EXIGENCES DE LA NORME ISO 27001
Quiz exigences ISO 27001 version 2013 Vous souhaitez vous familiariser avec la structure de la norme, identifier et comprendre les exigences de l'ISO 27001 version 2013, alors à vous de jouer !
Le quiz "Exigences de l'ISO 27001 version 2013" vous aidera à assimiler les principales exigences de la norme.
Les questions (exigences) de ce quiz sont 69, pas de panique. Les exigences de la norme sont 252 mais ces 69 exigences sont parmi les plus importantes, alors n'hésitez pas à apprendre de façon ludique !
Ne pensez pas que vous pouvez terminer ce quiz en moins d'une heure, voire deux heures, sauf bien sûr si vous êtes un petit génie !
Nouveautés sur la norme sécurité de l'information ISO 27001 version 2013
Les 252 exigences (doit, doivent, en anglais shall) des articles 4 à 10 et de l'annexe A de l'ISO 27001 sont réparties comme suit:
N°
|
Article
|
cycle PDCA
|
Exigences N°
|
Nombre
|
4
|
Contexte | Planifier (Plan) |
1 ÷ 9
|
9
|
5 | Leadership | Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act) |
10 ÷ 27
|
18 |
6 | Planification | Planifier (Plan) |
28 ÷ 63
|
36
|
7 | Support | Dérouler (Do) |
64 ÷ 88
|
25 |
8 | Réalisation | Dérouler (Do) |
89 ÷ 97
|
9 |
9 | Performance | Comparer (Check) | 98 ÷ 126 | 29 |
10 | Amélioration | Agir (Act) | 127 ÷ 138 | 12 |
Annexe A | Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act) | 139 ÷ 252 | 114 | |
Total
|
252
|
Les exigences dans les articles, paragraphes et annexes de la norme ISO 27001
Le cycle PDCA de Deming
Remarque. Toute exigence normalement commence par "L'organisation doit ...". Pour simplifier nous présentons les exigences directement en commençant avec le verbe.
ISO 27001 - Exigences et commentaires
|
||||
N°
|
Paragraphe
|
Exigence
|
Cycle PDCA, liens, commentaires
|
|
Contexte
|
Planifier (Plan)
|
|||
4.1
|
L'entreprise et son contexte
|
|
||
1
|
4.1
|
Déterminer les enjeux externes et internes | Comprendre tout ce qui peut exercer une influence sur la finalité (la mission) de l'entreprise (culture d'entreprise, innovation, orientation stratégique, compétition, marché, obligations, temps de travail, conditions de travail) et sa capacité à obtenir les résultats attendus du SMSI. Cf. paragraphe 6.1 et paragraphe 7.5.1 | |
4.2
|
Parties intéressées
|
|
||
2
|
4.2 a
|
Déterminer les parties intéressées | Concernés par le SMSI, comme lois, contrats et autres. Cf. paragraphe 7.5.1 | |
3 | 4.2 b | Déterminer les besoins et attentes | Des parties intéressées relatives aux exigences et obligations sécurité de l'information | |
4.3
|
Domaine d'application
|
|||
4
|
4.3
|
Déterminer le domaine d'application du SMSI | Limites (administratives) et applicabilité | |
5 | 4.3 a | Prendre en considération les enjeux externes et internes | "Identifier les dangers c'est diminuer les risques". Cf. paragraphe 4.1 | |
6 | 4.3 b | Prendre en compte les exigences des parties intéressées | Lors de modifications des processus, des exigences, des infrastructures. Cf. paragraphe 4.2 | |
7 | 4.3 c | Prendre en compte les interfaces professionnelles | "Le risque zéro n'existe pas". L'interactivité des activités internes et celles d'autres organisations | |
8 | 4.3 | Rendre disponible le domaine d'application comme information documentée | Cf. paragraphe 7.5.1 | |
4.4
|
Système de management de la sécurité de l'information
|
|
||
9 | 4.4 | Établir, appliquer, tenir à jour et améliorer en continu le SMSI | "Si vous ne pouvez pas décrire ce que vous faites en tant que processus, vous ne savez pas ce que vous faites". Edwards Deming. Conformément aux exigences de l'ISO 27001. Manuel de sécurité de l'information, cf. paragraphe 7.5.1 | |
5
|
Leadership
|
Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act)
|
||
5.1
|
Leadership et engagement
|
|||
10 | 5.1 a | S'assurer que la politique et les objectifs de sécurité de l'information sont établis |
"Un escalier se balaie en commençant par le haut. Proverbe roumain." S'assurer de la compatibilité avec l'orientation stratégique. La direction fait preuve de leadership. Affirmer l'engagement de la direction en faveur du SMSI |
|
11 | 5.1 b | S'assurer que les exigences du SMSI sont intégrés aux processus métier | Faire preuve de leadership | |
12 | 5.1 c | S'assurer que les ressources nécessaires au SMSI sont disponibles | Ressources pour établir, appliquer, tenir à jour et améliorer le SMSI. Cf. paragraphe 4.4 | |
13 | 5.1 d | Communiquer sur l'importance d'un SMSI efficace | Et se conformer aux exigences de la norme ISO 27001 | |
14 | 5.1 e | S'assurer que le SMSI atteint les résultats attendus | Engagement, réactivité et soutien actif de la direction | |
15 | 5.1 f | Orienter et soutenir les personnes | Afin de contribuer à la performance du SMSI | |
16 | 5.1 g | Promouvoir l'amélioration continue | "Les employés d'abord, les clients ensuite. Vineet Nayar." Faire preuve de leadership. Cf. article 10 | |
17 | 5.1 h | Aider les personnes concernées à faire preuve de leadership | Quand cela est nécessaire à leur domaine de responsabilité | |
5.2
|
Politique
|
![]() |
||
18 | 5.2 a | Établir la politique de sécurité de l'information | En tenant compte de la mission de l'organisation. Tenir la politique à jour. Cf. paragraphe 7.5.1 | |
19 | 5.2 b | Fournir un cadre pour l'établissement des objectifs de sécurité de l'information | Cf. paragraphe 6.2 | |
20 | 5.2 c | S'engager à respecter les exigences applicables | Concernant la sécurité de l'information | |
21 | 5.2 d | S'engager à améliorer en continu le SMSI | Cf. article 10 | |
22 | 5.2 e | Rendre disponible la politique de sécurité de l'information comme information documentée | Cf. paragraphe 7.5.1 | |
23 | 5.2 f | Communiquer la politique de sécurité de l'information | A tous les niveaux de l'organisation | |
24 | 5.2 g | Tenir la politique de sécurité de l'information disponible aux parties intéressées | Le cas échéant | |
