Audit de La Sécurité Des Systèmes D'information PDF [PDF]

Zitiervorschau

Objectifs du séminaire
Présenter l’audit
Présenter les référentiels potentiels pour l’audit informatique
COBIT (Gouvernance IT)
ITIL (Gestion des services)
ISO27000 (Gestion de la sécurité de l’information)
Présenter l’Audit de la Sécurité des Systèmes d'Information selon l’ISO 27000

L’audit Le terme « Audit » vient du latin, du verbe audire qui signifie « écouter». L'ATH énonce ce qui suit : « l'audit est l'examen d'information en vue d'exprimer sur cette information une opinion responsable et indépendante par référence à un critère de qualité, cette opinion doit accroître l'utilité de l'information » ATH, Audit Financier, Edition CLET 1983, p18

L’audit Méthodologie

Référentiels potentiels pour l’audit informatique

COBIT (Gouvernance IT) Le référentiel COBIT est un cadre de référence et de contrôle fourni avec de nombreux outils (indicateurs, guides,…) pour les SI visant à déterminer « si les technologies de l’information sont en cohérence avec les objectifs […] et la stratégie de l’entreprise. » Guide informatique, Principe du COBIT, www.guideinformatique.com De par son utilisation, COBIT permet aux SI : • de s’aligner sur le métier de l’entreprise • d’apporter un plus aux métiers • de gérer au mieux ses ressources • de gérer les risques de façon efficace

Référentiels potentiels pour l’audit informatique

COBIT (Gouvernance IT) COBIT peut être analysé comme une succession d’étapes formant un cycle itératif et incrémental. Ces dernières sont : • La compréhension des objectifs métiers • Leur traduction en objectifs informatiques • La détermination des principaux processus • La mesure de leurs effets sur les objectifs précédemment définis

Référentiels potentiels pour l’audit informatique

ITIL (Gestion des services) ITIL à été mis en place dès 1988 par l’Organisation du commerce britannique (l’OGC). Le but premier était de rassembler des modes de pensées, de trouver les meilleurs procédés et de les rassembler dans des livres. Cette méthode se caractérise par l’utilisation d’un langage commun et d’une séparation des processus fondée sur le principe d’amélioration continue. L’objectif premier d’ITIL est de mettre sous contrôle la production au travers la mise en place de bonnes pratiques répertoriées dans plusieurs livres. Les deux tomes les plus utilisés sont le soutien et la fourniture des services informatiques.

Référentiels potentiels pour l’audit informatique

ITIL (Gestion des services) ITIL dans sa version 3 s’articule autour du catalogue de service et met l’accent sur le cycle de vie du service :  Service Strategy  Service Design  Service Transition  Service Operation  Amélioration continue des services.

Référentiels potentiels pour l’audit informatique ISO27000 (Gestion de la sécurité de l’information) Cette norme est très répandue sur le marché et contient les exigences concernant la mise en place un système de management de la sécurité de l’information au travers de 11 domaines.

ISO 27000 Processus d’implémentation et Certification Statement of Applicability Risk Treatment Plan

ISO 27000 Appréciation et traitement du risque (§ 4) La gestion des risques (accidents, erreurs, défaillances, malveillances) de sécurité consiste à protéger les biens de votre organisation contre les menaces pouvant subvenir. Objectif(s): Identifier et déterminer les risques qu'il faut maîtriser ou accepter en fonction des objectifs fixés par votre organisation. CONTROLES ISO 27000 4.1 Appréciation du risque lié à la sécurité 4.2 Traitement du risque lié à la sécurité

ISO 27000 Appréciation et traitement du risque (§ 4)

ISO 27000 Politique de Sécurité de l’Information (§ 5) La Politique de Sécurité de l’Information est composée d’un ensemble de documents constitués de directives Sécurité. Ces derniers sont définis sous la forme d’un ensemble de règles. Objectif(s): Protection du patrimoine informationnel de votre organisation.

