Exigences de La Norme Iso 27001 Version 2022 [PDF]

Zitiervorschau

EXIGENCES DE LA NORME ISO 27001 VERSION 2022 QUIZ

Le quiz "Exigences de l'ISO 27001 version 2022" vous aidera à assimiler les principales exigences de la norme. Les questions (exigences) de ce quiz sont 79, pas de panique. Les exigences de la norme sont 235 mais ces 79 exigences sont parmi les plus importantes, alors n'hésitez pas à apprendre de façon ludique ! Ne pensez pas que vous pouvez terminer ce quiz en moins d'une heure, voire deux heures, sauf bien sûr si vous êtes un petit génie !   Nouveautés sur la norme sécurité de l'information ISO 27001 version 2022   Les 235 exigences (doit, doivent, en anglais shall) des articles 4 à 10 et de l'annexe A de l'ISO 27001 sont réparties comme suit:

Exigences ISO 27001 version 2022  N°

Article

4 Contexte 5 Leadership 6 7 8 9 10  

Planification Support Réalisation Performance Amélioration Annexe A : A.5 Mesures organisationnelles A.6 Mesures liées aux personnes A.7 Mesures physiques

cycle PDCA

Exigences N° 1 ÷ 10 11 ÷ 28

Planifier (Plan) Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act) Planifier (Plan) 29 ÷ 67 Planifier, Dérouler (Plan, Do) 68 ÷ 91 Dérouler (Do) 92 ÷ 100 Comparer (Check) 101 ÷ 130 Agir (Act) 131 ÷ 142 Comparer (Check) 143 ÷ 235

Nombre 9 18 36 25 9 29 12 114

A.8 Mesures technologiques

235

Total

Les exigences dans les articles, paragraphes et annexes de la norme ISO 27001  

Le cycle PDCA de Deming   Remarque. Toute exigence normalement commence par "L'organisation doit ...". Pour simplifier nous présentons les exigences directement en commençant avec le verbe. 

ISO 27001 - Exigences et commentaires N° Paragraphe Exigence Cycle PDCA, liens, commentaires 4 Contexte Planifier (Plan)   4.1 L'entreprise et son contexte   1 4.1 Déterminer les enjeux externes et Comprendre tout ce qui peut influer sur la finalité (la mission) de l'entreprise internes (culture d'entreprise, innovation, orientation stratégique, compétition, marché, obligations, temps de travail, conditions de travail) et sa capacité à obtenir les résultats attendus du SMSI. Cf. paragraphe 6.1 et paragraphe 7.5.1   4.2 Parties intéressées  

2

4.2 a

3

4.2 b

4

4.2 c

5

 4.3 4.3

6

 4.3 a

7

 4.3 b

8

4.3 c

9

4.3

 

4.4 10

 4.4

  11

5 5.1 5.1 a

12

5.1 b

Déterminer les parties intéressées

Concernés par le SMSI, comme clients, lois, contrats et autres. Cf. paragraphe 7.5.1 Déterminer les exigences des parties Besoins et attentes relatives aux exigences et obligations sécurité de intéressées l'information Déterminer les exigences concernées Les exigences traitées par le SMSI par le SMSI Domaine d'application   Déterminer le domaine d'application Limites (administratives) et applicabilité du SMSI Prendre en considération les enjeux "Identifier les dangers c'est diminuer les risques". Cf. paragraphe 4.1 externes et internes Prendre en compte les exigences des Lors de modifications des processus, des exigences, des infrastructures. Cf. parties intéressées paragraphe 4.2 Prendre en compte les interfaces "Le risque zéro n'existe pas". L'interactivité des activités internes et celles professionnelles d'autres organisations Rendre disponible le domaine Conserver un enregistrement, cf. paragraphe 7.5.1 d'application comme information documentée Système de management de la   sécurité de l'information Établir, appliquer, tenir à jour et Y compris les processus nécessaires. "Si vous ne pouvez pas décrire ce que améliorer en continu le SMSI vous faites en tant que processus, vous ne savez pas ce que vous faites". Edwards Deming. Conformément aux exigences de l'ISO 27001. Manuel de sécurité de l'information, cf. paragraphe 7.5.1  Leadership Planifier, Dérouler, Comparer, Agir (Plan, Do, Check, Act)  Leadership et engagement S'assurer que la politique et les "Un escalier se balaie en commençant par le haut. Proverbe objectifs de sécurité de l'information roumain." S'assurer de la compatibilité avec l'orientation stratégique. La sont établis direction fait preuve de leadership. Affirmer l'engagement de la direction en faveur du SMSI S'assurer que les exigences du SMSI Faire preuve de leadership