5.3
|
Rôles, responsabilités et autorités
|
|
||
25 | 5.3 | S'assurer que les responsabilité et autorités du SMSI sont attribuées | Et communiquées à tous les niveaux de l'entreprise. "La responsabilité ne peut pas être partagée. Robert Heinlein". Cf. paragraphe 7.5.1 | |
26 | 5.3 a | S'assurer que le SMSI respecte les exigences de la norme ISO 27001 | Et qui en a la responsabilité et l'autorité à tous les niveaux de l'organisation. Ne pas oublier qu'en fin de compte la direction est entièrement responsable (cf. paragraphe 5.1) | |
27 | 5.3 b | Présenter des rapports sur la performance du SMSI à la direction, de manière régulière | En attribuant la responsabilité et l'autorité nominativement, cf. paragraphe 7.5.1 | |
6
|
Planification
|
Planifier (Plan)
|
||
6.1
|
Actions face aux risques
|
|||
6.1.1
|
Généralités
|
|
||
28 | 6.1.1 a | Déterminer les risques et opportunités | Afin de s'assurer que le SMSI peut atteindre les résultats prévus. Cf. le paragraphe 4.1 pour les enjeux et le paragraphe 4.2 pour les exigences. Un état des lieux est toujours utile avant la planification. "Toute décision comporte un risque. Peter Barge" | |
29 | 6.1.1 b | Déterminer les risques et opportunités | Afin d'anticiper ou de réduire les effets indésirables | |
30 | 6.1.1 c | Déterminer les risques et opportunités | Afin de s'inscrire dans la démarche d'amélioration continue, cf. article 10 | |
31 | 6.1.1 d | Planifier les actions pour traiter ces risques et opportunités | Cf. paragraphe 6.1.3 | |
32 | 6.1.1 e 1 | Planifier la manière d'intégrer et de mettre en place les actions nécessaires | Pour tous les processus du SMSI | |
33 | 6.1.1 e 2 | Planifier la manière d'évaluer l'efficacité des actions entreprises | Cf. paragraphe 6.1.3 | |
6.1.2
|
Appréciation des risques
|
|||
34 | 6.1.2 a 1 | Appliquer le processus d'appréciation des risques de sécurité de l'information | En établissant et tenant à jour les critères d'acceptation | |
35 | 6.1.2 a 2 | Appliquer le processus d'appréciation des risques de sécurité de l'information | En établissant et tenant à jour les critères de réalisation des appréciations | |
36 | 6.1.2 b | Appliquer le processus d'appréciation des risques de sécurité de l'information | En s'assurant que la répétition des appréciations des risques conduit à des résultats cohérents, valides et comparables | |
37 | 6.1.2 c 1 | Appliquer le processus d'appréciation des risques de sécurité de l'information | En identifiant les risques liés à la perte de confidentialité, d'intégrité et de disponibilité des informations | |
38 | 6.1.2 c 2 | Appliquer le processus d'appréciation des risques de sécurité de l'information | En identifiant les pilotes des risques | |
39 | 6.1.2 d 1 | Appliquer le processus d'appréciation des risques de sécurité de l'information | En analysant les risques et les conséquences potentielles des risques en 6.1.2 c 1 se concrétisant | |
40 | 6.1.2 d 2 | Appliquer le processus d'appréciation des risques de sécurité de l'information | En analysant les risques et évaluant la vraisemblance d'apparition des risques identifiés en 6.1.2 c 1 | |
41 | 6.1.2 d 3 | Appliquer le processus d'appréciation des risques de sécurité de l'information | En analysant les risques et déterminant les niveaux des risques | |
42 | 6.1.2 e 1 | Appliquer le processus d'appréciation des risques de sécurité de l'information | En évaluant les risques et comparant les résultats d'analyse des risques avec les critères en 6.1.2 a | |
43 | 6.1.2 e 2 | Appliquer le processus d'appréciation des risques de sécurité de l'information | En évaluant les risques et priorisant les risques analysés | |
44 | 6.1.2 | Conserver des informations documentées sur le processus d'appréciation des risques de sécurité de l'information | Cf. paragraphe 7.5.1 | |
6.1.3
|
Traitement des risques
|
|||
45 | 6.1.3 a | Appliquer le processus de traitement des risques de sécurité de l'information | Afin de choisir les options de traitement des risques en tenant compte des résultats en 6.1.2 | |
46 | 6.1.3 b | Appliquer le processus de traitement des risques de sécurité de l'information | Afin de déterminer les mesures nécessaires à entreprendre pour l'option choisie | |
47 | 6.1.3 c | Appliquer le processus de traitement des risques de sécurité de l'information | Afin de comparer les mesures déterminées en 6.1.3 b et celles de l'Annexe A de l'ISO 27001 | |
48 | 6.1.3 d | Appliquer le processus de traitement des risques de sécurité de l'information | Afin de produire une déclaration d'applicabilité incluant les mesures nécessaires (cf. 6.1.3 b et c), la justification de leur insertion, leur mises en place (ou non), la justification de l'exclusion de mesures de l'Annexe A de l'ISO 27001 | |
49 | 6.1.3 e | Appliquer le processus de traitement des risques de sécurité de l'information | Afin d'élaborer un plan de traitement des risques, cf. § 6.2 | |
50 | 6.1.3 f | Appliquer le processus de traitement des risques de sécurité de l'information | Afin d'obtenir des pilotes des risques la validation du plan de traitement des risques et l'acceptation des risques résiduels | |
51 | 6.1.3 | Conserver des informations documentées sur le processus de traitement des risques de sécurité de l'information | Cf. paragraphe 7.5.1 | |
6.2
|
Objectifs
|
|||
52 | 6.2 | Établir les objectifs de sécurité de l'information | Pour toutes les fonctions et niveaux dans l'organisation | |
53 | 6.2 a | Déterminer des objectifs de sécurité de l'information | Cohérents avec la politique de sécurité de l'information de l'organisation | |
54 | 6.2 b | Déterminer des objectifs de sécurité de l'information | Mesurables, si possible | |
55 | 6.2 c | Déterminer des objectifs de sécurité de l'information | En tenant compte des exigences applicables à la sécurité de l'information, des résultats de l'appréciation et du traitement des risques | |