CONTROLES ISO 27000 5.1.1 Document de politique de sécurité de l’information 5.1.2 Réexamen de la politique de sécurité de l’information

ISO 27000 Politique de Sécurité de l’Information (§ 5) Questionnaire  Est-ce qu’il existe un document qui traite de la sécurité des systèmes d’information ?  Est-ce que ce document:  a été approuvé par la direction ?  a été communiqué et approprié par tous les employés ?  est révisé régulièrement ?

ISO 27000 Organisation de la Sécurité de l’Information (§ 6) L'organisation de la sécurité de l'information consiste à : •définir un cadre de gestion; •préciser les rôles, responsabilités et qualifications des gestionnaires, utilisateurs, contractuels, fournisseurs de services et détenteurs des ressources informationnelles; •assurer la protection de vos ressources informationnelles; •mettre en place des mécanismes de sécurité pour assurer la sécurisation de l'accès des tiers aux informations et ressources de votre organisation. •Objectif(s): Clarifier les rôles et responsabilités des acteurs en sécurité de l'information.

ISO 27000 Organisation de la Sécurité de l’Information (§ 6) CONTROLES ISO 27000 6.1 Organisation interne 6.1.1 Engagement de la Direction vis-à-vis de la sécurité de l’information 6.1.2 Coordination de la sécurité de l’information 6.1.3 Attribution des responsabilités en matière de sécurité de l’information 6.1.4 Système d’autorisation concernant les moyens de traitement de l’information 6.1.5 Engagements de confidentialité 6.1.6 Relations avec les autorités 6.1.7 Relations avec des groupes de spécialistes 6.1.8 Revue indépendante de la sécurité de l’information

6.2 Tiers 6.2.1 Identification des risques provenant des tiers 6.2.2 La sécurité et les clients 6.2.3 La sécurité dans les accords conclus avec des tiers

ISO 27000 Organisation de la Sécurité de l’Information (§ 6) Questionnaire 6.1 Organisation interne Est-ce que les gestionnaires de l’organisation offrent un support actif à la sécurité de l’information (assignation de tâches, définir des responsabilités, etc.) ?  Est-ce que l’organisation a un comité impliquant un représentant, de tous les départements, responsable d’assurer la sécurité des informations ?  Est-ce que les responsabilités de la sécurité de l’information sont clairement définies ?  Est-ce qu’il y a une entente de confidentialité en rapport avec les besoins de l’organisation et est-elle régulièrement révisée ?  Est-ce que l’organisation collabore avec les différentes organisations ?  Est-ce que l’organisation est auditée de façon indépendante ?

6.2 Tiers Est-ce que les politiques de l’organisation sont respectées par les organisations externes mandatées des systèmes de l’information?

ISO 27000 Gestion des Biens (§ 7) Un inventaire de tous les biens, qu’ils soient physiques ou logiques, est établi et maintenu à jour, et il leur sera attribué un propriétaire. Le propriétaire est en charge de la mise en place de Standards de Sécurité et responsable de leur conformité. Objectif(s): - Classifier et évaluer les biens de l’organisme; - S’assurer que tous les biens ont un propriétaire responsable de leur protection.

ISO 27000 Gestion des Biens (§ 7) CONTROLES ISO 27000 7.1 Responsabilités relatives aux biens 7.1.1 Inventaire des biens 7.1.2 Propriété des biens 7.1.3 Utilisation correcte des biens

7.2 Classification des informations 7.2.1 Lignes directrices pour la classification 7.2.2 Marquage et manipulation de l’information

ISO 27000 Gestion des Biens (§ 7) Questionnaire 7.1 Responsabilités relatives aux biens  Existe-t-il un inventaire de tous les actifs importants ?  Est-il maintenu à jour ?  Existe-t-il des règles d’utilisation des ressources ?

7.2 Classification des informations  Est-ce que les composantes des systèmes d’information sont classifiées ?  Existe-t-il des procédures de traitement de l’information en fonction de la classification (création, diffusion, stockage, destruction, etc.) ?