13

5.1 c

14

5.1 d

15

5.1 e

16 17

5.1 f 5.1 g

18

5.1 h

  19

5.2 5.2 a

20

5.2 b

21

5.2 c

22

5.2 d

23

5.2 e

24

5.2 f

25

5.2 g

sont intégrés aux processus métier S'assurer que les ressources nécessaires au SMSI sont disponibles Communiquer sur l'importance d'un SMSI efficace S'assurer que le SMSI atteint les résultats attendus Orienter et soutenir le personnel Promouvoir l'amélioration continue Aider les personnes concernées à faire preuve de leadership Politique Établir la politique de sécurité de l'information Fournir un cadre pour l'établissement des objectifs de sécurité de l'information S'engager à respecter les exigences applicables S'engager à améliorer en continu le SMSI Rendre disponible la politique de sécurité de l'information comme information documentée Communiquer la politique de sécurité de l'information Tenir la politique de sécurité de l'information disponible aux parties intéressées

Ressources pour établir, appliquer, tenir à jour et améliorer le SMSI. Cf. paragraphe 4.4 Et se conformer aux exigences de la norme ISO 27001 Engagement, réactivité et soutien actif de la direction Afin qu'il contribue à la performance du SMSI "Les employés d'abord, les clients ensuite. Vineet Nayar." Faire preuve de leadership. Cf. article 10 Quand cela est nécessaire à leur domaine de responsabilité   En tenant compte de la mission de l'organisation. Tenir la politique à jour. Cf. paragraphe 7.5.1 Cf. paragraphe 6.2 Concernant la sécurité de l'information Cf. article 10 Cf. paragraphe 7.5.1 A tous les niveaux de l'organisation Le cas échéant

  26 27 28

    29

30 31 32 33 34   35

5.3 5.3

Rôles, responsabilités et autorités S'assurer que les responsabilité et autorités du SMSI sont attribuées  S'assurer que le SMSI respecte les exigences de la norme ISO 27001

  Et communiquées à tous les niveaux de l'entreprise. "La responsabilité ne peut pas être partagée. Robert Heinlein". Cf. paragraphe 7.5.1 5.3 a Et qui en a la responsabilité et l'autorité à tous les niveaux de l'organisation. Ne pas oublier qu'en fin de compte la direction est entièrement responsable (cf. paragraphe 5.1) 5.3 b Présenter des rapports sur la En attribuant la responsabilité et l'autorité nominativement, cf. performance du SMSI à la direction, paragraphe 7.5.1 de manière régulière 6 Planification Planifier, Dérouler (Plan, Do)  6.1 Actions face aux risques 6.1.1 Généralités   6.1.1 a Déterminer les risques et La gestion des risques est basée sur la norme ISO 31000 et la formation F opportunités 51. Afin de s'assurer que le SMSI peut atteindre les résultats prévus. Cf. le paragraphe 4.1 pour les enjeux et le paragraphe 4.2 pour les exigences. Un état des lieux est toujours utile avant la planification. "Toute décision comporte un risque. Peter Barge" 6.1.1 b Déterminer les risques et Afin d'anticiper ou de réduire les effets indésirables opportunités  6.1.1 c Déterminer les risques et Afin de s'inscrire dans la démarche d'amélioration continue, cf. article 10 opportunités 6.1.1 d Planifier les actions pour traiter ces Cf. paragraphe 6.1.3 risques et opportunités 6.1.1 e 1 Planifier la manière d'intégrer et de Pour tous les processus du SMSI mettre en place les actions nécessaires 6.1.1 e 2 Planifier la manière d'évaluer Cf. paragraphe 6.1.2 l'efficacité des actions entreprises 6.1.2 Appréciation des risques 6.1.2 a 1 Appliquer le processus En établissant et tenant à jour les critères d'acceptation d'appréciation des risques de sécurité de l'information