56 | 6.2 d | Déterminer des objectifs de sécurité de l'information | Et les communiquer, cf. § 7.4 | |
57 | 6.2 e | Déterminer des objectifs de sécurité de l'information | Et les mettre à jour, si approprié | |
58 | 6.2 | Conserver des informations documentées sur les objectifs | Liés à la sécurité de l'information, y compris le plan d'atteinte des objectifs, cf. paragraphe 7.5.1 | |
59 | 6.2 f | Déterminer lors de la planification des objectifs de sécurité de l'information | Ce qui sera fait | |
60 | 6.2 g | Déterminer lors de la planification des objectifs de sécurité de l'information | Les ressources nécessaires | |
61 | 6.2 h | Déterminer lors de la planification des objectifs de sécurité de l'information | Le responsable | |
62 | 6.2 i | Déterminer lors de la planification des objectifs de sécurité de l'information | Les échéances | |
63 | 6.2 j | Déterminer lors de la planification des objectifs de sécurité de l'information | Comment seront évalués les résultats | |
7
|
Support
|
Dérouler (Do)
|
||
7.1
|
Ressources
|
|||
64
|
7.1
|
Identifier et fournir les ressources nécessaires | Afin d'établir, appliquer, tenir à jour et améliorer le SMSI. Ressources fournies, cf. paragraphe 7.5.1 | |
7.2
|
Compétence
|
|
||
65 | 7.2 a | Déterminer les compétences nécessaires des personnes concernées | Les personnes concernées peuvent affecter les performances de la sécurité de l'information | |
66 | 7.2 b | S'assurer que ces personnes sont compétentes | Sur la base d'une formation initiale et professionnelle et de l'expérience | |
67 | 7.2 c | Mener des actions pour acquérir et tenir à jour les compétences nécessaires | Et évaluer l'efficacité de ces actions. Les actions incluent la formation, mais aussi l'encadrement, la réaffectation et le recrutement de personnes compétentes | |
68 | 7.2 d | Conserver des informations documentées sur les compétences | Cf. paragraphe 7.5.1 comme le plan de développement des compétences | |
7.3
|
Sensibilisation
|
|
||
69
|
7.3 a
|
Sensibiliser le personnel à la politique et objectifs de sécurité de l'information | Cf. paragraphes 5.2 et 6.2. Plan d'augmentation de la sensibilité, cf. paragraphe 7.5.1 | |
70 | 7.3 b | Sensibiliser le personnel à l'importance de leur contribution à l'efficacité du SMSI | Et des effets bénéfiques de la performance améliorée du SMSI | |
71 | 7.3 c | Sensibiliser le personnel aux répercussions et aux conséquences du non-respect des exigences du SMSI | Ne pas oublier les conséquences potentielles sur toutes les activités professionnelles | |
7.4
|
Communication
|
![]() |
||
72 | 7.4 a | Déterminer les besoins de communication interne et externe | Y compris sur quels sujets, plan d'amélioration de la communication, cf. paragraphe 7.5.1 | |
73 | 7.4 b | Déterminer les besoins de communication interne et externe | Y compris quand | |
74 | 7.4 c | Déterminer les besoins de communication interne et externe | Y compris avec qui | |
75 | 7.4 d | Déterminer les besoins de communication interne et externe | Y compris qui doit communiquer | |
76 | 7.4 e | Déterminer les besoins de communication interne et externe | Y compris les processus de communication | |
7.5
|
Informations documentées
|
|||
7.5.1
|
Généralités
|
![]() |
||
77 | 7.5.1 a | Inclure dans le SMSI les informations documentées exigées par l'ISO 27001 |
Manuel de sécurité de l'information (§ 4.4) Informations documentées à maintenir (procédures) :
Politiques :
Informations documentées à conserver (enregistrements) :
|
|
78 | 7.5.1 b | Inclure les informations documentées jugées nécessaires à l'efficacité du SMSI |
Ces informations documentées sont spécifiques par rapport à la taille de l'organisation, au domaine d'activité, à la complexité des processus et leurs interactions à la compétence du personnel |
|
7.5.2
|
Création et mise à jour
|
![]() |
||
79 | 7.5.2 a | Identifier et décrire les informations documentées de façon appropriée | Lors de leur création et mise à jour. Comme titre, auteur, date, codification | |
80 | 7.5.2 b | S'assurer que le format et le support des informations documentées sont appropriés | Exemples de formats : langue, version du logiciel et des graphiques. Exemples de supports : papier, électronique | |
81 | 7.5.2 c | Passer en revue et valider les informations documentées de façon appropriée | Afin de déterminer leur pertinence et'adéquation | |
7.5.3
|
Maîtrise des informations documentées
|
|||
82 | 7.5.3 a | Maîtriser les informations documentées pour qu'elles soient disponibles et conviennent à l'utilisation | Quand nécessaire et à l'endroit voulu. Selon les exigences du SMSI et de la norme ISO 27001 | |
83 | 7.5.3 b | Maîtriser les informations documentées pour qu'elles soient convenablement protégées | Comme perte de confidentialité, utilisation inappropriée ou perte d'intégrité | |
84 | 7.5.3 c | Appliquer des activités de distribution, d'accès, de récupération et d'utilisation | Afin de maîtriser les informations documentées | |
85 | 7.5.3 d | Appliquer des activités de stockage et de protection | Y compris la préservation de lisibilité | |
86 | 7.5.3 e | Appliquer des activités de maîtrise des modifications | Comme la maîtrise des versions | |
87 | 7.5.3 f | Appliquer des activités de conservation et d'élimination | En déterminant pour chaque information documentée la durée de conservation et la manière d'élimination | |
88 | 7.5.3 | Identifier et maîtriser les informations documentées d'origine externe | Liste des informations documentées jugées nécessaires à la planification et au fonctionnement du SMSI, y compris celles d'origine externe. Cf. paragraphe 7.5.1 | |
8
|
Réalisation
|
Dérouler (Do) | ||
8.1
|
Planification et maîtrise
|
|||
89 |
8.1 | Planifier, appliquer, maîtriser et tenir à jour des processus nécessaires pour respecter les exigences du SMSI | En établissant des critères pour ces processus et en réalisant des actions déterminées dans le paragraphe 6.1 | |
