragraphe 4.2
8 4.3 c Prendre en compte les interfaces professionnelles "Le risque zéro n'existe pas". L'interactivité des activités internes et celles d'autres organisations
9 4.3 Rendre disponible le domaine d'application comme information documentée Conserver un enregistrement, cf. paragraphe 7.5.1
4.4
Système de management de la sécurité de l'information
 
10  4.4 Établir, appliquer, tenir à jour et améliorer en continu le SMSI Y compris les processus nécessaires. "Si vous ne pouvez pas décrire ce que vous faites en tant que processus, vous ne savez pas ce que vous faites". Edwards Deming. Conformément aux exigences de l'ISO 27001. Manuel de sécurité de l'information, cf. paragraphe 7.5.1 
5
Leadership
Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act
 
5.1
Leadership et engagement
up
11 5.1 a S'assurer que la politique et les objectifs de sécurité de l'information sont établis

"Un escalier se balaie en commençant par le haut. Proverbe roumain." S'assurer de la compatibilité avec l'orientation stratégique. La direction fait preuve de leadership. Affirmer l'engagement de la direction en faveur du SMSI

12 5.1 b S'assurer que les exigences du SMSI sont intégrés aux processus métier Faire preuve de leadership
13 5.1 c S'assurer que les ressources nécessaires au SMSI sont disponibles Ressources pour établir, appliquer, tenir à jour et améliorer le SMSI. Cf. paragraphe 4.4
14 5.1 d Communiquer sur l'importance d'un SMSI efficace Et se conformer aux exigences de la norme ISO 27001
15 5.1 e S'assurer que le SMSI atteint les résultats attendus Engagement, réactivité et soutien actif de la direction
16 5.1 f Orienter et soutenir le personnel Afin qu'il contribue à la performance du SMSI
17 5.1 g Promouvoir l'amélioration continue "Les employés d'abord, les clients ensuite. Vineet Nayar." Faire preuve de leadership. Cf. article 10
18 5.1 h Aider les personnes concernées à faire preuve de leadership Quand cela est nécessaire à leur domaine de responsabilité
 
5.2
Politique
 up
19 5.2 a Établir la politique de sécurité de l'information En tenant compte de la mission de l'organisation. Tenir la politique à jour. Cf. paragraphe 7.5.1
20 5.2 b Fournir un cadre pour l'établissement des objectifs de sécurité de l'information Cf. paragraphe 6.2
21 5.2 c S'engager à respecter les exigences applicables Concernant la sécurité de l'information
22 5.2 d S'engager à améliorer en continu le SMSI Cf. article 10
23 5.2 e Rendre disponible la politique de sécurité de l'information comme information documentée Cf. paragraphe 7.5.1
24 5.2 f Communiquer la politique de sécurité de l'information A tous les niveaux de l'organisation
25 5.2 g Tenir la politique de sécurité de l'information disponible aux parties intéressées Le cas échéant
 
5.3
Rôles, responsabilités et autorités
 
26 5.3 S'assurer que les responsabilité et autorités du SMSI sont attribuées  Et communiquées à tous les niveaux de l'entreprise. "La responsabilité ne peut pas être partagée. Robert Heinlein". Cf. paragraphe 7.5.1
27 5.3 a S'assurer que le SMSI respecte les exigences de la norme ISO 27001 Et qui en a la responsabilité et l'autorité à tous les niveaux de l'organisation. Ne pas oublier qu'en fin de compte la direction est entièrement responsable (cf. paragraphe 5.1)
28 5.3 b Présenter des rapports sur la performance du SMSI à la direction, de manière régulière En attribuant la responsabilité et l'autorité nominativement, cf. paragraphe 7.5.1
6
Planification
 
6.1
Actions face aux risques
up
 
6.1.1
Généralités
 
29 6.1.1 a Déterminer les risques et opportunités La gestion des risques est basée sur la norme ISO 31000 et la formation F 51. Afin de s'assurer que le SMSI peut atteindre les résultats prévus. Cf. le paragraphe 4.1 pour les enjeux et le paragraphe 4.2 pour les exigences. Un état des lieux est toujours utile avant la planification. "Toute décision comporte un risque. Peter Barge"
30 6.1.1 b Déterminer les risques et opportunités Afin d'anticiper ou de réduire les effets indésirables
31  6.1.1 c Déterminer les risques et opportunités Afin de s'inscrire dans la démarche d'amélioration continue, cf. article 10
32 6.1.1 d Planifier les actions pour traiter ces risques et opportunités Cf. paragraphe 6.1.3
33 6.1.1 e 1 Planifier la manière d'intégrer et de mettre en place les actions nécessaires Pour tous les processus du SMSI
34 6.1.1 e 2 Planifier la manière d'évaluer l'efficacité des actions entreprises Cf. paragraphe 6.1.2
 
