Mercredi, le 07 Juin 2023

EXIGENCES DE LA NORME ISO 27001

Quiz exigences ISO 27001 version 2013

Vous souhaitez vous familiariser avec la structure de la norme, identifier et comprendre les exigences de l'ISO 27001 version 2013, alors à vous de jouer !

Commencer

Le quiz "Exigences de l'ISO 27001 version 2013" vous aidera à assimiler les principales exigences de la norme.

Les questions (exigences) de ce quiz sont 69, pas de panique. Les exigences de la norme sont 252 mais ces 69 exigences sont parmi les plus importantes, alors n'hésitez pas à apprendre de façon ludique !

Ne pensez pas que vous pouvez terminer ce quiz en moins d'une heure, voire deux heures, sauf bien sûr si vous êtes un petit génie !

 

Nouveautés sur la norme sécurité de l'information ISO 27001 version 2013

 

Les 252 exigences (doit, doivent, en anglais shall) des articles 4 à 10 et de l'annexe A de l'ISO 27001 sont réparties comme suit:

Exigences ISO 27001 version 2013 copyleft
Article
cycle PDCA
Exigences N°
Nombre
4
Contexte Planifier (Plan)
1 ÷ 9
9
5 Leadership Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act)
10 ÷ 27
18
6 Planification Planifier (Plan)
28 ÷ 63
36
7 Support Dérouler (Do)
64 ÷ 88
25
8 Réalisation Dérouler (Do)
89 ÷ 97
9
9 Performance Comparer (Check) 98 ÷ 126 29
10 Amélioration Agir (Act) 127 ÷ 138 12
  Annexe A Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act) 139 ÷ 252 114
Total
252

exigences iso 27001

Les exigences dans les articles, paragraphes et annexes de la norme ISO 27001

 

PDCA

Le cycle PDCA de Deming

 

Remarque. Toute exigence normalement commence par "L'organisation doit ...". Pour simplifier nous présentons les exigences directement en commençant avec le verbe. 

ISO 27001 - Exigences et commentaires
Paragraphe
Exigence
Cycle PDCA, liens, commentaires
4
Contexte
Planifier (Plan)
 
4.1
L'entreprise et son contexte
 
1
4.1
Déterminer les enjeux externes et internes Comprendre tout ce qui peut exercer une influence sur la finalité (la mission) de l'entreprise (culture d'entreprise, innovation, orientation stratégique, compétition, marché, obligations, temps de travail, conditions de travail) et sa capacité à obtenir les résultats attendus du SMSI. Cf. paragraphe 6.1 et paragraphe 7.5.1
 
4.2
Parties intéressées
 
2
4.2 a
Déterminer les parties intéressées Concernés par le SMSI, comme lois, contrats et autres. Cf. paragraphe 7.5.1
3 4.2 b Déterminer les besoins et attentes Des parties intéressées relatives aux exigences et obligations sécurité de l'information
 
 4.3
Domaine d'application
 up
4
4.3
Déterminer le domaine d'application du SMSI Limites (administratives) et applicabilité
5  4.3 a Prendre en considération les enjeux externes et internes "Identifier les dangers c'est diminuer les risques". Cf. paragraphe 4.1
6  4.3 b Prendre en compte les exigences des parties intéressées Lors de modifications des processus, des exigences, des infrastructures. Cf. paragraphe 4.2
7 4.3 c Prendre en compte les interfaces professionnelles "Le risque zéro n'existe pas". L'interactivité des activités internes et celles d'autres organisations
8 4.3 Rendre disponible le domaine d'application comme information documentée Cf. paragraphe 7.5.1
4.4
Système de management de la sécurité de l'information
 
9  4.4 Établir, appliquer, tenir à jour et améliorer en continu le SMSI "Si vous ne pouvez pas décrire ce que vous faites en tant que processus, vous ne savez pas ce que vous faites". Edwards Deming. Conformément aux exigences de l'ISO 27001. Manuel de sécurité de l'information, cf. paragraphe 7.5.1 
5
Leadership
Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act
 
5.1
Leadership et engagement
up
10 5.1 a S'assurer que la politique et les objectifs de sécurité de l'information sont établis

"Un escalier se balaie en commençant par le haut. Proverbe roumain." S'assurer de la compatibilité avec l'orientation stratégique. La direction fait preuve de leadership. Affirmer l'engagement de la direction en faveur du SMSI

11 5.1 b S'assurer que les exigences du SMSI sont intégrés aux processus métier Faire preuve de leadership
12 5.1 c S'assurer que les ressources nécessaires au SMSI sont disponibles Ressources pour établir, appliquer, tenir à jour et améliorer le SMSI. Cf. paragraphe 4.4
13 5.1 d Communiquer sur l'importance d'un SMSI efficace Et se conformer aux exigences de la norme ISO 27001
14 5.1 e S'assurer que le SMSI atteint les résultats attendus Engagement, réactivité et soutien actif de la direction
15 5.1 f Orienter et soutenir les personnes Afin de contribuer à la performance du SMSI
16 5.1 g Promouvoir l'amélioration continue "Les employés d'abord, les clients ensuite. Vineet Nayar." Faire preuve de leadership. Cf. article 10
17 5.1 h Aider les personnes concernées à faire preuve de leadership Quand cela est nécessaire à leur domaine de responsabilité
 
5.2
Politique
 up
18 5.2 a Établir la politique de sécurité de l'information En tenant compte de la mission de l'organisation. Tenir la politique à jour. Cf. paragraphe 7.5.1
19 5.2 b Fournir un cadre pour l'établissement des objectifs de sécurité de l'information Cf. paragraphe 6.2
20 5.2 c S'engager à respecter les exigences applicables Concernant la sécurité de l'information
21 5.2 d S'engager à améliorer en continu le SMSI Cf. article 10
22 5.2 e Rendre disponible la politique de sécurité de l'information comme information documentée Cf. paragraphe 7.5.1
23 5.2 f Communiquer la politique de sécurité de l'information A tous les niveaux de l'organisation
24 5.2 g Tenir la politique de sécurité de l'information disponible aux parties intéressées Le cas échéant
 