90 | 8.1 | Appliquer des plans pour atteindre les objectifs de sécurité de l'information | En maîtrisant ces processus conformément au paragraphe 6.2 | |
91 | 8.1 | Conserver des informations documentées sur les processus nécessaires | Afin de s'assurer que les processus sont réalisés comme prévu. Cf. paragraphe 7.5.1 | |
92 | 8.1 | Maîtriser les modifications prévues et analyser les modifications imprévues | En menant des actions pour limiter tout impact négatif. Cf. paragraphe 7.5.1 | |
93 | 8.1 | S'assurer que les processus externalisés sont identifiés | Et maîtrisés | |
Appréciation des risques
|
|
|||
94 | 8.2 | Apprécier les risques de sécurité de l'information régulièrement | En tenant compte des critères établis en 6.1.2 a | |
95 | 8.2 | Conserver des informations documentées sur les résultats de l'appréciation des risques | Cf. paragraphe 7.5.1 | |
Traitement des risques
|
|
|||
96 | 8.3 | Appliquer le plan des traitement des risques | Conformément au paragraphe 6.2 | |
97 | 8.3 | Conserver des informations documentées sur les résultats de traitement des risques | Cf. paragraphe 7.5.1 | |
9
|
Performance
|
Comparer (Check)
|
||
9.1
|
Inspection
|
|||
98 | 9.1 | Évaluer les performances de sécurité de l'information | Et l'efficacité du SMSI | |
99 | 9.1 a | Déterminer ce qu'il est nécessaire d'inspecter (surveiller et mesurer) | Y compris les processus et les mesures de sécurité de l'information | |
100 | 9.1 b | Déterminer les méthodes d'inspection | Y compris l'analyse et l'évaluation afin d'assurer la validité des résultats. Tout résultat valable est comparable et reproductible | |
101 | 9.1 c | Déterminer le moment d'inspection | Les points où la surveillance et la mesure sont réalisées | |
102 | 9.1 d | Déterminer qui effectue l'inspection | La personne responsable de l'inspection | |
103 | 9.1 e | Déterminer le moment d'analyse des résultats de l'inspection | Et le moment d'évaluation de ces résultats | |
104 | 9.1 f | Déterminer qui analyse les résultats | Et la personne responsable de l'évaluation des résultats | |
105 | 9.1 | Conserver des informations documentées sur les résultats de l'inspection | Cf. paragraphe 7.5.1 | |
9.2
|
Audit interne
|
|||
106 | 9.2 a 1 | Réaliser des audits internes à des intervalles planifiés pour fournir des informations permettant de déterminer si le SMSI respecte les exigences de l'organisation | Y compris à la politique et les objectifs, cf. paragraphes 5.2 et 6.2 | |
107 | 9.2 a 2 | Réaliser des audits internes à des intervalles planifiés pour fournir des informations permettant de déterminer si le SMSI respecte les exigences de la norme ISO 27001 | Exigences dans les articles 4 à 10 de la norme | |
108 | 9.2 b | Réaliser des audits internes à des intervalles planifiés afin de fournir des informations permettant de déterminer si le SMSI est appliqué effectivement | Cf. la revue de direction, paragraphe 9.3 | |
109 | 9.2 c | Planifier, établir, appliquer et tenir à jour le programme d'audit | Incluant la fréquence, les méthodes, les responsabilités, les exigences de planification et de rapport. Suivre les recommandation de l'ISO 19011 | |
110 | 9.2 c | Tenir compte dans le programme d'audit de l'importance des processus | Et des résultats des audits précédents | |
111 | 9.2 d | Définir les critères d'audit | Et le périmètre de chaque audit. Suivre les recommandation de l'ISO 19011 | |
112 | 9.2 e | Sélectionner les auditeurs | Afin de réaliser des audits objectifs et impartiaux. Suivre les recommandation de l'ISO 19011 | |
113 | 9.2 f | Rendre compte des résultats des audits | A la direction concernée | |
114 | 9.2 g | Conserver les informations documentées sur l'application du programme d'audit | Et les résultats d'audit, cf. paragraphe 7.5.1 | |
9.3
|
Revue de direction
|
|||
115 | 9.3 | Passer en revue le SMSI à des intervalles planifiés | Afin de s'assurer que le SMSI est toujours approprié, adéquat et efficace. "Aucun système n'est parfait" | |
116 | 9.3 a | Prendre en considération l'avancement des actions décidées au cours de la revue de direction précédente | Utiliser le dernier rapport de revue de direction | |
117 | 9.3 b | Prendre en considération les modifications des enjeux pertinents pour le SMSI | Comme les besoins et attentes des parties intéressées, cf. paragraphe 4.2 | |
118 | 9.3 c 1 | Prendre en considération les retours sur les performances de sécurité de l'information | Y compris les non-conformités et les actions correctives, cf. paragraphe 10.1 | |
119 | 9.3 c 2 | Prendre en considération les résultats de l'évaluation de l'inspection | Cf. paragraphe 9.1 | |
120 | 9.3 c 3 | Prendre en considération les résultats d'audit | Cf. paragraphe 9.2 | |
121 | 9.3 c 4 | Prendre en considération les informations sur la réalisation des objectifs | Et l'atteinte des objectifs, cf. paragraphe 6.2 | |
122 | 9.3 d | Prendre en considération les retours d'information des parties intéressées | Cf. paragraphe 4.2 | |
123 | 9.3 e | Prendre en considération les résultats de l'appréciation des risques | Et l'avancement du plan de traitement des risques, cf. paragraphe 6.1 | |
124 | 9.3 f | Prendre en considération les opportunités d'amélioration continue | Cf. paragraphe 10.2 | |
125 | 9.3 | Inclure dans les conclusions de la revue de direction les décisions d'opportunités d'amélioration | Et les éventuels changement du SMSI | |
126 | 9.3 | Conserver des informations documentées sur les conclusions de la revue de direction | Cf. paragraphe 7.5.1 | |
10
|
Amélioration
|
Agir (Act)
|
||
10.1
|
Non-conformité et actions correctives
|
|||
127 | 10.1 a 1 | Réagir rapidement lorsqu'une non-conformité apparaît | Afin de pouvoir maîtriser et corriger | |