6.1.2
Appréciation des risques
up
35 6.1.2 a 1 Appliquer le processus d'appréciation des risques de sécurité de l'information En établissant et tenant à jour les critères d'acceptation
36 6.1.2 a 2 Appliquer le processus d'appréciation des risques de sécurité de l'information En établissant et tenant à jour les critères de réalisation des appréciations
37 6.1.2 b Appliquer le processus d'appréciation des risques de sécurité de l'information En s'assurant que la répétition des appréciations des risques conduit à des résultats cohérents, valides et comparables
38 6.1.2 c 1 Appliquer le processus d'appréciation des risques de sécurité de l'information En identifiant les risques liés à la perte de confidentialité, d'intégrité et de disponibilité des informations
39 6.1.2 c 2 Appliquer le processus d'appréciation des risques de sécurité de l'information En identifiant les pilotes des risques
40 6.1.2 d 1 Appliquer le processus d'appréciation des risques de sécurité de l'information En analysant les risques et les conséquences potentielles des risques en 6.1.2 c 1 si ceux-ci se concrétisent
41 6.1.2 d 2  Appliquer le processus d'appréciation des risques de sécurité de l'information En analysant les risques et évaluant la vraisemblance d'apparition des risques identifiés en 6.1.2 c 1
42 6.1.2 d 3 Appliquer le processus d'appréciation des risques de sécurité de l'information En analysant les risques et déterminant les niveaux des risques
43 6.1.2 e 1 Appliquer le processus d'appréciation des risques de sécurité de l'information En évaluant les risques et comparant les résultats d'analyse des risques avec les critères en 6.1.2 a
44 6.1.2 e 2 Appliquer le processus d'appréciation des risques de sécurité de l'information En évaluant les risques et priorisant les risques analysés
45 6.1.2 Conserver des informations documentées sur le processus d'appréciation des risques de sécurité de l'information Cf. paragraphe 7.5.1
 
6.1.3
Traitement des risques
up
46 6.1.3 a Appliquer le processus de traitement des risques de sécurité de l'information Afin de choisir les options de traitement des risques en tenant compte des résultats en 6.1.2
47 6.1.3 b Appliquer le processus de traitement des risques de sécurité de l'information Afin de déterminer les mesures nécessaires à entreprendre pour l'option choisie
48 6.1.3 c Appliquer le processus de traitement des risques de sécurité de l'information Afin de comparer les mesures déterminées en 6.1.3 b et celles de l'Annexe A de l'ISO 27001 et de confirmer qu'aucune mesure nécessaire n'est oubliée
49 6.1.3 d Appliquer le processus de traitement des risques de sécurité de l'information Afin de produire une déclaration d'applicabilité incluant les mesures nécessaires (cf. 6.1.3 b et c), la justification de leur insertion, leur mises en place (ou non), la justification de l'exclusion de mesures de  l'Annexe A de l'ISO 27001
50  6.1.3 e Appliquer le processus de traitement des risques de sécurité de l'information  Afin d'élaborer un plan de traitement des risques, cf. § 6.2
51  6.1.3 f Appliquer le processus de traitement des risques de sécurité de l'information  Afin d'obtenir des pilotes des risques la validation du plan de traitement des risques et l'acceptation des risques résiduels
52 6.1.3 Conserver des informations documentées sur le processus de traitement des risques de sécurité de l'information  Cf. paragraphe 7.5.1
 
6.2
Objectifs
up
53 6.2 Établir les objectifs de sécurité de l'information Pour toutes les fonctions et niveaux dans l'organisation
54 6.2 a Déterminer des objectifs de sécurité de l'information Cohérents avec la politique de sécurité de l'information de l'organisation, cf. § 5.2
55 6.2 b Déterminer des objectifs de sécurité de l'information Mesurables, si possible
56 6.2 c Déterminer des objectifs de sécurité de l'information En tenant compte des exigences applicables à la sécurité de l'information, des résultats de l'appréciation et du traitement des risques
57 6.2 d Déterminer des objectifs de sécurité de l'information Et les surveiller, cf. § 9.1 
58 6.2 e Déterminer des objectifs de sécurité de l'information Et les communiquer, cf. § 7.4
59 6.2 f Déterminer des objectifs de sécurité de l'information Et les mettre à jour régulièrement
60 6.2 g Déterminer des objectifs de sécurité de l'information Et les conserver comme documents, cf. § 7.5
61 6.2 Conserver des informations documentées sur les objectifs Liés à la sécurité de l'information, y compris le plan d'atteinte des objectifs, cf. paragraphe 7.5.1
62 6.2 h Déterminer lors de la planification des objectifs de sécurité de l'information Ce qui sera fait
63 6.2 i Déterminer lors de la planification des objectifs de sécurité de l'information Les ressources nécessaires
64 6.2 j Déterminer lors de la planification des objectifs de sécurité de l'information Le responsable
65 6.2 k Déterminer lors de la planification des objectifs de sécurité de l'information Les échéances
66 6.2 l Déterminer lors de la planification des objectifs de sécurité de l'information Comment les résultats seront évalués
 
6.3
Planification des changements
 
67 6.3 Planifier les changements du SMSI Avant de les appliquer
 7
Support
Dérouler (Do
 