5.3
Rôles, responsabilités et autorités
 
25 5.3 S'assurer que les responsabilité et autorités du SMSI sont attribuées  Et communiquées à tous les niveaux de l'entreprise. "La responsabilité ne peut pas être partagée. Robert Heinlein". Cf. paragraphe 7.5.1
26 5.3 a S'assurer que le SMSI respecte les exigences de la norme ISO 27001 Et qui en a la responsabilité et l'autorité à tous les niveaux de l'organisation. Ne pas oublier qu'en fin de compte la direction est entièrement responsable (cf. paragraphe 5.1)
27 5.3 b Présenter des rapports sur la performance du SMSI à la direction, de manière régulière En attribuant la responsabilité et l'autorité nominativement, cf. paragraphe 7.5.1
6
Planification
Planifier (Plan
 
6.1
Actions face aux risques
up
 
6.1.1
Généralités
 
28 6.1.1 a Déterminer les risques et opportunités Afin de s'assurer que le SMSI peut atteindre les résultats prévus. Cf. le paragraphe 4.1 pour les enjeux et le paragraphe 4.2 pour les exigences. Un état des lieux est toujours utile avant la planification. "Toute décision comporte un risque. Peter Barge"
29 6.1.1 b Déterminer les risques et opportunités Afin d'anticiper ou de réduire les effets indésirables
30  6.1.1 c Déterminer les risques et opportunités Afin de s'inscrire dans la démarche d'amélioration continue, cf. article 10
31 6.1.1 d Planifier les actions pour traiter ces risques et opportunités Cf. paragraphe 6.1.3
32 6.1.1 e 1 Planifier la manière d'intégrer et de mettre en place les actions nécessaires Pour tous les processus du SMSI
33 6.1.1 e 2 Planifier la manière d'évaluer l'efficacité des actions entreprises Cf. paragraphe 6.1.3
 
6.1.2
Appréciation des risques
up
34 6.1.2 a 1 Appliquer le processus d'appréciation des risques de sécurité de l'information En établissant et tenant à jour les critères d'acceptation
35 6.1.2 a 2 Appliquer le processus d'appréciation des risques de sécurité de l'information En établissant et tenant à jour les critères de réalisation des appréciations
36 6.1.2 b Appliquer le processus d'appréciation des risques de sécurité de l'information En s'assurant que la répétition des appréciations des risques conduit à des résultats cohérents, valides et comparables
37 6.1.2 c 1 Appliquer le processus d'appréciation des risques de sécurité de l'information En identifiant les risques liés à la perte de confidentialité, d'intégrité et de disponibilité des informations
38 6.1.2 c 2 Appliquer le processus d'appréciation des risques de sécurité de l'information En identifiant les pilotes des risques
39 6.1.2 d 1 Appliquer le processus d'appréciation des risques de sécurité de l'information En analysant les risques et les conséquences potentielles des risques en 6.1.2 c 1 se concrétisant
40 6.1.2 d 2  Appliquer le processus d'appréciation des risques de sécurité de l'information En analysant les risques et évaluant la vraisemblance d'apparition des risques identifiés en 6.1.2 c 1
41 6.1.2 d 3 Appliquer le processus d'appréciation des risques de sécurité de l'information En analysant les risques et déterminant les niveaux des risques
42 6.1.2 e 1 Appliquer le processus d'appréciation des risques de sécurité de l'information En évaluant les risques et comparant les résultats d'analyse des risques avec les critères en 6.1.2 a
43 6.1.2 e 2 Appliquer le processus d'appréciation des risques de sécurité de l'information En évaluant les risques et priorisant les risques analysés
44 6.1.2 Conserver des informations documentées sur le processus d'appréciation des risques de sécurité de l'information Cf. paragraphe 7.5.1
 
6.1.3
Traitement des risques
up
45 6.1.3 a Appliquer le processus de traitement des risques de sécurité de l'information Afin de choisir les options de traitement des risques en tenant compte des résultats en 6.1.2
46 6.1.3 b Appliquer le processus de traitement des risques de sécurité de l'information Afin de déterminer les mesures nécessaires à entreprendre pour l'option choisie
47 6.1.3 c Appliquer le processus de traitement des risques de sécurité de l'information Afin de comparer les mesures déterminées en 6.1.3 b et celles de l'Annexe A de l'ISO 27001
48 6.1.3 d Appliquer le processus de traitement des risques de sécurité de l'information Afin de produire une déclaration d'applicabilité incluant les mesures nécessaires (cf. 6.1.3 b et c), la justification de leur insertion, leur mises en place (ou non), la justification de l'exclusion de mesures de  l'Annexe A de l'ISO 27001
49  6.1.3 e Appliquer le processus de traitement des risques de sécurité de l'information  Afin d'élaborer un plan de traitement des risques, cf. § 6.2
50  6.1.3 f Appliquer le processus de traitement des risques de sécurité de l'information  Afin d'obtenir des pilotes des risques la validation du plan de traitement des risques et l'acceptation des risques résiduels
51 6.1.3 Conserver des informations documentées sur le processus de traitement des risques de sécurité de l'information  Cf. paragraphe 7.5.1
 
6.2
Objectifs
up
52 6.2 Établir les objectifs de sécurité de l'information Pour toutes les fonctions et niveaux dans l'organisation
53 6.2 a Déterminer des objectifs de sécurité de l'information Cohérents avec la politique de sécurité de l'information de l'organisation
54 6.2 b Déterminer des objectifs de sécurité de l'information Mesurables, si possible
55 6.2 c Déterminer des objectifs de sécurité de l'information En tenant compte des exigences applicables à la sécurité de l'information, des résultats de l'appréciation et du traitement des risques
56 6.2 d Déterminer des objectifs de sécurité de l'information Et les communiquer, cf. § 7.4
57 6.2 e Déterminer des objectifs de sécurité de l'information Et les mettre à jour, si approprié
58 6.2 Conserver des informations documentées sur les objectifs Liés à la sécurité de l'information, y compris le plan d'atteinte des objectifs, cf. paragraphe 7.5.1
59 6.2 f Déterminer lors de la planification des objectifs de sécurité de l'information Ce qui sera fait
60 6.2 g Déterminer lors de la planification des objectifs de sécurité de l'information Les ressources nécessaires
61 6.2 h Déterminer lors de la planification des objectifs de sécurité de l'information Le responsable
62 6.2 i Déterminer lors de la planification des objectifs de sécurité de l'information Les échéances
63 6.2 j Déterminer lors de la planification des objectifs de sécurité de l'information Comment seront évalués les résultats
 7
Support
Dérouler (Do
 