36 37 38 39 40 41 42 43 44 45

 

6.1.2 a 2 Appliquer le processus En établissant et tenant à jour les critères de réalisation des appréciations d'appréciation des risques de sécurité de l'information 6.1.2 b Appliquer le processus En s'assurant que la répétition des appréciations des risques conduit à des d'appréciation des risques de sécurité résultats cohérents, valides et comparables de l'information 6.1.2 c 1 Appliquer le processus En identifiant les risques liés à la perte de confidentialité, d'intégrité et de d'appréciation des risques de sécurité disponibilité des informations de l'information 6.1.2 c 2 Appliquer le processus En identifiant les pilotes des risques d'appréciation des risques de sécurité de l'information 6.1.2 d 1 Appliquer le processus En analysant les risques et les conséquences potentielles des risques en 6.1.2 c d'appréciation des risques de sécurité 1 si ceux-ci se concrétisent de l'information 6.1.2 d 2  Appliquer le processus En analysant les risques et évaluant la vraisemblance d'apparition des risques d'appréciation des risques de sécurité identifiés en 6.1.2 c 1 de l'information 6.1.2 d 3 Appliquer le processus En analysant les risques et déterminant les niveaux des risques d'appréciation des risques de sécurité de l'information 6.1.2 e 1 Appliquer le processus En évaluant les risques et comparant les résultats d'analyse des risques avec les d'appréciation des risques de sécurité critères en 6.1.2 a de l'information 6.1.2 e 2 Appliquer le processus En évaluant les risques et priorisant les risques analysés d'appréciation des risques de sécurité de l'information 6.1.2 Conserver des informations Cf. paragraphe 7.5.1 documentées sur le processus d'appréciation des risques de sécurité de l'information 6.1.3 Traitement des risques

46

6.1.3 a

47

6.1.3 b

48

6.1.3 c

49

6.1.3 d

50

 6.1.3 e

51

 6.1.3 f

52

6.1.3

  53

6.2 6.2

54

6.2 a

55

6.2 b

56

6.2 c

Appliquer le processus de traitement des risques de sécurité de l'information Appliquer le processus de traitement des risques de sécurité de l'information Appliquer le processus de traitement des risques de sécurité de l'information Appliquer le processus de traitement des risques de sécurité de l'information

Afin de choisir les options de traitement des risques en tenant compte des résultats en 6.1.2 Afin de déterminer les mesures nécessaires à entreprendre pour l'option choisie Afin de comparer les mesures déterminées en 6.1.3 b et celles de l'Annexe A de l'ISO 27001 et de confirmer qu'aucune mesure nécessaire n'est oubliée

Afin de produire une déclaration d'applicabilité incluant les mesures nécessaires (cf. 6.1.3 b et c), la justification de leur insertion, leur mises en place (ou non), la justification de l'exclusion de mesures de  l'Annexe A de l'ISO 27001 Appliquer le processus de traitement  Afin d'élaborer un plan de traitement des risques, cf. § 6.2 des risques de sécurité de l'information Appliquer le processus de traitement  Afin d'obtenir des pilotes des risques la validation du plan de traitement des des risques de sécurité de risques et l'acceptation des risques résiduels l'information Conserver des informations  Cf. paragraphe 7.5.1 documentées sur le processus de traitement des risques de sécurité de l'information Objectifs Établir les objectifs de sécurité de Pour toutes les fonctions et niveaux dans l'organisation l'information Déterminer des objectifs de sécurité Cohérents avec la politique de sécurité de l'information de l'organisation, cf. de l'information § 5.2 Déterminer des objectifs de sécurité Mesurables, si possible de l'information Déterminer des objectifs de sécurité En tenant compte des exigences applicables à la sécurité de l'information, des de l'information résultats de l'appréciation et du traitement des risques

 

57

6.2 d

58

6.2 e

59

6.2 f

60

6.2 g

61

6.2

62

6.2 h

63

6.2 i

64

6.2 j

65

6.2 k

66

6.2 l

  68

6.3 6.2 j  7 7.1 7.1

 