7.1
Ressources
up
68
7.1
Identifier et fournir les ressources nécessaires Afin d'établir, appliquer, tenir à jour et améliorer le SMSI
 
7.2
Compétence
 
69  7.2 a Déterminer les compétences nécessaires des personnes concernées Les personnes concernées peuvent influer sur les performances de la sécurité de l'information
70 7.2 b S'assurer que ces personnes sont compétentes Sur la base d'une formation initiale et professionnelle et de l'expérience
71 7.2 c Mener des actions pour acquérir et tenir à jour les compétences nécessaires Et évaluer l'efficacité de ces actions. Les actions incluent la formation, mais aussi l'encadrement, la réaffectation et le recrutement de personnes compétentes
72 7.2 d Conserver des informations documentées sur les compétences Cf. paragraphe 7.5.1 comme le plan de développement des compétences
 
7.3
Sensibilisation
 
73
7.3 a
Sensibiliser le personnel à la politique et objectifs de sécurité de l'information Cf. paragraphes 5.26.2 et 7.5.1
74 7.3 b Sensibiliser le personnel à l'importance de leur contribution à l'efficacité du SMSI Et des effets bénéfiques de la performance améliorée du SMSI
75 7.3 c Sensibiliser le personnel aux répercussions et aux conséquences du non-respect des exigences du SMSI Ne pas oublier les conséquences potentielles sur toutes les activités professionnelles
 
7.4
Communication
up
76 7.4 a Déterminer les besoins de communication interne et externe Y compris sur quels sujets, cf. paragraphe 7.5.1
77 7.4 b Déterminer les besoins de communication interne et externe Y compris quand communiquer
78 7.4 c Déterminer les besoins de communication interne et externe Y compris avec qui communiquer
79 7.4 d Déterminer les besoins de communication interne et externe Y compris comment communiquer
 
7.5
Informations documentées
 
7.5.1
Généralités
 up
80 7.5.1 a Inclure dans le SMSI les informations documentées exigées par l'ISO 27001

Informations documentées à tenir à jour, disponibles (procédures) :procédure

Politiques :politique

  • sécurité de l'information (§§ 5.1, 5.2, 6.2, 7.3)
  • utilisation correcte de l'information (A.5.10)
  • classification de l'information (A.5.12)
  • transfert de l'information (A.5.14)
  • contrôle d'accès (A.5.15, A.5.18, A.8.2)
  • droits d'accès (A.5.18
  • propriété intellectuelle (A.5.32)
  • protection des enregistrements (A.5.33)
  • conformité aux règles et normes ( A.5.36)
  • sensibilisation et formation (A.6.3)
  • télétravail (A.6.7)
  • bureau propre et écran vide (A.7.7)
  • supports de stockage (A.7.10)
  • vulnérabilités techniques (A.8.8)
  • sauvegarde de l'information (A.8.13)
  • jounalisation (A.8.15)

Informations documentées à conserver (enregistrements) :enregistrement

  • domaine d'application (§ 4.3)
  • politique de sécurité de l'information (§ 5.2)
  • appréciation des risques (§§ 6.1.2, 8.2)
  • traitement des risques (§§ 6.1.3, 8.3)
  • déclaration d'applicabilité (§ 6.1.3)
  • plan de traitement des risques (§ 6.1.3)
  • plan d'atteinte des objectifs (§ 6.2)
  • plan de gestion des changements (§ 6.3)
  • objectifs (§ 6.2)
  • compétences (§ 7.2)
  • liste des informations documentées (§ 7.5.3)
  • documents d'origine externe (§ 7.5.3)
  • suivi des processus (§ 8.1)
  • résultats de l'apprécation des risques (§ 8.2)
  • résultats de traitement des risques (§ 8.3)
  • résultats de l'inspection (§ 9.1)
  • programme d'audit (§ 9.2)
  • rapports d'audits (§ 9.2)
  • décisions de la revue de direction (§ 9.3)
  • non-conformités (§ 10.2)
  • des actions correctives (§ 10.2)
  • inventaire des actifs (A.5.9)
  • règles d'utilisation des actifs (A.5.10, A.5.11)
  • données de transfert (A.5.14)
  • mot de passe (A.5.17, A.8.5)
  • plan de gestion des incidents (A.5.24)
  • registre des incidents (A.5.24)
  • plan de continuité d'activité (A.5.29, A.5.30)
  • liste des exigences (A5.31)
  • registre des licences (A.5.32)
  • protection des enregistrements (A.5.33)
  • engagement de confidentialité (A.6.6)
  • sécurité travail à distance (A.6.7)
  • sortie des actifs (A.7.9, A.7.10)
  • sécurité des appareils mobiles (A.8.1)
  • accès privilégiés (A.8.2, A.8.18)
  • plan de gestion de la capacité (A.8.6)
  • protéction contre les logiciels malveillants (A.8.7)
  • registre des vulnérabilités (A.8.8)
  • registre de la configuration (A.8.9)
  • suppression de l'information (A.8.10)
  • plan de sauvegarde (A.8.13)
  • journaux des événements (A.8.15)
  • surveillance (A.8.16)
  • synchronisation (A.8.17)
  • autorisations privilégiées (A.8.18)
  • protection des réseaux (A.8.20)
  • règles de filtrage (A.8.23)
  • clés cryptographiques (A.8.24)
  • applications (A.8.26)
  • principes d'ingénierie (A.8.27)
  • codage sécurisé (A.8.28)
  • plan de test (A.8.29)
  • environnements (A.8.31)
  • demande de changement (A.8.32, A.33)
81 7.5.1 b Inclure les informations documentées jugées nécessaires à l'efficacité du SMSI