128 | 10.1 a 2 | Réagir rapidement lorsqu'une non-conformité apparaît | Afin de faire face aux conséquences | |
129 | 10.1 b 1 | Évaluer la nécessité de mener une action corrective en examinant la non-conformité | L'action corrective permet d'éliminer les causes premières pour que cela ne se reproduise pas | |
130 | 10.1 b 2 | Évaluer la nécessité de mener une action corrective en déterminant la cause première de non-conformité | Ou les causes premières de non-conformité | |
131 | 10.1 b 3 | Évaluer la nécessité de mener une action corrective en recherchant si des non-conformités similaires se sont produites | Ou pourraient se produire | |
132 | 10.1 c | Déterminer et appliquer toutes les actions nécessaires | Y compris des actions correctives | |
133 | 10.1 d | Passer en revue l'efficacité de toute action menée | Y compris toute action corrective | |
134 | 10.1 e | Modifier le SMSI | Si cela est nécessaire | |
135 | 10.1 | Mener des actions correctives appropriées aux conséquences réelles ou potentielles | Par rapport aux non-conformités apparues | |
136 | 10.1 f | Conserver les informations documentées sur la nature des non-conformités | Et de toute action menée, cf. paragraphe 7.5.1 | |
137 | 10.1 | Conserver les informations documentées sur les résultats des actions correctives | Cf. paragraphe 7.5.1 | |
Amélioration continue
|
|
|||
138 | 10.3 a | Améliorer en continue la pertinence, l'adéquation et l'efficacité du SMSI | En améliorant la performance globale, plan d'amélioration du SMSI, cf. paragraphe 7.5.1 | |
|
Annexe A (normative)
|
|
||
Annexe A.5 Politiques de sécurité de l'information
|
||||
139 | A.5.1.1 | Définir les politiques de sécurité de l'information | Approuvés par la direction, diffusés et communiqués aux parties intéressées. Cf. paragraphe 7.5.1 | |
140 | A.5.1.2 | Passer en revue les politiques de sécurité de l'information | A des intervalles programmés afin de garantir leur pertinence, leur adéquation et leur effectivité | |
Annexe A.6 Organisation de la sécurité de l'information
|
||||
141 | A.6.1.1 | Définir et attribuer toutes les responsabilités | En relation de la sécurité de l'information. Cf. paragraphe 7.5.1 | |
142 | A.6.1.2 | Cloisonner les tâches et les domaines de responsabilité incompatibles | Afin de limiter les possibilités de modifications ou de mauvais usage des actifs de l'organisation | |
143 | A.6.1.3 | Entretenir des relations appropriées | Avec les autorités compétentes, cf. paragraphe 7.5.1 | |
144 | A.6.1.4 | Entretenir des relations appropriées | Avec des groupes d'intérêt, des forums spécialisés et des associations | |
145 | A.6.1.5 | Considérer la sécurité de l'information dans la gestion de projet | Pour tous les types de projets | |
146 | A.6.2.1 | Adopter une politique et des mesures de sécurité complémentaires | Afin de gérer les risques d'utilisation d'appareils mobiles. Cf. paragraphe 7.5.1 | |
147 | A.6.2.2 | Mettre en place une politique et des mesures de sécurité complémentaires | Afin de protéger les informations sur les sites de télétravail. Cf. paragraphe 7.5.1 | |
Annexe A.7 Sécurité du personnel
|
||||
148 | A.7.1.1 | Effectuer des vérifications sur tous les candidats à l'embauche | Conformément aux lois, aux règlements, à l'éthique et être proportionnées aux exigences métier, aux informations et risques identifiés. Cf. paragraphe 7.5.1 | |
149 | A.7.1.2 | Préciser les responsabilités des accords entre salariés et sous-traitant | En relation avec la sécurité de l'information | |
150 | A.7.2.1 | Demander de la part de la direction à tous les salariés et sous-traitant d'appliquer les règles de sécurité de l'information | Conformément aux politiques et procédures en vigueur. Cf. paragraphe 7.5.1 | |
151 | A.7.2.2 | Bénéficier d'une sensibilisation et de formations adaptées pour l'ensemble des salariés et des sous-traitants | Et recevoir régulièrement les mises à jour des politiques et procédures. Cf. paragraphe 7.5.1 | |
152 | A.7.2.3 | Appliquer un processus disciplinaire formel et connu de tous | Afin de prendre des mesures à l'encontre de ceux qui ont enfreint les règles liées à la sécurité de l'information. Cf. paragraphe 7.5.1 | |
153 | A.7.3.1 | Définir et appliquer les responsabilités et missions liées à la sécurité de l'information | Qui restent valables à l'issue de la rupture, du terme ou de la modification du contrat de travail. Cf. paragraphe 7.5.1 | |
Annexe A.8 Gestion des actifs
|
||||
154 | A.8.1.1 | Identifier l’information et les autres actifs associés à l'information et aux moyens de traitement de l'information | Dresser et tenir à jour un inventaire de ces actifs. Cf. paragraphe 7.5.1 | |
155 | A.8.1.2 | Attribuer les actifs figurant à l'inventaire à un propriétaire | Tout actif doit avoir son propriétaire | |
156 | A.8.1.3 | Identifier, documenter et appliquer les règles d'utilisation correcte de l'information, des actifs associés à l'information | Y compris les moyens de traitement de l'information. Cf. paragraphe 7.5.1 | |
157 | A.8.1.4 | Restituer la totalité des actifs de l'organisation au terme de la période d'emploi, du contrat ou de l'accord | Cela concerne tous les salariés et utilisateurs tiers | |
158 | A.8.2.1 | Classifier les informations en termes d'exigences légales, de valeur, de caractère critique et de sensibilité | Concernant une divulgation ou modification non autorisée. Cf. paragraphe 7.5.1 | |
159 | A.8.2.2 | Élaborer et appliquer des procédures de marquage de l'information | Conformément au plan de classification "maison". Cf. paragraphe 7.5.1 | |
160 | A.8.2.3 | Élaborer et appliquer des procédures de traitement de l'information | Conformément au plan de classification "maison". Cf. paragraphe 7.5.1 | |
161 | A.8.3.1 | Appliquer des procédures de gestion des supports amovibles | Conformément au plan de classification "maison". Cf. paragraphe 7.5.1 | |