ISO 27000 Sécurité liée aux Ressources Humaines (§ 8) L’organisation met en place les mesures et les contrôles appropriés pour s’assurer qu’elle n’emploie que des employés, contractants et consultants dont l’attitude et le profil sont compatibles avec l’importance que l’organisation attache à la sécurité de ses employés et de ses biens. La sensibilisation et la formations techniques nécessaires doivent être pourvus. Objectif(s): -Minimiser les risques d’erreurs humaines, de vol, de fraude ou d’utilisation inadéquate des installations; -Minimiser les dommages dus à des incidents liés à la Sécurité, contrôler et apprendre suite à de tels incidents.

ISO 27000 Sécurité liée aux Ressources Humaines (§ 8) CONTROLES ISO 27000 8.1 Avant le recrutement 8.1.1 Rôles et responsabilités 8.1.2 Sélection 8.1.3 Conditions d’embauche

8.2 Pendant la durée du contrat 8.2.1 Responsabilités de la direction 8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information 8.2.3 Processus disciplinaire

8.3 Fin ou modification de contrat 8.3.1 Responsabilités en fin de contrat 8.3.2 Restitution des biens 8.3.3 Retrait des droits d’accès

ISO 27000 Sécurité liée aux Ressources Humaines (§ 8) Questionnaire 8.1 Avant le recrutement Est-ce qu’il existe une entente de confidentialité et une entente de sécurité de l’information pour les employés ?

8.2 Pendant la durée du contrat  Est-ce que les politiques de sécurité de l’organisation sont enseignées aux employés de l’organisation afin de les encourager ?  Est-ce qu’il y a des sanctions en cas de violation des politiques de sécurité ?

8.3 Fin ou modification de contrat Est-ce que TOUS les droits d’accès sont retirés lorsqu’une ressource humaine quitte l’organisation ?

ISO 27000 Sécurité Physique et Environnementale (§ 9) L’organisation met en place les mesures et les contrôles environnementaux proportionnés à la valeur et la nature critique des biens auxquels ils s’appliquent. Objectif(s): -Prévenir tout accès ou interférence non autorisé aux services de l’organisation; -Prévenir la perte, le dommage /altération des biens ou l’interruption des affaire.

ISO 27000 Sécurité Physique et Environnementale (§ 9) CONTROLES ISO 27000 9.1 Zones sécurisées 9.1.1 Périmètre de sécurité physique 9.1.2 Contrôles physiques des accès 9.1.3 Sécurisation des bureaux, des salles et des équipements 9.1.4 Protection contre les menaces extérieures et environnementales 9.1.5 Travail dans les zones sécurisées 9.1.6 Zones d’accès public, de livraison et de chargement

9.2 Sécurité du matériel 9.2.1 Choix de l’emplacement et protection du matériel 9.2.2 Services généraux 9.2.3 Sécurité du câblage 9.2.4 Maintenance du matériel 9.2.5 Sécurité du matériel hors des locaux 9.2.6 Mise au rebut ou recyclage sécurisé(e) du matériel 9.2.7 Sortie d’un bien

ISO 27000 Sécurité Physique et Environnementale (§ 9) Questionnaire 9.1 Zones sécurisées  Est-ce que les systèmes de l’information sont isolés dans des lieux sécuritaires ?  Est-ce qu’il y a des mécanismes de contrôle d’accès pour se rendre physiquement aux systèmes de l’information ?  Est-ce qu’il y a des mécanismes prévus en cas d’incident (i.e.: feu, inondation, etc.) ?

9.2 Sécurité du matériel  Est-ce qu’il y a des mécanismes de protection face aux problèmes d’alimentation ?  Est-ce que les spécifications des fabricants sont respectées ?  Est-ce qu’il y a des procédures pour la destruction des équipements informatiques ?

ISO 27000 Gestion de l’exploitation et des télécommunications (§ 10) Des mécanismes de sécurité son mis en place sur les systèmes informatiques et le réseau en vue d’assurer la disponibilité, l’intégrité, la confidentialité, ainsi que la traçabilité des données. Objectif(s): -S’assurer du fonctionnement correct et en toute sécurité du système d’information et du réseau; -Minimiser le risque de panne du système.