Ces informations documentées sont spécifiques par rapport à la taille de l'organisation, au domaine d'activité, à la complexité des processus et leurs interactions à la compétence du personnel

 
7.5.2
Création et mise à jour
up
82 7.5.2 a Identifier et décrire les informations documentées de façon appropriée Lors de leur création et mise à jour. Comme titre, auteur, date, codification
83 7.5.2 b S'assurer que le format et le support des informations documentées sont appropriés Exemples de formats : langue, version du logiciel et des graphiques. Exemples de supports : papier, électronique
84 7.5.2 c Passer en revue et valider les informations documentées de façon appropriée Afin de déterminer leur pertinence et adéquation
 
7.5.3
Maîtrise des informations documentées
 
85 7.5.3 a Maîtriser les informations documentées pour qu'elles soient disponibles et conviennent à l'utilisation Quand nécessaire et à l'endroit voulu. Selon les exigences du SMSI et de la norme ISO 27001
86 7.5.3 b Maîtriser les informations documentées pour qu'elles soient convenablement protégées Comme perte de confidentialité, utilisation inappropriée ou perte d'intégrité
87 7.5.3 c Appliquer des activités de distribution, d'accès, de récupération et d'utilisation Afin de maîtriser les informations documentées
88 7.5.3 d Appliquer des activités de stockage et de protection Y compris la préservation de lisibilité
89 7.5.3 e Appliquer des activités de maîtrise des modifications Comme la maîtrise des versions
90 7.5.3 f Appliquer des activités de conservation et d'élimination En déterminant pour chaque information documentée la durée de conservation et la manière d'élimination
91 7.5.3 Identifier et maîtriser les informations documentées d'origine externe Liste des informations documentées jugées nécessaires à la planification et au fonctionnement du SMSI, y compris celles d'origine externe. Cf. paragraphe 7.5.1
8
Réalisation
Dérouler (Do
 
8.1 
Planification et maîtrise
up
92
8.1 Planifier, appliquer, maîtriser et tenir à jour des processus nécessaires afin de respecter les exigences du SMSI  En établissant des critères pour ces processus et en réalisant des actions déterminées dans le paragraphe 6.1
93 8.1 Planifier, appliquer, maîtriser et tenir à jour des processus nécessaires afin de respecter les exigences du SMSI  En appliquant la mesure de sécurité conformément aux critères
94 8.1 Conserver des informations documentées sur les processus nécessaires Afin de s'assurer que les processus sont réalisés comme prévu. Cf. paragraphe 7.5.1
95 8.1 Maîtriser les changements prévus et analyser ceux qui sont imprévus En menant des actions pour limiter tout impact négatif. Cf. paragraphe 7.5.1
96 8.1 S'assurer que les processus externalisés sont maîtrisés et pertinents Y compris les produits et services externalisés
 
8.2
Appréciation des risques
 
97 8.2 Apprécier les risques de sécurité de l'information régulièrement En tenant compte des critères établis en 6.1.2 a et le § 6.3
98 8.2 Conserver des informations documentées sur les résultats de l'appréciation des risques Résultats de l'appréciation, cf. paragraphe 7.5.1
 
8.3
Traitement des risques
 
99 8.3 Appliquer le plan des traitement des risques Conformément au paragraphe 6.2
100 8.3 Conserver des informations documentées sur les résultats de traitement des risques Plan de traitement des risques, cf. paragraphe 7.5.1
 
9
Performance
Comparer (Check
 
9.1
Inspection
up
101 9.1 a Déterminer ce qu'il est nécessaire d'inspecter (surveiller et mesurer) Y compris les processus et les mesures de sécurité de l'information
102 9.1 b Déterminer les méthodes d'inspection Y compris l'analyse et l'évaluation afin d'assurer la validité des résultats. Tout résultat valable est comparable et reproductible
103 9.1 c Déterminer le moment d'inspection Y compris les points où la surveillance et la mesure sont réalisées
104 9.1 d Déterminer qui effectue l'inspection La personne responsable de l'inspection
105 9.1 e Déterminer le moment d'analyse des résultats de l'inspection Y compris le moment d'évaluation de ces résultats
106 9.1 f Déterminer qui analyse les résultats Y compris la personne responsable de l'évaluation des résultats
107 9.1 Conserver des informations documentées sur les résultats de l'inspection Cf. paragraphe 7.5.1
108 9.1 Evaluer la performance de sécurité de l'information Y compris l'efficacité du SMSI
 