7.1
Ressources
up
64
7.1
Identifier et fournir les ressources nécessaires Afin d'établir, appliquer, tenir à jour et améliorer le SMSI. Ressources fournies, cf. paragraphe 7.5.1
 
7.2
Compétence
 
65  7.2 a Déterminer les compétences nécessaires des personnes concernées Les personnes concernées peuvent affecter les performances de la sécurité de l'information
66 7.2 b S'assurer que ces personnes sont compétentes Sur la base d'une formation initiale et professionnelle et de l'expérience
67 7.2 c Mener des actions pour acquérir et tenir à jour les compétences nécessaires Et évaluer l'efficacité de ces actions. Les actions incluent la formation, mais aussi l'encadrement, la réaffectation et le recrutement de personnes compétentes
68 7.2 d Conserver des informations documentées sur les compétences Cf. paragraphe 7.5.1 comme le plan de développement des compétences
 
7.3
Sensibilisation
 
69
7.3 a
Sensibiliser le personnel à la politique et objectifs de sécurité de l'information Cf. paragraphes 5.2 et 6.2. Plan d'augmentation de la sensibilité, cf. paragraphe 7.5.1
70 7.3 b Sensibiliser le personnel à l'importance de leur contribution à l'efficacité du SMSI Et des effets bénéfiques de la performance améliorée du SMSI
71 7.3 c Sensibiliser le personnel aux répercussions et aux conséquences du non-respect des exigences du SMSI Ne pas oublier les conséquences potentielles sur toutes les activités professionnelles
 
7.4
Communication
up
72 7.4 a Déterminer les besoins de communication interne et externe Y compris sur quels sujets, plan d'amélioration de la communication, cf. paragraphe 7.5.1
73 7.4 b Déterminer les besoins de communication interne et externe Y compris quand
74 7.4 c Déterminer les besoins de communication interne et externe Y compris avec qui
75 7.4 d Déterminer les besoins de communication interne et externe Y compris qui doit communiquer
76 7.4 e Déterminer les besoins de communication interne et externe Y compris les processus de communication
 
7.5
Informations documentées
 
7.5.1
Généralités
 up
77 7.5.1 a Inclure dans le SMSI les informations documentées exigées par l'ISO 27001

Manuel de sécurité de l'information (§ 4.4)

Informations documentées à maintenir (procédures) :procédure

Politiques :politique

Informations documentées à conserver (enregistrements) :enregistrement

  • enjeux externes et internes de l'organisation (§ 4.1)
  • liste des parties intéressées (§ 4.2)
  • descriptions de fonction (§ 5.3)
  • critères d'acceptation des risques (§ 6.1.2)
  • critères de réalisation d'appréciations des risques (§ 6.1.2)
  • processus d'appréciation des risques (§ 6.1.2)
  • déclaration d'applicabilité (§ 6.1.3)
  • plan de traitement des risques (§ 6.1.3)
  • plan d'atteinte des objectifs (§ 6.2)
  • ressources fournies (§ 7.1)
  • plan de développement des compétences (§ 7.2)
  • plan d'augmentation de la sensibilité (§ 7.3)
  • plan d'amélioration de la communication (§ 7.4)
  • liste des informations documentées (§ 7.5.3)
  • informations documentées d'origine externe (§ 7.5.3)
  • codification des documents (§ 7.5.3)
  • suivi des processus (§ 8.1)
  • plan de gestion des changements (§ 8.1)
  • résultats d'appréciation des risques (§ 8.2)
  • résultats du traitement des risques (§ 8.3)
  • résultats des surveillances et des mesures (§ 9.1)
  • programme d'audit (§ 9.2)
  • rapport d'audit (§ 9.2)
  • conclusions de la revue de direction (§ 9.3)
  • nature des non-conformités (§ 10.1)
  • résultats des actions correctives (§ 10.1)
  • plan d'amélioration du SMSI (§ 10.2)
  • fonctions et responsabilités (A.6.1.1)
  • notification des autorités (A.6.1.3)
  • sécurité des appareils mobiles (A.6.2.1)
  • sécurité pour le télétravail (A.6.2.2)
  • termes et conditions d'embauche (A.7.1.1)
  • engagement des règles sécurité (A.7.2.1)
  • attestation de présence (A.7.2.2)
  • évaluation de formation (A.7.2.2)
  • règles disciplinaires (A.7.2.3)
  • règles de rupture de contrat (A.7.3.1)
  • inventaire des actifs (A.8.1.1)
  • règles d'utilisation des actifs (A.8.1.3)
  • plan de classification (A.8.2.1)
  • inventaire des rebuts (A.8.3.2, A.11.2.7)
  • protection des supports lors du transport (A.8.3.3)
  • enregistrement et désinscription (A.9.2.1)
  • distribution des accès  (A.9.2.2)
  • engagement d'utilisateur (A.9.2.4 ; A.13.2.4)
  • revue des droits d'accès (A.9.2.5)
  • mots de passe (A.9.4.3)
  • autorisations privilégiées (A.9.4.4)
  • gestion des clés cryptographiques (A.10.1.2)
  • périmètre de sécurité (A.11.1.1)
  • accès visiteurs (A.11.1.2)
  • protection des matériels (A.11.2.1)
  • sécurité du câblage (A.11.2.3)
  • maintenance des matériels (A.11.2.4)
  • sortie des actifs (A.11.2.5)
  • demande de changement (A.12.1.2)
  • protection contre les logiciels malveillants (A.12.2.1)
  • sauvegarde des informations (A.12.3.1)
  • journaux des événements (A.12.4.1)
  • vulnérabilités techniques (A.12.6.1)
  • protection des réseaux (A.13.1.1)
  • demande de changement système (A.14.2.2)
  • principes d'ingénierie (A.14.2.5)
  • sécurité de l'information avec les fournisseurs (A.15.1.1)
  • accord fournisseur (A.15.1.2)
  • performance fournisseur (A.15.2.1)
  • changements des services des fournisseurs (A.15.2.2)
  • registre des incidents (A.16.1.1)
  • liste de preuves (A.16.1.7)
  • plan de continuité d'activité (A.17.1.2)
  • liste des exigences (A.18.1.1)
  • rapport d'action corrective (A.18.2.2)
78 7.5.1 b Inclure les informations documentées jugées nécessaires à l'efficacité du SMSI