ISO 27000 Gestion de l’exploitation et des télécommunications (§ 10) CONTROLES ISO 27000 (1/3) 10.1 Procédures et responsabilités liées à l’exploitation 10.1.1 Procédures d’exploitation documentées 10.1.2 Gestion des modifications 10.1.3 Séparation des tâches 10.1.4 Séparation des équipements de développement, de test et d’exploitation

10.2 Gestion de la prestation de service par un tiers 10.2.1 Prestation de service 10.2.2 Surveillance et réexamen des services tiers 10.2.3 Gestion des modifications dans les services tiers

10.3 Planification et acceptation du système 10.3.1 Dimensionnement 10.3.2 Acceptation du système

10.4 Protection contre les codes malveillant et mobile 10.4.1 Mesures contre les codes malveillants 10.4.2 Mesures contre le code mobile

ISO 27000 Gestion de l’exploitation et des télécommunications (§ 10) CONTROLES ISO 27000 (2/3) 10.5 Sauvegarde 10.5.1 Sauvegarde des informations

10.6 Gestion de la sécurité des réseaux 10.6.1 Mesures sur les réseaux 10.6.2 Sécurité des services réseau

10.7 Manipulation des supports 10.7.1 Gestion des supports amovibles 10.7.2 Mise au rebut des supports 10.7.3 Procédures de manipulation des informations 10.7.4 Sécurité de la documentation système

10.8 Échange des informations 10.8.1 Politiques et procédures d’échange des informations 10.8.2 Accords d’échange 10.8.3 Supports physiques en transit 10.8.4 Messagerie électronique 10.8.5 Systèmes d’information d’entreprise

ISO 27000 Gestion de l’exploitation et des télécommunications (§ 10) CONTROLES ISO 27000 (3/3) 10.9 Services de commerce électronique 10.9.1 Commerce électronique 10.9.2 Transactions en ligne 10.9.3 Informations à disposition du public

10.10 Surveillance 10.10.1 Rapport d’audit 10.10.2 Surveillance de l’exploitation du système 10.10.3 Protection des informations journalisées 10.10.4 Journal administrateur et journal des opérations 10.10.5 Rapports de défaut 10.10.6 Synchronisation des horloges

ISO 27000 Gestion de l’exploitation et des télécommunications (§ 10) Questionnaire (1/3) 10.1 Procédures et responsabilités liées à l’exploitation 

Existe-t-il des procédures sur les opérations ?  Sont-elles maintenues ?  Existe-t-il un contrôle sur la gestion du changement des logiciels utilisés ?  Est-ce qu’il y a une distinction entre les opérations de développement et de production ?  Existe-t-il une procédure de migration entre les environnements ?

10.2 Gestion de la prestation de service par un tiers Est-ce qu’il y a des mécanismes de contrôle du respect des exigences sécurité par les tiers?

10.3 Planification et acceptation du système Existe-t-il des critères d’acceptation pour les systèmes d’information lors de nouvelle installation et mise à jour ?

10.4 Protection contre les codes malveillant et mobile Existe-t-il des mécanismes pour combattre les « malware » ?

ISO 27000 Gestion de l’exploitation et des télécommunications (§ 10) Questionnaire (2/3) 10.5 Sauvegarde Existe-t-il des copies de sauvegarde des informations de l’organisation ? Sont-elles vérifiées ?

10.6 Gestion de la sécurité des réseaux Existe-t-il des contrôles pour l’établissement et le maintien de la sécurité des réseaux ?

10.7 Manipulation des supports Existe-t-il des procédures pour la gestion/destruction/conservation de médias de l’information (disquettes, cassettes, etc.) ?

10.8 Échange des informations

 Existe-t-il des mécanismes de protection pour l’échange d’information (protéger contre l’interception, modification, destruction et redirection) ?  Existe-t-il une politique sur l’utilisation sécurisée du courrier électronique ?

ISO 27000 Gestion de l’exploitation et des télécommunications (§ 10) Questionnaire (3/3) 10.9 Services de commerce électronique Existe-t-il une politique sur l’utilisation sécurisée du commerce électronique ?