9.2
Audit interne 
up
 
9.2.1
Généralités
 
109 9.2.1 a 1 Conduire des audits internes à des intervalles planifiés afin de vérifier si le SMSI respecte les exigences de l'organisation Y compris à la politique et les objectifs, cf. paragraphes 5.2 et 6.2
110 9.2.1 a 2 Conduire des audits internes à des intervalles planifiés afin de vérifier si le SMSI respecte les exigences de la norme ISO 27001 Exigences dans les articles 4 à 10 de la norme
111 9.2.1 b  Conduire des audits internes à des intervalles planifiés afin de vérifier si le SMSI est appliqué efficacement Cf. la revue de direction, paragraphe 9.3
 
9.2.2
Programme d'audit
 
112 9.2.2 Planifier, établir, appliquer et tenir à jour le programme d'audit Incluant la fréquence, les méthodes, les responsabilités, les exigences de planification et de rapport. Suivre les recommandation de l'ISO 19011
113 9.2.2 Tenir compte dans le programme d'audit de l'importance des processus Et des résultats des audits précédents
114 9.2.2 a Définir les critères d'audit Et le périmètre de chaque audit. Suivre les recommandation de l'ISO 19011
115 9.2.2 b Sélectionner les auditeurs Afin de conduire des audits objectifs et impartiaux. Suivre les recommandation de l'ISO 19011
116 9.2.2 c Rendre compte des résultats des audits A la direction concernée
117 9.2.2 Conserver les informations documentées sur l'application du programme d'audit Et les résultats d'audit, cf. paragraphe 7.5.1
 
9.3
Revue de direction
up
 
9.3.1
Généralités
 
118 9.3.1 Passer en revue le SMSI à des intervalles planifiés Afin de s'assurer que le SMSI est toujours approprié, adéquat et efficace. "Aucun système n'est parfait"
 
9.3.2
Eléments d'entrée
 
119 9.3.2 a Prendre en considération l'avancement des actions décidées au cours de la revue de direction précédente Utiliser le dernier rapport de la revue de direction
120 9.3.2 b Prendre en considération les changements des enjeux du SMSI Cf. paragraphe 4.1
121 9.3.2 c Prendre en considération les changements des exigences des parties intéressées Cf. paragraphe 4.2
122 9.3.2 d 1 Prendre en considération les tendances des retours d'information Y compris les non-conformités et les actions correctives, cf. paragraphe 10.2
123 9.3.2 d 2 Prendre en considération les tendances des résultats des inspections Autrement dit les résultats de la surveillance et du mesurage, cf. paragraphe 9.1 
124 9.3.2 d 3 Prendre en considération les tendances des résultats des audits Cf. paragraphe 9.2
125 9.3.2 d 4 Prendre en considération les tendances de l'atteinte des objectifs Cf. paragraphe 6.2  
126 9.3.2 e Prendre en considération les retours d'information des parties intéressées Cf. paragraphe 4.2
127 9.3.2 f Prendre en considération les résultats de l'appréciation des risques Y compris l'avancement du plan de traitement des risques, cf. paragraphe 6.1.3
128 9.3.2 g Prendre en considération les opportunités d'amélioration continue Et les éventuels changement du SMSI Cf. paragraphe 10.2
 
9.3.3
Eléments de sortie
 
129 9.3.3 Inclure dans les résultats de la revue de direction les décisions d'amélioration continue Et les éventuels changement du SMSI Cf. paragraphe 10.2
130 9.3.3 Conserver les informations documentées sur les résultats de la revue de direction Cf. paragraphe 7.5.1
10
Amélioration
Agir (Act
 
10.1
Amélioration continue 
up
131 10.1

Améliorer en continue la pertinence, l'adéquation et l'efficacité du SMSI

En améliorant la performance globale du SMSI
 
10.2
Non-conformité et action corrective
 
132 10.2 a 1 Réagir à la non-conformité Afin de la maîtriser et de la corriger
133 10.2 a 2 Réagir à la non-conformité Afin de faire face aux conséquences de la non-conformité
134 10.2 b 1 Passer en revue la non-conformité En évaluant si une action est nécessaire pour éliminer la cause
135 10.2 b 2 Trouver la cause des non-conformités Si possible la cause première
136 10.2 b 3 Rechercher si des non-conformités similaires se sont produites Ou pourraient se produire
137 10.2 c Appliquer toutes les actions nécessaires Y compris des actions correctives
138 10.2 d Passer en revue l'efficacité de toute action menée Y compris toute action corrective
139 10.2 e Modifier le SMSI Si cela est nécessaire
140 10.2 Mener des actions correctives appropriées aux conséquences réelles ou potentielles Par rapport aux non-conformités apparues
141 10.2 f Conserver les informations documentées sur la nature des non-conformités Cf. paragraphe 7.5.1
142 10.2 g Conserver les informations documentées sur les résultats des actions correctives Cf. paragraphe 7.5.1
 
 
Annexe A (normative)
Comparer (Check)
 