162 | A.8.3.2 | Mettre au rebut les supports qui ne sont plus nécessaires de manière sécurisée | En respectant des procédures formelles. Cf. paragraphe 7.5.1 | |
163 | A.8.3.3 | Protéger les supports contenant des informations | Contre les accès non autorisés, les erreurs d'utilisation et l'altération lors du transport. Cf. paragraphe 7.5.1 | |
Annexe A.9 Contrôle d'accès
|
||||
164 | A.9.1.1 | Établir, documenter et passer en revue une politique de contrôle d'accès | Conformément aux exigences métier et la sécurité de l'information, cf. paragraphe 7.5.1 | |
165 | A.9.1.2 | Doivent avoir uniquement accès les utilisateurs ayant reçus une autorisation spécifique | Concernant les réseaux et les services réseaux. Cf. paragraphe 7.5.1 | |
166 | A.9.2.1 | Appliquer un processus formel d'enregistrement et de désinscription des utilisateurs | Afin de permettre l'attribution des droits d'accès. Cf. paragraphe 7.5.1 | |
167 | A.9.2.2 | Appliquer un processus formel de distribution des accès aux utilisateurs | Afin d'attribuer et retirer des droits d'accès à tous types d'utilisateurs. Cf. paragraphe 7.5.1 | |
168 | A.9.2.3 | Restreindre et contrôler l'allocation des droits d'accès à privilège | Y compris leur utilisation | |
169 | A.9.2.4 | Réaliser l'attribution des informations secrètes d'authentification | Dans le cadre d'un processus de gestion formel. Cf. paragraphe 7.5.1 | |
170 | A.9.2.5 | Vérifier les droits d'accès des utilisateurs à intervalles réguliers | De la part des propriétaires d'actifs. Cf. paragraphe 7.5.1 | |
171 | A.9.2.6 | Supprimer les droits d'accès aux informations et aux moyens de traitement des informations des salariés et utilisateurs tiers à la fin de leur période d'emploi | Ou adaptés en cas de modification soit du contrat soit de l'accord | |
172 | A.9.3.1 | Suivre, de la part des utilisateurs, les pratiques de l'organisation | Concernant l'utilisation des informations secrètes d'authentification | |
173 | A.9.4.1 | Restreindre l'accès à l'information et aux fonctions d'application système | Conformément à la politique de contrôle d'accès | |
174 | A.9.4.2 | Contrôler l'accès aux systèmes et aux applications par une procédure de connexion sécurisée | Quand la politique de contrôle d'accès l'exige. Cf. paragraphe 7.5.1 | |
175 | A.9.4.3 | Utiliser des systèmes qui gèrent les mots de passe interactifs | Et garantir la qualité des mots de passe. Cf. paragraphe 7.5.1 | |
176 | A.9.4.4 | Limiter et contrôler l'utilisation des programmes unitaires permettant de contourner les mesures de sécurité d'un système | Ou d'une application. Cf. paragraphe 7.5.1 | |
177 | A.9.4.5 | Restreindre l'accès au code source des programmes | Limiter et contrôler cet accès. Réservé au développement en interne | |
Annexe A.10 Cryptographie
|
||||
178 | A.10.1.1 | Élaborer et appliquer une politique d'utilisation de mesures cryptographiques | Afin de protéger l'information. Cf. paragraphe 7.5.1 | |
179 | A.10.1.2 | Élaborer et appliquer une politique sur l'utilisation, la protection et la durée de vie des clés cryptographiques | Tout au long de leur cycle de vie. Cf. paragraphe 7.5.1 | |
Annexe A.11 Sécurité physique et environnementale
|
||||
180 | A.11.1.1 | Définir et utiliser des périmètres de sécurité physique | Afin de protéger les zones sécurisées concernant l'information sensible ou critique et les moyens de traitement de l'information. Cf. paragraphe 7.5.1 | |
181 | A.11.1.2 | Protéger les zones sécurisées par des contrôles adéquats à l'entrée | Afin d'assurer que seul le personnel autorisé est admis. Cf. paragraphe 7.5.1 | |
182 | A.11.1.3 | Concevoir et appliquer des mesures de sécurité physique | Aux bureaux, aux salles et aux équipements | |
183 | A.11.1.4 | Concevoir et appliquer des mesures de sécurité physique | Contre les désastres naturels, les attaques malveillantes ou des accidents. Cf. paragraphe 7.5.1 | |
184 | A.11.1.5 | Concevoir et appliquer des procédures pour les travail | Dans les zones sécurisées. Cf. paragraphe 7.5.1 | |
185 | A.11.1.6 | Contrôler et, si possible, isoler les points d'accès tels que les zones de livraison, de chargement et autres points sensibles des moyens de traitement de l'information | Afin d'éviter les accès non autorisés. Cf. paragraphe 7.5.1 | |
186 | A.11.2.1 | Localiser et protéger les matériels | Afin de réduire les risques liés à des menaces et des dangers environnementaux et les accès non autorisés. Cf. paragraphe 7.5.1 | |
187 | A.11.2.2 | Protéger les matériels des coupures de courant et autres perturbations | Liées à des défaillances des services généraux | |
188 | A.11.2.3 | Protéger les câbles électriques ou de télécommunication transportant des données ou supportant les services d'information | Contre toute interception ou dommage. Cf. paragraphe 7.5.1 | |
189 | A.11.2.4 | Entretenir correctement les matériels | Afin de garantir leur disponibilité permanente et leur intégrité. Cf. paragraphe 7.5.1 | |
190 | A.11.2.5 | Empêcher toute sortie d'actifs des locaux | Sans autorisation préalable. Cf. paragraphe 7.5.1 | |
191 | A.11.2.6 | Appliquer des mesures de sécurité pour les matériels utilisés hors des locaux de l'organisation | En tenant compte des risques spécifiques hors site | |
192 | A.11.2.7 | Vérifier tous les composants des matériels contenant des supports de stockage avant leur mise au rebut ou leur réutilisation | Afin de s'assurer que toute donnée sensible a été supprimée et que tout logiciel sous licence a été désinstallé ou écrasé de façon sécurisée. Cf. paragraphe 7.5.1 | |
193 | A.11.2.8 | S'assurer, de la part des utilisateurs, que les matériels non surveillés sont dotés d'une protection appropriée | Concerne tout matériel laissé sans surveillance | |
194 | A.11.2.9 | Adopter une politique du bureau propre | Et d'écrans verrouillés. Cf. paragraphe 7.5.1 | |
Annexe A.12 Sécurité opérationnelle
|
||||