Ces informations documentées sont spécifiques par rapport à la taille de l'organisation, au domaine d'activité, à la complexité des processus et leurs interactions à la compétence du personnel

 
7.5.2
Création et mise à jour
up
79 7.5.2 a Identifier et décrire les informations documentées de façon appropriée Lors de leur création et mise à jour. Comme titre, auteur, date, codification
80 7.5.2 b S'assurer que le format et le support des informations documentées sont appropriés Exemples de formats : langue, version du logiciel et des graphiques. Exemples de supports : papier, électronique
81 7.5.2 c Passer en revue et valider les informations documentées de façon appropriée Afin de déterminer leur pertinence et'adéquation
 
7.5.3
Maîtrise des informations documentées
 
82 7.5.3 a Maîtriser les informations documentées pour qu'elles soient disponibles et conviennent à l'utilisation Quand nécessaire et à l'endroit voulu. Selon les exigences du SMSI et de la norme ISO 27001
83 7.5.3 b Maîtriser les informations documentées pour qu'elles soient convenablement protégées Comme perte de confidentialité, utilisation inappropriée ou perte d'intégrité
84 7.5.3 c Appliquer des activités de distribution, d'accès, de récupération et d'utilisation Afin de maîtriser les informations documentées
85 7.5.3 d Appliquer des activités de stockage et de protection Y compris la préservation de lisibilité
86 7.5.3 e Appliquer des activités de maîtrise des modifications Comme la maîtrise des versions
87 7.5.3 f Appliquer des activités de conservation et d'élimination En déterminant pour chaque information documentée la durée de conservation et la manière d'élimination
88 7.5.3 Identifier et maîtriser les informations documentées d'origine externe Liste des informations documentées jugées nécessaires à la planification et au fonctionnement du SMSI, y compris celles d'origine externe. Cf. paragraphe 7.5.1
8
Réalisation
Dérouler (Do
 
8.1 
Planification et maîtrise
up
89
8.1 Planifier, appliquer, maîtriser et tenir à jour des processus nécessaires pour respecter les exigences du SMSI  En établissant des critères pour ces processus et en réalisant des actions déterminées dans le paragraphe 6.1
90 8.1 Appliquer des plans pour atteindre les objectifs de sécurité de l'information En maîtrisant ces processus conformément au paragraphe 6.2
91 8.1 Conserver des informations documentées sur les processus nécessaires Afin de s'assurer que les processus sont réalisés comme prévu. Cf. paragraphe 7.5.1
92 8.1 Maîtriser les modifications prévues et analyser les modifications imprévues En menant des actions pour limiter tout impact négatif. Cf. paragraphe 7.5.1
93 8.1 S'assurer que les processus externalisés sont identifiés Et maîtrisés
 
8.2
Appréciation des risques
 
94 8.2 Apprécier les risques de sécurité de l'information régulièrement En tenant compte des critères établis en 6.1.2 a
95 8.2 Conserver des informations documentées sur les résultats de l'appréciation des risques Cf. paragraphe 7.5.1
 
8.3
Traitement des risques
 
96 8.3 Appliquer le plan des traitement des risques Conformément au paragraphe 6.2
97 8.3 Conserver des informations documentées sur les résultats de traitement des risques Cf. paragraphe 7.5.1
 
9
Performance
Comparer (Check
 
9.1
Inspection
up
98 9.1 Évaluer les performances de sécurité de l'information Et l'efficacité du SMSI
99 9.1 a Déterminer ce qu'il est nécessaire d'inspecter (surveiller et mesurer) Y compris les processus et les mesures de sécurité de l'information
100 9.1 b Déterminer les méthodes d'inspection Y compris l'analyse et l'évaluation afin d'assurer la validité des résultats. Tout résultat valable est comparable et reproductible
101 9.1 c Déterminer le moment d'inspection Les points où la surveillance et la mesure sont réalisées
102 9.1 d Déterminer qui effectue l'inspection La personne responsable de l'inspection
103 9.1 e Déterminer le moment d'analyse des résultats de l'inspection Et le moment d'évaluation de ces résultats
104 9.1 f Déterminer qui analyse les résultats Et la personne responsable de l'évaluation des résultats
105 9.1 Conserver des informations documentées sur les résultats de l'inspection Cf. paragraphe 7.5.1
 
9.2 
Audit interne 
up
106 9.2 a 1 Réaliser des audits internes à des intervalles planifiés pour fournir des informations permettant de déterminer si le SMSI respecte les exigences de l'organisation Y compris à la politique et les objectifs, cf. paragraphes 5.2 et 6.2
107 9.2 a 2 Réaliser des audits internes à des intervalles planifiés pour fournir des informations permettant de déterminer si le SMSI respecte les exigences de la norme ISO 27001 Exigences dans les articles 4 à 10 de la norme
108 9.2 b  Réaliser des audits internes à des intervalles planifiés afin de fournir des informations permettant de déterminer si le SMSI est appliqué effectivement Cf. la revue de direction, paragraphe 9.3
109 9.2 c Planifier, établir, appliquer et tenir à jour le programme d'audit Incluant la fréquence, les méthodes, les responsabilités, les exigences de planification et de rapport. Suivre les recommandation de l'ISO 19011
110 9.2 c Tenir compte dans le programme d'audit de l'importance des processus Et des résultats des audits précédents
111 9.2 d Définir les critères d'audit Et le périmètre de chaque audit. Suivre les recommandation de l'ISO 19011
112 9.2 e Sélectionner les auditeurs Afin de réaliser des audits objectifs et impartiaux. Suivre les recommandation de l'ISO 19011
113 9.2 f Rendre compte des résultats des audits A la direction concernée
114 9.2 g Conserver les informations documentées sur l'application du programme d'audit Et les résultats d'audit, cf. paragraphe 7.5.1
 