10.10 Surveillance Est-ce que les fichiers journaux des systèmes d’information sont conservés? Est-ce qu’il y a des lectures/vérifications qui sont faites sur ces fichiers ?

ISO 27000 Contrôle d’accès (§ 11) L’organisation met en place des mesures strictes de contrôle d’accès aux systèmes et réseaux qu’elle opère. La détermination des droits d’accès sera de la responsabilité du propriétaire de l’information. Objectif(s): -Contrôler l’accès aux informations de l’organisation; -Prévenir tout accès non autorisé au système informatique; -Protéger les services en réseau; -Détecter les activités non autorisés.

ISO 27000 Contrôle d’accès (§ 11) CONTROLES ISO 27000 (1/3) 11.1 Exigences métier relatives au contrôle d’accès 11.1.1 Politique de contrôle d’accès

11.2 Gestion de l’accès utilisateur 11.2.1 Enregistrement des utilisateurs 11.2.2 Gestion des privilèges 11.2.3 Gestion du mot de passe utilisateur 11.2.4 Réexamen des droits d’accès utilisateurs

11.3 Responsabilités utilisateurs 11.3.1 Utilisation du mot de passe 11.3.2 Matériel utilisateur laissé sans surveillance 11.3.3 Politique du bureau propre et de l’écran vide

ISO 27000 Contrôle d’accès (§ 11) CONTROLES ISO 27000 (2/3) 11.4 Contrôle d’accès au réseau 11.4.1 Politique relative à l’utilisation des services en réseau 11.4.2 Authentification de l’utilisateur pour les connexions externes 11.4.3 Identification des matériels en réseau 11.4.4 Protection des ports de diagnostic et de configuration à distance 11.4.5 Cloisonnement des réseaux 11.4.6 Mesure relative à la connexion réseau 11.4.7 Contrôle du routage réseau

11.5 Contrôle d’accès au système d’exploitation 11.5.1 Ouverture de sessions sécurisées 11.5.2 Identification et authentification de l’utilisateur 11.5.3 Système de gestion des mots de passe 11.5.4 Emploi des utilitaires système 11.5.5 Déconnexion automatique des sessions inactives 11.5.6 Limitation du temps de connexion

ISO 27000 Contrôle d’accès (§ 11) CONTROLES ISO 27000 (3/3) 11.6 Contrôle d’accès aux applications et à l’information 11.6.1 Restriction d’accès à l’information 11.6.2 Isolement des systèmes sensibles

11.7 Informatique mobile et télétravail 11.7.1 Informatique mobile et télécommunications 11.7.2 Télétravail

ISO 27000 Contrôle d’accès (§ 11) Questionnaire (1/2) 11.1 Exigences métier relatives au contrôle d’accès L’accès à l’information est-il sujet à des restrictions en fonction de la politique et de la classification de l’organisation ?

11.2 Gestion de l’accès utilisateur Existe-t-il des procédures d’accès aux systèmes d’information ? La gestion des utilisateurs (création, retrait) La gestion des mots de passe La gestion des privilèges

11.3 Responsabilités utilisateurs Est-ce que les utilisateurs sont sensibilisés face à leurs responsabilités (mot de passe, utilisation du matériel) ?

ISO 27000 Contrôle d’accès (§ 11) Questionnaire (2/2) 11.4 Contrôle d’accès au réseau

 Existe-t-il des mécanismes d’authentification et de confidentialité pour l’accès aux réseaux (de l’intérieur comme de l’extérieur du LAN) ?  Est-ce que les systèmes d’information critiques sont isolés du réseau ?

11.5 Contrôle d’accès au système d’exploitation Est-ce que l’accès aux systèmes d’information se fait via une authentification sécuritaire ?

11.6 Contrôle d’accès aux applications et à l’information Est-ce que l’accès aux applications et aux informations se fait via une authentification sécuritaire ?

11.7 Informatique mobile et télétravail  Existe-t-il des politiques pour l’accès aux portables ?  Existe-t-il des politiques pour le télétravail ?