A.5 Mesures organisationnelles
up
143 A.5.1 Politiques de sécurité de l'information Définir les politiques de sécurité de l'information, qui sont approuvées par la direction, publiées, communiquées, révisées et changées, cf § 5.2
144 A.5.2 Fonctions et responsabilités liées à la sécurité de l'information  Définir et attribuer les fonctions et responsabilités liées à la sécurité de l'information, cf. § 5.3
145 A.5.3 Séparation des tâches  Séparer les tâches et domaines de responsabilité incompatibles
146 A.5.4 Responsabilités de la direction Appliquer les mesures de sécurité de l'information selon les politiques et procédures de l'entreprise, demande de la direction, cf. § 5.1
147 A.5.5 Contacts avec les autorités Etablir et maintenir le contact avec les autorités appropriées
148 A.5.6 Contacts avec des groupes d'intérêt spécifiques Etablir et maintenir des contacts avec des groupes d'intérêt liés à la sécurité de l'information
149 A.5.7 Renseignement sur les menaces Collecter et analyser les menaces liées à la sécurité de l'information
150 A.5.8 Sécurité de l'information dans la gestion de projet Intégrer la sécurité de l'information à la gestion des projets
151 A.5.9 Inventaire des informations et autres actifs associés Elaborer et tenir à jour un inventaire des informations et actifs liés à la sécurité de l'information
152 A.5.10 Utilisation correcte des informations et autres actifs associés Identifier, documenter et appliquer des règles d'utilisation correcte et des procédures de traitement des informations et actifs
153 A.5.11 Restitution des actifs Restituer tous les actifs au moment de quitter l'entreprise ou de changer de poste
154 A.5.12 Classification des informations Classifier les informations selon des exigences de confidentialité, d'intégrité et de disponibilité
155 A.5.13 Marquage des informations Elaborer et appliquer des procédures pour le marquage des informations
156 A.5.14 Transfert des informations Mettre en place des règles, des procédures ou des accords sur le transfert des informations en interne et avec les parties prenantes
157 A.5.15 Contrôle d'accès Définir et appliquer les règles d'accès physique et logique aux informations selon les exigences métier et la sécurité de l'information
158 A.5.16 Gestion des identités Gérer le cycle de vie complet des identités
159 A.5.17 Informations d'authentification Contrôler l'attribution et la gestion des informations d'authentification selon un processus spécifique incluant des recommandations d'utilisation appropriée
160 A.5.18 Droits d'accès Pourvoir, réviser, modifier et supprimer les droits d'accès aux informations et actifs conformément à la politique spécifique
161 A.5.19 Sécurité de l'information dans les relations avec les fournisseurs Définir et appliquer des processus et procédures afin de gérer les risques de sécurité de l'information liés à l'utilisation de produits et services des fournisseurs
162 A.5.20 La sécurité de l'information dans les accords conclus avec les fournisseurs Mettre en place et convenir avec chaque fournisseur les exigences de sécurité de l'information appropiées
163 A.5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC Définir et appliquer des processus et procédures afin de gérer les risques de sécurité de l'information liés à la chaîne d'approvisionnement des produits et services TIC
164 A.5.22 Surveillance, révision et gestion des changements des services forunisseurs Surveiller, réviser, évaluer et gérer régulièrement les changements des pratiques de sécurité de l'information des fournisseurs
165 A.5.23 Sécurité de l'information dans l'utilisation de services en nuage Etablir les processus d'acquisition, d'utilisation, de gestion et de cessation des services en nuage selon les exigences de sécurité de l'information de l'entreprise
166 A.5.24 Planification et préparation de la gestion des incidentsliés à la sécurité de l'information Planifier et préparer la gestion des incidents liés à la sécurité de l'information avec des processus, fonctions et responsabilités concernés
167 A.5.25 Evaluation des événements liés à la sécurité de l'information et prise de décision Evaluer les événements liés à la sécurité de l'information et décider si ces derniers doivent être catégorisés comme des incidents
168 A.5.26 Réponse aux incidents liés à la sécurité de l'information Répondre aux incidents liés à la sécurité de l'information conformément aux procédures documentées
169 A.5.27 Enseignements des incidents liés à la sécurité de l'information Utiliser les connaissances acquises à partir des incidents liés à la sécurité de l'information afin de renforcer et améliorer les mesures de sécurité de l'information
170 A.5.28 Collecte de preuves Etablir et appliquer des procédures pour l'identification, la collecte, l'acquisition et la préservation de preuves liées aux événements de sécurité de l'information
171 A.5.29 Sécurité de l'information pendant une perturbation Planifier comment maintenir la sécurité de l'information à un niveau approprié pendant une perturbation
172 A.5.30 Préparation des TIC pour la continuité d'activité Planifier, appliquer, maintenir et tester la préparation des TIC selon les objectifs et exigences de continuité d'activité
173 A.5.31 Exigences légales, statutaires, réglementaires et contractuelles Identifier, documenter, respecter et tenir à jour les exigences légales, statutaires, réglementaires et contractuelles pertinentes de sécurité de l'information
174 A.5.32 Droits de propriété intellectuelle Mettre en place des procédures appropriées afin de protéger les droits de propriété intellectuelle
175 A.5.33 Protection des enregistrements Protéger de la perte, de la destruction, de la falsification, des accès non autorisés et des diffusions non autorisées les enregistrements opérationnels
176 A.5.34 Protection de la vie privée et des DCP Identifier et respecter les exigences de protection de la vie privée et des données à caractère personnel (DCP) selon les lois, réglementations et exigences contractuelles applicables
177 A.5.35 Revue indépendante de la sécurité de l'information Passer en revue à intervalles planifiés la gestion de la sécurité de l'information, y compris les personnes, processus et technologies
178 A.5.36 Conformité aux politiques, règles et normes de sécurité de l'information Vérifier régulièrement la conformité aux politiques de sécurité de l'information, aux normes et règles de l'entreprise
179 A.5.37 Procédures d'exploitation documentées Documenter et mettre à disposition du personnel concerné les procédures d'exploitationdes moyens de traitement de l'information
 