195 | A.12.1.1 | Documenter les procédures opérationnelles | Et les mettre à disposition de tous les utilisateurs concernés, cf. paragraphe 7.5.1 | |
196 | A.12.1.2 | Maîtriser les changements à l'organisation, aux processus métier, aux systèmes et moyens de traitement de l'information | Changements ayant une incidence sur la sécurité de l'information. Cf. paragraphe 7.5.1 | |
197 | A.12.1.3 | Surveiller et ajuster l'utilisation des ressources et effectuer des projections sur les dimensionnements futurs | Afin de garantir les performances exigées du SMSI | |
198 | A.12.1.4 | Séparer les environnements de développement, de test et opérationnels | Afin de réduire les risques d'accès ou de changements on autorisés | |
199 | A.12.2.1 | Appliquer des mesures de détection, de prévention et de récupération avec une sensibilisation des utilisateurs adaptée | Afin de se protéger contre les logiciels malveillants. Cf. paragraphe 7.5.1 | |
200 | A.12.3.1 | Réaliser et tester régulièrement des copies de sauvegarde de l'information, des logiciels et des images systèmes | Conformément à la politique de sauvegarde établie. Cf. paragraphe 7.5.1 | |
201 | A.12.4.1 | Créer, tenir à jour et vérifier régulièrement les enregistrements de connexion des activités de l'utilisateur, les exceptions, les défaillances et événements | En relation avec la sécurité de l'information. Cf. paragraphe 7.5.1 | |
202 | A.12.4.2 | Protéger les moyens d'enregistrement de connexion | Contre les risques de falsification ou d'accès non autorisé | |
203 | A.12.4.3 | Connecter, protéger et passer en revue régulièrement les activités de l'administrateur système | Et de l'opérateur système | |
204 | A.12.4.4 | Synchroniser les horloges de l'ensemble des systèmes de traitement de l'information ou d'un domaine de sécurité | Sur une source de référence temporelle unique | |
205 | A.12.5.1 | Appliquer des procédures d'installation de logiciels | Afin de maîtriser l'installation sur des systèmes opérationnels. Cf. paragraphe 7.5.1 | |
206 | A.12.6.1 | Obtenir en temps opportun des informations sur les vulnérabilités techniques des systèmes d'information opérationnels, évaluer l'exposition à ces vulnérabilités et prendre les mesures appropriées | Afin de traiter le risque associé. Cf. paragraphe 7.5.1 | |
207 | A.12.6.2 | Établir et appliquer des règles régissant l'installation de logiciels | Concernant les utilisateurs. Cf. paragraphe 7.5.1 | |
208 | A.12.7.1 | Prévoir avec soin et valider les exigences et activités d'audit de vérification des systèmes opérationnels | Afin de réduire au minimum les impacts sur les processus métier | |
Annexe A.13 Sécurité des communications
|
||||
209 | A.13.1.1 | Gérer et contrôler les réseaux | Afin de protéger l'information des systèmes et applications. Cf. paragraphe 7.5.1 | |
210 | A.13.1.2 | Identifier et intégrer les services de réseau, les mécanismes de sécurité, les niveaux de service et les exigences de gestion dans les accords de services de réseau | Services fournis en interne ou externalisés | |
211 | A.13.1.3 | Cloisonner sur les réseaux les groupes de service d'information, d'utilisateurs | Et de systèmes d'information | |
212 | A.13.2.1 | Mettre en place des politiques, des procédures et des mesures de transfert formelles | Afin de protéger les transferts d'information transitant par tout type d'équipements. Cf. paragraphe 7.5.1 | |
213 | A.13.2.2 | Traiter dans des accords le transfert sécurisé de l'information | Entre l'organisation et les tiers | |
214 | A.13.2.3 | Protéger l'information transitant par la messagerie électronique | De manière appropriée | |
215 | A.13.2.4 | Identifier, vérifier régulièrement et documenter les exigences en matière d'engagements de confidentialité ou de non-divulgation | Conformément aux besoins de l'organisation. Cf. paragraphe 7.5.3 | |
Annexe A.14 Maîtrise des systèmes d'information
|
||||
216 | A.14.1.1 | Intégrer les exigences de sécurité de l'information aux exigences des nouveaux systèmes d'information | Ou lors d'améliorations des systèmes d'information existants | |
217 | A.14.1.2 | Protéger les informations liées aux services d'application transmises sur les réseaux publics | Contre les activités frauduleuses, les différents contractuels, la divulgation et la modification non autorisées | |
218 | A.14.1.3 | Protéger les informations impliquées dans les transactions liées aux services d'application | Afin d'empêcher une transmission incomplète, des erreurs d'acheminement, la modification et la divulgation et la duplication non autorisées du message ou sa réémission | |
219 | A.14.2.1 | Établir et appliquer des règles de développement des logiciels et des systèmes | Aux développements de l'organisation | |
220 | A.14.2.2 | Maîtriser les changements des systèmes dans le cadre du cycle de développement | Au moyen de procédures formelles. Cf. paragraphe 7.5.1. Réservé au développement en interne | |
221 | A.14.2.3 | Vérifier et tester les applications critiques métier lorsque des changements sont apportés aux plateformes opérationnelles | Afin de vérifier l'absence d'effets indésirables sur l'activité et la sécurité | |
222 | A.14.2.4 | Ne pas encourager les modifications des progiciels, limiter aux changements nécessaires | Et maîtriser strictement tout changement | |
223 | A.14.2.5 | Établir, documenter, tenir à jour et appliquer les principes d'ingénierie de la sécurité des systèmes | Concernant tous les travaux de mise en place des systèmes d'information, cf. paragraphe 7.5.1 | |
224 | A.14.2.6 | Établir des environnements de développement sécurisés pour les tâches de développement et d'intégration du système et en assurer la protection appropriée | En relation avec l'intégralité du cycle de vie du développement du système. Réservé au développement en interne | |
225 | A.14.2.7 | Superviser l'activité de développement du système externalisé | Et le surveiller | |