9.3
Revue de direction
up
115 9.3 Passer en revue le SMSI à des intervalles planifiés Afin de s'assurer que le SMSI est toujours approprié, adéquat et efficace. "Aucun système n'est parfait"
116 9.3 a Prendre en considération l'avancement des actions décidées au cours de la revue de direction précédente Utiliser le dernier rapport de revue de direction
117 9.3 b Prendre en considération les modifications des enjeux pertinents pour le SMSI Comme les besoins et attentes des parties intéressées, cf. paragraphe 4.2
118 9.3 c 1 Prendre en considération les retours sur les performances de sécurité de l'information Y compris les non-conformités et les actions correctives, cf. paragraphe 10.1
119 9.3 c 2 Prendre en considération les résultats de l'évaluation de l'inspection Cf. paragraphe 9.1
120 9.3 c 3 Prendre en considération les résultats d'audit Cf. paragraphe 9.2
121 9.3 c 4 Prendre en considération les informations sur la réalisation des objectifs Et l'atteinte des objectifs, cf. paragraphe 6.2 
122 9.3 d Prendre en considération les retours d'information des parties intéressées Cf. paragraphe 4.2
123 9.3 e Prendre en considération les résultats de l'appréciation des risques Et l'avancement du plan de traitement des risques, cf. paragraphe 6.1
124 9.3 f Prendre en considération les opportunités d'amélioration continue Cf. paragraphe 10.2
125 9.3 Inclure dans les conclusions de la revue de direction les décisions d'opportunités d'amélioration Et les éventuels changement du SMSI
126 9.3 Conserver des informations documentées sur les conclusions de la revue de direction Cf. paragraphe 7.5.1
10
Amélioration
Agir (Act
 
10.1
Non-conformité et actions correctives
up
127 10.1 a 1 Réagir rapidement lorsqu'une non-conformité apparaît  Afin de pouvoir maîtriser et corriger 
128 10.1 a 2 Réagir rapidement lorsqu'une non-conformité apparaît  Afin de faire face aux conséquences
129 10.1 b 1 Évaluer la nécessité de mener une action corrective en examinant la non-conformité L'action corrective permet d'éliminer les causes premières pour que cela ne se reproduise pas
130 10.1 b 2 Évaluer la nécessité de mener une action corrective en déterminant la cause première de non-conformité Ou les causes premières de non-conformité
131 10.1 b 3 Évaluer la nécessité de mener une action corrective en recherchant si des non-conformités similaires se sont produites Ou pourraient se produire
132 10.1 c Déterminer et appliquer toutes les actions nécessaires Y compris des actions correctives
133 10.1 d Passer en revue l'efficacité de toute action menée Y compris toute action corrective
134 10.1 e Modifier le SMSI Si cela est nécessaire
135 10.1 Mener des actions correctives appropriées aux conséquences réelles ou potentielles Par rapport aux non-conformités apparues
136 10.1 f Conserver les informations documentées sur la nature des non-conformités Et de toute action menée, cf. paragraphe 7.5.1
137 10.1 Conserver les informations documentées sur les résultats des actions correctives Cf. paragraphe 7.5.1
 
10.2
Amélioration continue
 
138 10.3 a Améliorer en continue la pertinence, l'adéquation et l'efficacité du SMSI En améliorant la performance globale, plan d'amélioration du SMSI, cf. paragraphe 7.5.1
 
 
Annexe A (normative)
 
Annexe A.5 Politiques de sécurité de l'information
up
139 A.5.1.1 Définir les politiques de sécurité de l'information Approuvés par la direction, diffusés et communiqués aux parties intéressées. Cf. paragraphe 7.5.1
140 A.5.1.2 Passer en revue les politiques de sécurité de l'information A des intervalles programmés afin de garantir leur pertinence, leur adéquation et leur effectivité
 
 
Annexe A.6 Organisation de la sécurité de l'information
up
141 A.6.1.1 Définir et attribuer toutes les responsabilités En relation de la sécurité de l'information. Cf. paragraphe 7.5.1
142 A.6.1.2 Cloisonner les tâches et les domaines de responsabilité incompatibles Afin de limiter les possibilités de modifications ou de mauvais usage des actifs de l'organisation
143 A.6.1.3 Entretenir des relations appropriées Avec les autorités compétentes, cf. paragraphe 7.5.1
144 A.6.1.4 Entretenir des relations appropriées Avec des groupes d'intérêt, des forums spécialisés et des associations
145 A.6.1.5 Considérer la sécurité de l'information dans la gestion de projet Pour tous les types de projets
146 A.6.2.1 Adopter une politique et des mesures de sécurité complémentaires Afin de gérer les risques d'utilisation d'appareils mobiles. Cf. paragraphe 7.5.1
147 A.6.2.2 Mettre en place une politique et des mesures de sécurité complémentaires Afin de protéger les informations sur les sites de télétravail. Cf. paragraphe 7.5.1
 
 
Annexe A.7 Sécurité du personnel
up
148 A.7.1.1 Effectuer des vérifications sur tous les candidats à l'embauche Conformément aux lois, aux règlements, à l'éthique et être proportionnées aux exigences métier, aux informations et risques identifiés. Cf. paragraphe 7.5.1
149 A.7.1.2 Préciser les responsabilités des accords entre salariés et sous-traitant En relation avec la sécurité de l'information
150 A.7.2.1 Demander de la part de la direction à tous les salariés et sous-traitant d'appliquer les règles de sécurité de l'information Conformément aux politiques et procédures en vigueur. Cf. paragraphe 7.5.1
151 A.7.2.2 Bénéficier d'une sensibilisation et de formations adaptées pour l'ensemble des salariés et des sous-traitants Et recevoir régulièrement les mises à jour des politiques et procédures. Cf. paragraphe 7.5.1
152 A.7.2.3 Appliquer un processus disciplinaire formel et connu de tous Afin de prendre des mesures à l'encontre de ceux qui ont enfreint les règles liées à la sécurité de l'information. Cf. paragraphe 7.5.1
153 A.7.3.1 Définir et appliquer les responsabilités et missions liées à la sécurité de l'information Qui restent valables à l'issue de la rupture, du terme ou de la modification du contrat de travail. Cf. paragraphe 7.5.1
 