 
A.6 Mesures liées aux persones
up
180 A.6.1 Sélection des candidats Réaliser les vérifications des références des candidats à l'embauche avant leur intégration dans l'entreprise selon les exigences métier, la classification des informations et les risques identifiés, cf. § 7.2
181 A.6.2 Termes et conditions du contrat de travail Indiquer dans les contrats de travail les responsabilités du personnel et de l'entreprise en matière de sécurité de l'information
182 A.6.3 Sensibilisation, enseignement et formation en sécurité de l'information Sensibiliser, enseigner et former le personnel et les parties prenantes en sécurité de l'information, y compris les mises à jour des politiques et des procédures
183 A.6.4 Processus disciplinaire Formaliser et communiquer le processus disciplinaire pour ceux qui n'ont pas respecté la politique de sécurité de l'information
184 A.6.5 Responsabilités après la fin ou le changement d'un emploi Définir, appliquer et communiquer les responsabilités et obligations relatives à la sécurité de l'information qui restent valables après la fin ou le changement d'un emploi
185 A.6.6 Accords de confidentialité ou de non-divulgation Identifier, documenter, réviser et signer les accords de confidentialité (de non-divulgation) afin de protéger les informations sensibles
186 A.6.7 Télétravail Mettre en place des mesures de sécurité pertinentes pour le télétravail afin de protéger les informations en dehors des locaux de l'entreprise
187 A.6.8 Déclaration des événements liés à la sécurité de l'information Fournir un mécanisme pour déclarer rapidement les événements avérés ou suspectés liés à la sécurité de l'information 
 
A.7 Mesures physiques
up
188 A.7.1 Périmètres de sécurité physique Définir et utiliser des périmètres de sécurité afin de protéger les zones avec des informations et actifs sensibles
189 A.7.2 Les entrées physiques Protéger les zones d'accès par des mesures de sécurité des accès et des points d'accès appropriés
190 A.7.3 Sécurisation des bureaux, des salles et des installations Concevoir et appliquer des mesures de sécurité physique pour les bureaux, les salles et les installations
191 A.7.4 Surveillance de la sécurité physique Surveiller en continu les locaux afin d'empêcher l'accès physique non autorisé
192 A.7.5 Protection contre les menaces physiques et environnementales Concevoir et appliquer une protection contre les menaces physiques et environnementales (comme les catastrophes naturelles), intentionnelles ou non intentionnelles
193 A.7.6 Travail dans les zones sécurisées Concevoir et appliquer des mesures de sécurité pour le travail dans les zones sécurisées
194 A.7.7 Bureau propre et écran vide Définir et appliquer des règles du bureau propre et d'écran vide pour les moyens de traitement de l'information
195 A.7.8 Emplacement et protection du matériel Choisir et protéger un emplacement sécurisé pour le matériel 
196 A.7.9 Sécurité des actifs hors des bureaux Protéger les actifs hors du site
197 A.7.10 Supports de stockage Gérer les supports de stockage tout au long de leur cycle de vie (acquisition, utilisation, transport et mise au rebut) selon la classification et les exigences de l'entreprise
198 A.7.11 Services support Protéger les moyens de traitement de l'information contre les coupures de courant et autres défaillances des services support
199 A.7.12 Sécurité du câblage Protéger les câbles électriques contre les interceptions, interférences ou dommages
200 A.7.13 Maintenance du matériel Entretenir le matériel correctement afin d'assurer la disponibilité, l'intégrité et la confidentialité de l'information
201 A.7.14 Elimination ou recyclage sécurisé du matériel Vérifier les matériels de stockage afin de s'assurer de la suppression sécurisée des données sensibles ou logiciel sous licence
 