ISO 27000 Acquisition, Développement et Maintenance des Systèmes d’Information (§ 12) L’organisation évalue les risques liés aux nouveaux processus, systèmes d’information et réseaux, ainsi que les changements significatifs à ceux qui existent déjà. La sécurité fait partie du processus de développement et de maintenance. Objectif(s): -S’assurer que la sécurité est mise en place pour tous les systèmes; -Prévenir toute perte, modification ou utilisation des informations relatives aux utilisateurs à mauvais escient, dans les systèmes. -S’assurer que les projets et leurs activités de support sont menés de manière sécurisée; -Maintenir la sécurité des applications et de l’information.

ISO 27000 Acquisition, Développement et Maintenance des Systèmes d’Information (§ 12) CONTROLES ISO 27000 (1/2) 12.1 Exigences de sécurité applicables aux systèmes d’information 12.1.1 Analyse et spécification des exigences de sécurité

12.2 Bon fonctionnement des applications 12.2.1 Validation des données d’entrée 12.2.2 Mesure relative au traitement interne 12.2.3 Intégrité des messages 12.2.4 Validation des données de sortie

12.3 Mesures cryptographiques 12.3.1 Politique d’utilisation des mesures cryptographiques 12.3.2 Gestion des clés

12.4 Sécurité des fichiers système 12.4.1 Mesure relative aux logiciels en exploitation 12.4.2 Protection des données système d’essai 12.4.3 Contrôle d’accès au code source du programme

ISO 27000 Acquisition, Développement et Maintenance des Systèmes d’Information (§ 12) CONTROLES ISO 27000 (2/2) 12.5 Sécurité en matière de développement et d’assistance technique 12.5.1 Procédures de contrôle des modifications 12.5.2 Réexamen technique des applications après modification du système d’exploitation 12.5.3 Restrictions relatives à la modification des progiciels 12.5.4 Fuite d’informations 12.5.5 Externalisation du développement logiciel

12.6 Gestion des vulnérabilités techniques 12.6.1 Mesure relative aux vulnérabilités techniques

ISO 27000 Acquisition, Développement et Maintenance des Systèmes d’Information (§ 12) Questionnaire (1/2) 12.1 Exigences de sécurité applicables aux systèmes d’information Existe-t-il des exigences de sécurité et de contrôle, pour les nouveaux systèmes ou pour les mises à jour des systèmes existants ?

12.2 Bon fonctionnement des applications Est-ce que les données des applications (entrantes et sortantes) sont validées ?

12.3 Mesures cryptographiques Est-ce que l’on a recours aux techniques de cryptographie pour assurer la confidentialité, l’intégrité, l’authentification et la non répudiation dans l’utilisation des systèmes d’information ?

12.4 Sécurité des fichiers système Est-ce qu’il y a des mécanismes de protection et de contrôle sur les données de tests ?

ISO 27000 Acquisition, Développement et Maintenance des Systèmes d’Information (§ 12) Questionnaire (2/2) 12.5 Sécurité en matière de développement et d’assistance technique Existe-t-il des procédures de contrôle des modifications avant leur mise en œuvre?

12.6 Gestion des vulnérabilités techniques Est-ce que l’organisation fait de la gestion des vulnérabilités ?

ISO 27000 Gestion des Incidents liés à la Sécurité de l’Information (§ 13) L’organisation applique des contrôles et procédures de gestion des incidents. Une méthode formelle assure ainsi une résolution des dysfonctionnements de façon appropriée et dans des délais adéquats. Objectif(s): -Détection et identification des incidents, résolutions et enregistrement des dysfonctionnements; -Remontée d’alertes d’intervention; -Affectation et mise à jour des incidents; -Résolution et clôture des dysfonctionnements; -Rapports de traitement et gestion des incidents; -Résolution et clôture des dysfonctionnements; -Rapports de traitement et gestion des incidents; -Remontée des incidents.