 
Annexe A.8 Gestion des actifs
up
154 A.8.1.1 Identifier l’information et les autres actifs associés à l'information et aux moyens de traitement de l'information Dresser et tenir à jour un inventaire de ces actifs. Cf. paragraphe 7.5.1
155 A.8.1.2 Attribuer les actifs figurant à l'inventaire à un propriétaire Tout actif doit avoir son propriétaire
156 A.8.1.3 Identifier, documenter et appliquer les règles d'utilisation correcte de l'information, des actifs associés à l'information Y compris les moyens de traitement de l'information. Cf. paragraphe 7.5.1
157 A.8.1.4 Restituer la totalité des actifs de l'organisation au terme de la période d'emploi, du contrat ou de l'accord Cela concerne tous les salariés et utilisateurs tiers
158 A.8.2.1 Classifier les informations en termes d'exigences légales, de valeur, de caractère critique et de sensibilité Concernant une divulgation ou modification non autorisée. Cf. paragraphe 7.5.1
159 A.8.2.2 Élaborer et appliquer des procédures de marquage de l'information Conformément au plan de classification "maison". Cf. paragraphe 7.5.1
160 A.8.2.3 Élaborer et appliquer des procédures de traitement de l'information Conformément au plan de classification "maison". Cf. paragraphe 7.5.1
161 A.8.3.1 Appliquer des procédures de gestion des supports amovibles  Conformément au plan de classification "maison". Cf. paragraphe 7.5.1
162 A.8.3.2 Mettre au rebut les supports qui ne sont plus nécessaires de manière sécurisée En respectant des procédures formelles. Cf. paragraphe 7.5.1
163 A.8.3.3 Protéger les supports contenant des informations Contre les accès non autorisés, les erreurs d'utilisation et l'altération lors du transport. Cf. paragraphe 7.5.1
 
 
Annexe A.9 Contrôle d'accès
up
164 A.9.1.1 Établir, documenter et passer en revue une politique de contrôle d'accès Conformément aux exigences métier et la sécurité de l'information, cf. paragraphe 7.5.1
165 A.9.1.2 Doivent avoir uniquement accès les utilisateurs ayant reçus une autorisation spécifique  Concernant les réseaux et les services réseaux. Cf. paragraphe 7.5.1 
166 A.9.2.1 Appliquer un processus formel d'enregistrement et de désinscription des utilisateurs Afin de permettre l'attribution des droits d'accès. Cf. paragraphe 7.5.1
167 A.9.2.2 Appliquer un processus formel de distribution des accès aux utilisateurs Afin d'attribuer et retirer des droits d'accès à tous types d'utilisateurs. Cf. paragraphe 7.5.1
168 A.9.2.3 Restreindre et contrôler l'allocation des droits d'accès à privilège Y compris leur utilisation
169 A.9.2.4 Réaliser l'attribution des informations secrètes d'authentification Dans le cadre d'un processus de gestion formel. Cf. paragraphe 7.5.1
170 A.9.2.5 Vérifier les droits d'accès des utilisateurs à intervalles réguliers De la part des propriétaires d'actifs. Cf. paragraphe 7.5.1
171 A.9.2.6 Supprimer les droits d'accès aux informations et aux moyens de traitement des informations des salariés et utilisateurs tiers à la fin de leur période d'emploi Ou adaptés en cas de modification soit du contrat soit de l'accord
172 A.9.3.1 Suivre, de la part des utilisateurs, les pratiques de l'organisation Concernant l'utilisation des informations secrètes d'authentification
173 A.9.4.1 Restreindre l'accès à l'information et aux fonctions d'application système Conformément à la politique de contrôle d'accès
174 A.9.4.2 Contrôler l'accès aux systèmes et aux applications par une procédure de connexion sécurisée Quand la politique de contrôle d'accès l'exige. Cf. paragraphe 7.5.1
175 A.9.4.3 Utiliser des systèmes qui gèrent les mots de passe interactifs Et garantir la qualité des mots de passe. Cf. paragraphe 7.5.1
176 A.9.4.4 Limiter et contrôler l'utilisation des programmes unitaires permettant de contourner les mesures de sécurité d'un système  Ou d'une application. Cf. paragraphe 7.5.1
177 A.9.4.5 Restreindre l'accès au code source des programmes Limiter et contrôler cet accès. Réservé au développement en interne
 
 
Annexe A.10 Cryptographie
up
178 A.10.1.1 Élaborer et appliquer une politique d'utilisation de mesures cryptographiques Afin de protéger l'information. Cf. paragraphe 7.5.1
179 A.10.1.2 Élaborer et appliquer une politique sur l'utilisation, la protection et la durée de vie des clés cryptographiques Tout au long de leur cycle de vie. Cf. paragraphe 7.5.1
 
 
Annexe A.11 Sécurité physique et environnementale
up
180 A.11.1.1 Définir et utiliser des périmètres de sécurité physique Afin de protéger les zones sécurisées concernant l'information sensible ou critique et les moyens de traitement de l'information. Cf. paragraphe 7.5.1
181 A.11.1.2 Protéger les zones sécurisées par des contrôles adéquats à l'entrée Afin d'assurer que seul le personnel autorisé est admis. Cf. paragraphe 7.5.1
182 A.11.1.3 Concevoir et appliquer des mesures de sécurité physique Aux bureaux, aux salles et aux équipements
183 A.11.1.4 Concevoir et appliquer des mesures de sécurité physique Contre les désastres naturels, les attaques malveillantes ou des accidents. Cf. paragraphe 7.5.1
184 A.11.1.5 Concevoir et appliquer des procédures pour les travail Dans les zones sécurisées. Cf. paragraphe 7.5.1
185 A.11.1.6 Contrôler et, si possible, isoler les points d'accès tels que les zones de livraison, de chargement et autres points sensibles des moyens de traitement de l'information Afin d'éviter les accès non autorisés. Cf. paragraphe 7.5.1
186 A.11.2.1 Localiser et protéger les matériels Afin de réduire les risques liés à des menaces et des dangers environnementaux et les accès non autorisés. Cf. paragraphe 7.5.1
187 A.11.2.2 Protéger les matériels des coupures de courant et autres perturbations Liées à des défaillances des services généraux
188 A.11.2.3 Protéger les câbles électriques ou de télécommunication transportant des données ou supportant les services d'information Contre toute interception ou dommage. Cf. paragraphe 7.5.1
189 A.11.2.4 Entretenir correctement les matériels Afin de garantir leur disponibilité permanente et leur intégrité. Cf. paragraphe 7.5.1
190 A.11.2.5 Empêcher toute sortie d'actifs des locaux Sans autorisation préalable. Cf. paragraphe 7.5.1
191 A.11.2.6 Appliquer des mesures de sécurité pour les matériels utilisés hors des locaux de l'organisation En tenant compte des risques spécifiques hors site
192 A.11.2.7 Vérifier tous les composants des matériels contenant des supports de stockage avant leur mise au rebut ou leur réutilisation Afin de s'assurer que toute donnée sensible a été supprimée et que tout logiciel sous licence a été désinstallé ou écrasé de façon sécurisée. Cf. paragraphe 7.5.1
193 A.11.2.8 S'assurer, de la part des utilisateurs, que les matériels non surveillés sont dotés d'une protection appropriée Concerne tout matériel laissé sans surveillance
194 A.11.2.9 Adopter une politique du bureau propre  Et d'écrans verrouillés. Cf. paragraphe 7.5.1
 