 
A.8 Mesures technologiques
up
202 A.8.1 Terminaux utilisateurs Protéger les informations stockées, traitées ou accessibles via un terminal utilsateur
203 A.8.2 Droits d'accès privilégiés Limiter et gérer l'attribution et l'utilisation des droits d'accès privilégiés
204 A.8.3 Restriction d'accès aux informations Restreindre l'accès aux informations et autres actifs selon la politique du contrôle d'accès
205 A.8.4 Accès au code source Gérer de manière appropriée l'accès au code source, aux outils de développement et aux bibliothèques de logiciels
206 A.8.5 Authentification sécurisée Appliquer des technologies et procédures d'authentification sécurisées selon les restrictions de la politique de contrôle d'accès, cf. A.8.3
207 A.8.6 Dimensionnement Surveiller et ajuster l'utilisation des ressources selon les besoins de dimensionnement, cf. Plan de gestion de la capacité, § 7.5.1
208 A.8.7 Protection contre les programmes malveillants (malware) Appliquer la protection contre les programmes malveillants, sensibiliser le personnel, cf. § 7.3
209 A.8.8 Gestion des vulnérabilités techniques Obtenir des informations sur les vulnérabilités techniques des systèmes d'information, évaluer l'exposition de l'entreprise à ces vulnérabilités et prendre les mesures appropriées
210 A.8.9 Gestion de la configuration Définir, documenter, appliquer, surveiller et réviser la configuration relative à la sécurité, au matériel, aux logiciels et aux réseaux
211 A.8.10 Suppression d'information Supprimer les informations, qui ne sont plus nécessaires, sur les systèmes d'information, les terminaux et autres supports de stockage
212 A.8.11 Masquage des données Masquer les données selon la politique de contrôle d'accès, cf. § A.8.3 en repectant les exigences métier et la législation applicable
213 A.8.12 Prévention de la fuite de données Appliquer des mesures de prévention de la fuite de données des informations sensibles aux systèmes, réseaux et autres terminaux 
214 A.8.13 Sauvegarde des informations Conserver et tester régulièrement des copies de sauvegarde de l'information, des logiciels et des systèmes selon la politique de sauvegarde
215 A.8.14 Redondance des moyens de traitement de l'information Appliquer des moyens de traitement de l'information afin de répondre aux exigences de disponibilité
216 A.8.15 Journalisation Générer, conserver, protéger et analyser des journaux des activités, exceptions, pannes et autres événements pertinents
217 A.8.16 Activités de surveillance Surveiller les réseaux, systèmes et applications et prendre des mesures appropriées, cf. § 9.1
218 A.8.17 Synchronisation des horloges Synchroniser les horloges des systèmes de traitement de l'information avec des sources de temps approuvées
219 A.8.18 Utilisation de programmes utilitaires à privilèges Limiter et contrôler étroitement l'utilisation des programmes utilitaires ayant la capacité de contourner les mesures de sécurité des systèmes et des applications
220 A.8.19 Installation de logiciels sur des systèmes opérationnels Appliquer des procédures et des mesures afin de gérer de manière sécurisée l'installation de logiciels opérationnels 
221 A.8.20 Sécurité des réseaux Sécuriser, gérer et contrôler les réseaux et leurs terminaux afin de protéger les informations des systèmes et des applications
222 A.8.21 Sécurité des services réseau Identifier, appliquer et surveiller les mécanismes de sécurité, les niveaux de service et les exigences des services réseaux
223 A.8.22 Cloisonnement des réseaux Cloisonner les groupes de services d'information, d'utilisateurs et de systèmes d'information
224 A.8.23 Filtrage web Maîtriser l'accès aux sites web externes afin de réduire l'exposition aux contenus malveillants
225 A.8.24 Utilisation de la cryptographie Définir et appliquer des règles de cryptographie, y compris les clés cryptographiques
226 A.8.25 Cycle de développement sécurisé Définir et appliquer des règles pour le développement sécurisé des logiciels et systèmes
227 A.8.26 Exigences de sécurité des applications Identifier, spécifier et approuver les exigences de sécurité de l'information lors du développement ou de l'aquisition d'applications
228 A.8.27 Principes d'ingénierie et d'architecture des systèmes sécurisés Etablir, documenter, tenir à jour et appliquer des principes d'ingénierie des systèmes sécurisés au cours du développement des systèmes d'information
229 A.8.28 Codage sécurisé Appliquer des principes de codage sécurisé au développement des logiciels
230 A.8.29 Test de sécurité dans le développement et l'acceptation Définir et appliquer des processus de tests de sécurité au cours du cycle de vie du développement
231 A.8.30 Développement externalisé Diriger, contrôler et vérifier les activités relatives aux développement des systèmes externalisés
232 A.8.31 Séparation des environnements de développement, de test et opérationnels  Séparer et sécuriser les environnements de développement, de test et opérationnels
233 A.8.32 Gestion des changements Soumettre les changements des moyens de traitement de l'information et des systèmes d'information à des procédures de gestion des changements, cf. § 6.3
234 A.8.33 Informations de test Sélectionner, protéger et gérer les informations de test de manière appropriée
235 A.8.34 Protection des systèmes d'informationpendant les tests d'audit Planifier et convenir entre le testeur et le niveau approprié de la direction les tests d'audit et autres activités d'assurance impliquant l'évaluation des systèmes opérationnels
 
 
 
up