ISO 27000 Gestion des Incidents liés à la Sécurité de l’Information (§ 13) CONTROLES ISO 27000 13.1 Signalement des événements et des failles liés à la sécurité de l’information 13.1.1 Signalement des événements liés à la sécurité de l’information 13.1.2 Signalement des failles de sécurité

13.2 Gestion des améliorations et incidents liés à la sécurité de l’information 13.2.1 Responsabilités et procédures 13.2.2 Exploitation des incidents liés à la sécurité de l’information déjà survenus 13.2.3 Collecte de preuves

ISO 27000 Gestion des Incidents liés à la Sécurité de l’Information (§ 13) Questionnaire 13.1 Signalement des événements et des failles liés à la sécurité de l’information  Est-ce que les incidents de sécurité sont signalés ?  Est-ce que les failles de sécurité sont signalées ?

13.2 Gestion des améliorations et incidents liés à la sécurité de l’information Est-ce que les incidents sont gérés ?

ISO 27000 Gestion du Plan de Continuité de l’Activité (§ 14) L’organisation établit et maintient à jour des Plans de Continuité d’Activité et de Secours. Ces Plans assurent le rétablissement au niveau de la disponibilité des procédures critiques, des systèmes d’information, des réseaux et des infrastructures. En cas de perturbation ou d’interruption, ces Plan organisent également la présence des personnes ayant les responsabilités, la connaissance et le pouvoir de décision requis. Objectif(s): -Avoir des plans prêts pour réagir à toute interruption des activités de l’organisation; -Assurer la continuité des processus critiques de l’organisation.

ISO 27000 Gestion du Plan de Continuité de l’Activité (§ 14) CONTROLES ISO 27000 14.1 Aspects de la sécurité de l’information en matière de gestion de la continuité de l’activité 14.1.1 Intégration de la sécurité de l’information dans le processus de PCA 14.1.2 Continuité de l’activité et appréciation du risque 14.1.3 Élaboration et mise en œuvre des PCA intégrant la sécurité de l'information 14.1.4 Cadre de la planification de la continuité de l’activité 14.1.5 Mise à l’essai, gestion et appréciation constante des plans de continuité de l’activité

ISO 27000 Gestion du Plan de Continuité de l’Activité (§ 14) Questionnaire 14.1 Aspects de la sécurité de l’information en matière de gestion de la continuité de l’activité  Existe-t-il un plan pour assurer la continuité des activités de l’organisation ?  Est-ce que ce plan est validé via la pratique ?

ISO 27000 Conformité (§ 15) L’organisation établit le cadre nécessaire pour s’assurer de sa conformité aux exigences légales, ainsi qu’aux exigences internes en matière de sécurité et de valeurs déontologiques et éthiques. Objectif(s): -Eviter d’enfreindre les obligations statuaires, pénales, civiles ou les exigences en matière de sécurité. -Assurer la conformité des systèmes aux Standards de Sécurité; -Permettre une intégration constructive avec les procédures d’audit.

ISO 27000 Conformité (§ 15) CONTROLES ISO 27000 15.1 Conformité avec les exigences légales 15.1.1 Identification de la législation en vigueur 15.1.2 Droits de propriété intellectuelle 15.1.3 Protection des enregistrements de l’organisme 15.1.4 Protection des données et confidentialité des informations relatives à la vie privée 15.1.5 Mesure préventive à l’égard du mauvais usage des moyens de traitement de l’information 15.1.6 Réglementation relative aux mesures cryptographiques

15.2 Conformité avec les politiques et normes de sécurité et conformité technique 15.2.1 Conformité avec les politiques et les normes de sécurité 15.2.2 Vérification de la conformité technique

15.3 Prises en compte de l’audit du système d’information 15.3.1 Contrôles de l’audit du système d’information 15.3.2 Protection des outils d’audit du système d’information

ISO 27000 Conformité (§ 15) Questionnaire 15.1 Conformité avec les exigences légales Est-ce que toutes les exigences réglementaires et contractuelles, dont relève chaque système d’information, sont explicitement définies ?

15.2 Conformité avec les politiques et normes de sécurité et conformité technique Est-ce que les directions s’assurent que toutes les procédures de sécurité sous leurs responsabilités sont en accord avec les politiques de sécurités de l’organisation ?

15.3 Prises en compte de l’audit du système d’information Est-ce qu’il y a des audits réguliers pour assurer le respect des politiques de sécurité ?