 
Annexe A.12 Sécurité opérationnelle
up
195 A.12.1.1 Documenter les procédures opérationnelles Et les mettre à disposition de tous les utilisateurs concernés, cf. paragraphe 7.5.1
196 A.12.1.2 Maîtriser les changements à l'organisation, aux processus métier, aux systèmes et moyens de traitement de l'information Changements ayant une incidence sur la sécurité de l'information. Cf. paragraphe 7.5.1
197 A.12.1.3 Surveiller et ajuster l'utilisation des ressources et effectuer des projections sur les dimensionnements futurs Afin de garantir les performances exigées du SMSI
198 A.12.1.4 Séparer les environnements de développement, de test et opérationnels Afin de réduire les risques d'accès ou de changements on autorisés
199 A.12.2.1 Appliquer des mesures de détection, de prévention et de récupération avec une sensibilisation des utilisateurs adaptée Afin de se protéger contre les logiciels malveillants. Cf. paragraphe 7.5.1
200 A.12.3.1 Réaliser et tester régulièrement des copies de sauvegarde de l'information, des logiciels et des images systèmes Conformément à la politique de sauvegarde établie. Cf. paragraphe 7.5.1
201 A.12.4.1 Créer, tenir à jour et vérifier régulièrement les enregistrements de connexion des activités de l'utilisateur, les exceptions, les défaillances et événements En relation avec la sécurité de l'information. Cf. paragraphe 7.5.1
202 A.12.4.2 Protéger les moyens d'enregistrement de connexion  Contre les risques de falsification ou d'accès non autorisé
203 A.12.4.3 Connecter, protéger et passer en revue régulièrement les activités de l'administrateur système Et de l'opérateur système
204 A.12.4.4 Synchroniser les horloges de l'ensemble des systèmes de traitement de l'information ou d'un domaine de sécurité Sur une source de référence temporelle unique
205 A.12.5.1 Appliquer des procédures d'installation de logiciels Afin de maîtriser l'installation sur des systèmes opérationnels. Cf. paragraphe 7.5.1
206 A.12.6.1 Obtenir en temps opportun des informations sur les vulnérabilités techniques des systèmes d'information opérationnels, évaluer l'exposition à ces vulnérabilités et prendre les mesures appropriées Afin de traiter le risque associé. Cf. paragraphe 7.5.1
207 A.12.6.2 Établir et appliquer des règles régissant l'installation de logiciels Concernant les utilisateurs. Cf. paragraphe 7.5.1
208 A.12.7.1 Prévoir avec soin et valider les exigences et activités d'audit de vérification des systèmes opérationnels Afin de réduire au minimum les impacts sur les processus métier
 
 
Annexe A.13 Sécurité des communications
up
209 A.13.1.1 Gérer et contrôler les réseaux Afin de protéger l'information des systèmes et applications. Cf. paragraphe 7.5.1
210 A.13.1.2 Identifier et intégrer les services de réseau, les mécanismes de sécurité, les niveaux de service et les exigences de gestion dans les accords de services de réseau Services fournis en interne ou externalisés
211 A.13.1.3 Cloisonner sur les réseaux les groupes de service d'information, d'utilisateurs Et de systèmes d'information
212 A.13.2.1 Mettre en place des politiques, des procédures et des mesures de transfert formelles  Afin de protéger les transferts d'information transitant par tout type d'équipements. Cf. paragraphe 7.5.1
213 A.13.2.2 Traiter dans des accords le transfert sécurisé de l'information Entre l'organisation et les tiers
214 A.13.2.3 Protéger l'information transitant par la messagerie électronique De manière appropriée
215 A.13.2.4 Identifier, vérifier régulièrement et documenter les exigences en matière d'engagements de confidentialité ou de non-divulgation Conformément aux besoins de l'organisation. Cf. paragraphe 7.5.3
 
 
Annexe A.14 Maîtrise des systèmes d'information
up
216 A.14.1.1 Intégrer les exigences de sécurité de l'information aux exigences des nouveaux systèmes d'information Ou lors d'améliorations des systèmes d'information existants
217 A.14.1.2 Protéger les informations liées aux services d'application transmises sur les réseaux publics Contre les activités frauduleuses, les différents contractuels, la divulgation et la modification non autorisées
218 A.14.1.3 Protéger les informations impliquées dans les transactions liées aux services d'application Afin d'empêcher une transmission incomplète, des erreurs d'acheminement, la modification et la divulgation et la duplication non autorisées du message ou sa réémission
219 A.14.2.1 Établir et appliquer des règles de développement des logiciels et des systèmes Aux développements de l'organisation
220 A.14.2.2 Maîtriser les changements des systèmes dans le cadre du cycle de développement Au moyen de procédures formelles. Cf. paragraphe 7.5.1. Réservé au développement en interne
221 A.14.2.3 Vérifier et tester les applications critiques métier lorsque des changements sont apportés aux plateformes opérationnelles Afin de vérifier l'absence d'effets indésirables sur l'activité et la sécurité
222 A.14.2.4 Ne pas encourager les modifications des progiciels, limiter aux changements nécessaires Et maîtriser strictement tout changement
223 A.14.2.5 Établir, documenter, tenir à jour et appliquer les principes d'ingénierie de la sécurité des systèmes Concernant tous les travaux de mise en place des systèmes d'information, cf. paragraphe 7.5.1
224 A.14.2.6 Établir des environnements de développement sécurisés pour les tâches de développement et d'intégration du système et en assurer la protection appropriée En relation avec l'intégralité du cycle de vie du développement du système. Réservé au développement en interne
225 A.14.2.7 Superviser l'activité de développement du système externalisé Et le surveiller
226 A.14.2.8 Réaliser des tests de fonctionnalité de la sécurité Pendant le développement du système. Réservé au développement en interne
227 A.14.2.9 Déterminer des programmes de test de conformité et des critères associés pour les nouveaux systèmes d'information Y compris les mises à jour et les nouvelles versions
228 A.14.3.1 Sélectionner avec soin les données de test Aussi les protéger et les maîtriser
 