226 | A.14.2.8 | Réaliser des tests de fonctionnalité de la sécurité | Pendant le développement du système. Réservé au développement en interne | |
227 | A.14.2.9 | Déterminer des programmes de test de conformité et des critères associés pour les nouveaux systèmes d'information | Y compris les mises à jour et les nouvelles versions | |
228 | A.14.3.1 | Sélectionner avec soin les données de test | Aussi les protéger et les maîtriser | |
Annexe A.15 Relations avec les fournisseurs
|
||||
229 | A.15.1.1 | Faire accepter et documenter par le fournisseur les exigences de sécurité de l'information | Afin de limiter les risques résultant de l'accès des fournisseurs aux actifs de l'organisation, cf. paragraphe 7.5.1 | |
230 | A.15.1.2 | Établir et convenir avec chaque fournisseur les exigences applicables de la sécurité de l'information | Concernant les fournisseurs qui peuvent accéder, traiter, stocker, communiquer ou fournir des composants de l'infrastructure informatique. Cf. paragraphe 7.5.1 | |
231 | A.15.1.3 | Inclure dans les accords conclus avec le fournisseur des exigences sur le traitement des risques de sécurité de l'information | En relation avec la chaîne d'approvisionnement des produits et services informatiques | |
232 | A.15.2.1 | Surveiller, vérifier et auditer à intervalles réguliers la prestation des services | Procurés par les fournisseurs. Cf. paragraphe 7.5.1 | |
233 | A.15.2.2 | Gérer les changements des prestations des fournisseurs en tenant compte du caractère critique de l'information, des systèmes et des processus concernés et des risques | Prestations comprenant le maintien et l'amélioration des politiques, procédures et mesures de sécurité de l'information. Cf. paragraphe 7.5.1 | |
Annexe A.16 Gestion des incidents liés à la sécurité de l'information
|
||||
234 | A.16.1.1 | Établir, en cas d'incident de la sécurité de l'information, des responsabilités et des procédures | Afin de garantir une réponse rapide, efficace et pertinente. Cf. paragraphe 7.5.1 | |
235 | A.16.1.2 | Signaler les événements liés à la sécurité de l'information dans les meilleurs délais | Ceci par des voies hiérarchiques appropriées | |
236 | A.16.1.3 | Noter et signaler toute faille de sécurité observée ou soupçonnée par les salariés et les sous-traitants | Utilisant les systèmes et services d'information de l'organisation | |
237 | A.16.1.4 | Apprécier les événements de la sécurité de l'information | Et décider s'il faut les classer comme incident de la sécurité de l'information | |
238 | A.16.1.5 | Traiter les incident de la sécurité de l'information conformément aux procédures documentées | Cf. paragraphe 7.5.1 | |
239 | A.16.1.6 | Utiliser les connaissances recueillies suite à l'analyse et la résolution d'incidents | Afin de réduire la probabilité ou l'impact d'incidents ultérieurs | |
240 | A.16.1.7 | Définir et appliquer des procédures d'identification, de collecte, d'acquisition et de protection de l'information | Pouvant servir de preuve. Liste de preuves, cf. paragraphe 7.5.1 | |
Annexe A.17 Gestion de la continuité de l'activité
|
||||
241 | A.17.1.1 | Déterminer ses exigences de la sécurité de l'information et de continuité de management de la sécurité de l'information | Dans des situations défavorables (crise ou sinistre) | |
242 | A.17.1.2 | Établir, documenter, mettre en place et tenir à jour des processus, des procédures et des mesures | Afin de fournir le niveau requis de continuité de sécurité de l'information au cours d'une situation défavorable, cf. paragraphe 7.5.1 | |
243 | A.17.1.3 | Vérifier les mesures de continuité de sécurité de l'information mises en place à intervalles réguliers | Afin d'assurer qu'elles sont valables et efficaces dans des situations défavorables | |
244 | A.17.2.1 | Mettre en place des moyens de traitement de l'information avec suffisamment de redondances | Afin de répondre aux exigences de disponibilité | |
Annexe A.18 Conformité
|
||||
245 | A.18.1.1 | Définir explicitement, documenter et mettre à jour toutes les exigences légales, statutaires, réglementaires et contractuelles pour chaque système d'information et pour l'organisation | Ainsi que l'approche adoptée par l'organisation pour satisfaire à ces exigences. Liste des exigences, cf. paragraphe 7.5.1 | |
246 | A.18.1.2 | Mettre en place des procédures appropriées pour garantir la conformité avec les exigences légales, réglementaires et contractuelles relatives à la propriété intellectuelle | Et à l'usage des licences de logiciels propriétaires. Cf. paragraphe 7.5.1 | |
247 | A.18.1.3 | Protéger les enregistrements de la perte, de la destruction, de la falsification, des accès et diffusions non autorisés | Conformément aux exigences légales, réglementaires, contractuelles et aux exigences métier. | |
248 | A.18.1.4 | Garantir la protection de la vie privée et des données à caractère personnel | Conformément la législation ou les réglementations applicables, et les clauses contractuelles le cas échéant. | |
249 | A.18.1.5 | Prendre des mesures cryptographiques | Conformément aux accords, la législation et les réglementations applicables. Cf. annexe A.10 | |
250 | A.18.2.1 | Effectuer des revues régulières et indépendantes de l'approche interne pour gérer et appliquer la sécurité de l'information | A intervalles définis ou suite à de changements importants. Cf. paragraphe 9.2 | |
251 | A.18.2.2 | Vérifier régulièrement, de la part des responsables, la conformité du traitement de l'information et des procédures dont ils sont chargés | Conformément aux politiques, normes de sécurité applicables et autres exigences de sécurité. Cf. paragraphe 7.5.1 | |
252 | A.18.2.3 | Examiner régulièrement les systèmes d'information quant à leur conformité | Avec les politiques et les normes de sécurité de l'information de l'organisation | |
|
|
|