 
Annexe A.15 Relations avec les fournisseurs
up
229 A.15.1.1 Faire accepter et documenter par le fournisseur les exigences de sécurité de l'information Afin de limiter les risques résultant de l'accès des fournisseurs aux actifs de l'organisation, cf. paragraphe 7.5.1
230 A.15.1.2 Établir et convenir avec chaque fournisseur les exigences applicables de la sécurité de l'information  Concernant les fournisseurs qui peuvent accéder, traiter, stocker, communiquer ou fournir des composants de l'infrastructure informatique. Cf. paragraphe 7.5.1
231 A.15.1.3 Inclure dans les accords conclus avec le fournisseur des exigences sur le traitement des risques de sécurité de l'information En relation avec la chaîne d'approvisionnement des produits et services informatiques
232 A.15.2.1 Surveiller, vérifier et auditer à intervalles réguliers la prestation des services Procurés par les fournisseurs. Cf. paragraphe 7.5.1
233 A.15.2.2 Gérer les changements des prestations des fournisseurs en tenant compte du caractère critique de l'information, des systèmes et des processus concernés et des risques Prestations comprenant le maintien et l'amélioration des politiques, procédures et mesures de sécurité de l'information. Cf. paragraphe 7.5.1
 
 
Annexe A.16 Gestion des incidents liés à la sécurité de l'information
up
234 A.16.1.1 Établir, en cas d'incident de la sécurité de l'information, des responsabilités et des procédures Afin de garantir une réponse rapide, efficace et pertinente. Cf. paragraphe 7.5.1
235 A.16.1.2 Signaler les événements liés à la sécurité de l'information dans les meilleurs délais Ceci par des voies hiérarchiques appropriées
236 A.16.1.3 Noter et signaler toute faille de sécurité observée ou soupçonnée par les salariés et les sous-traitants  Utilisant les systèmes et services d'information de l'organisation
237 A.16.1.4 Apprécier les événements de la sécurité de l'information Et décider s'il faut les classer comme incident de la sécurité de l'information
238 A.16.1.5 Traiter les incident de la sécurité de l'information conformément aux procédures documentées Cf. paragraphe 7.5.1
239 A.16.1.6 Utiliser les connaissances recueillies suite à l'analyse et la résolution d'incidents Afin de réduire la probabilité ou l'impact d'incidents ultérieurs
240 A.16.1.7 Définir et appliquer des procédures d'identification, de collecte, d'acquisition et de protection de l'information  Pouvant servir de preuve. Liste de preuves, cf. paragraphe 7.5.1
 
 
Annexe A.17 Gestion de la continuité de l'activité
up
241 A.17.1.1 Déterminer ses exigences de la sécurité de l'information et de continuité de management de la sécurité de l'information Dans des situations défavorables (crise ou sinistre)
242 A.17.1.2 Établir, documenter, mettre en place et tenir à jour des processus, des procédures et des mesures Afin de fournir le niveau requis de continuité de sécurité de l'information au cours d'une situation défavorable, cf. paragraphe 7.5.1
243 A.17.1.3 Vérifier les mesures de continuité de sécurité de l'information mises en place à intervalles réguliers Afin d'assurer qu'elles sont valables et efficaces dans des situations défavorables
244 A.17.2.1 Mettre en place des moyens de traitement de l'information avec suffisamment de redondances Afin de répondre aux exigences de disponibilité
 
 
Annexe A.18 Conformité
up
245 A.18.1.1 Définir explicitement, documenter et mettre à jour toutes les exigences légales, statutaires, réglementaires et contractuelles pour chaque système d'information et pour l'organisation Ainsi que l'approche adoptée par l'organisation pour satisfaire à ces exigences. Liste des exigences, cf. paragraphe 7.5.1
246 A.18.1.2 Mettre en place des procédures appropriées pour garantir la conformité avec les exigences légales, réglementaires et contractuelles relatives à la propriété intellectuelle Et à l'usage des licences de logiciels propriétaires. Cf. paragraphe 7.5.1
247 A.18.1.3 Protéger les enregistrements de la perte, de la destruction, de la falsification, des accès et diffusions non autorisés Conformément aux exigences légales, réglementaires, contractuelles et aux exigences métier. 
248 A.18.1.4 Garantir la protection de la vie privée et des données à caractère personnel Conformément la législation ou les réglementations applicables, et les clauses contractuelles le cas échéant. 
249 A.18.1.5 Prendre des mesures cryptographiques Conformément aux accords, la législation et les réglementations applicables. Cf. annexe A.10
250 A.18.2.1 Effectuer des revues régulières et indépendantes de l'approche interne pour gérer et appliquer la sécurité de l'information  A intervalles définis ou suite à de changements importants. Cf. paragraphe 9.2
251 A.18.2.2 Vérifier régulièrement, de la part des responsables, la conformité du traitement de l'information et des procédures dont ils sont chargés Conformément aux politiques, normes de sécurité applicables et autres exigences de sécurité. Cf. paragraphe 7.5.1
252 A.18.2.3 Examiner régulièrement les systèmes d'information quant à leur conformité Avec les politiques et les normes de sécurité de l'information de l'organisation
 
 
 
up