7.2

67

Déterminer des objectifs de sécurité de l'information Déterminer des objectifs de sécurité de l'information Déterminer des objectifs de sécurité de l'information Déterminer des objectifs de sécurité de l'information Conserver des informations documentées sur les objectifs Déterminer lors de la planification des objectifs de sécurité de l'information Déterminer lors de la planification des objectifs de sécurité de l'information Déterminer lors de la planification des objectifs de sécurité de l'information Déterminer lors de la planification des objectifs de sécurité de l'information Déterminer lors de la planification des objectifs de sécurité de l'information Planification des changements Planifier les changements du SMSI Support Ressources Identifier et fournir les ressources nécessaires Compétence

Et les surveiller, cf. § 9.1  Et les communiquer, cf. § 7.4 Et les mettre à jour régulièrement Et les conserver comme documents, cf. § 7.5 Liés à la sécurité de l'information, y compris le plan d'atteinte des objectifs, cf. paragraphe 7.5.1 Ce qui sera fait Les ressources nécessaires Le responsable Les échéances Comment les résultats seront évalués

Avant de les appliquer

  Dérouler (Do) 

Afin d'établir, appliquer, tenir à jour et améliorer le SMSI  

69

 7.2 a

70

7.2 b

71

7.2 c

72

7.2 d

  73

7.3 7.3 a

74

7.3 b

75

7.3 c

  76

7.4 7.4 a

77

7.4 b

78

7.4 c

79

7.4 d

 

7.5

Déterminer les compétences nécessaires des personnes concernées S'assurer que ces personnes sont compétentes Mener des actions pour acquérir et tenir à jour les compétences nécessaires Conserver des informations documentées sur les compétences Sensibilisation Sensibiliser le personnel à la politique et objectifs de sécurité de l'information Sensibiliser le personnel à l'importance de leur contribution à l'efficacité du SMSI Sensibiliser le personnel aux répercussions et aux conséquences du non-respect des exigences du SMSI Communication Déterminer les besoins de communication interne et externe Déterminer les besoins de communication interne et externe Déterminer les besoins de communication interne et externe Déterminer les besoins de communication interne et externe Informations documentées

Les personnes concernées peuvent influer sur les performances de la sécurité de l'information Sur la base d'une formation initiale et professionnelle et de l'expérience Et évaluer l'efficacité de ces actions. Les actions incluent la formation, mais aussi l'encadrement, la réaffectation et le recrutement de personnes compétentes Cf. paragraphe 7.5.1 comme le plan de développement des compétences Cf. paragraphes 5.2, 6.2 et 7.5.1

 

Et des effets bénéfiques de la performance améliorée du SMSI Ne pas oublier les conséquences potentielles sur toutes les activités professionnelles

Y compris sur quels sujets, cf. paragraphe 7.5.1 Y compris quand communiquer Y compris avec qui communiquer Y compris comment communiquer  

80

7.5.1 7.5.1 a

Généralités Inclure dans le SMSI les informations documentées exigées par l'ISO 27001

  Informations documentées à tenir à jour, disponibles (procédures) : traitement de l'information (A.5.10) classification de l'information (A.5.12) marquage (A.5.13) transfert d'information (A.5.14) gestion des identités (A.5.16) authentification (A.5.17, A.8.5) droits d'accès (A.5.18, A.8.33) relations avec les fournisseurs (A.5.19) chaîne TIC (A.5.21) incidents (A.5.26) moyens de traitement (A.5.37) collecte de preuves (A.5.28) continuité d'activité (A.5.30, A.5.29) propriété intellectuelle (A.5.32) enregistrements (A.5.33) protection de la vie privée (A.5.34) procédures (A.5.37) sélection des candidats (A.6.1) sensibilisation et formation (A.6.3) déclaration des événements (A.6.8) supports de stockage (A.7.10) terminaux utilisateur (A.8.1) restriction d'accès (A.8.3) accès au code source (A.8.4) programmes malveillants (A.8.7) gestion des vulnérabilités (A.8.8) sauvegarde (A.8.13) redondance des moyens (A.8.14)

activités de surveillance (A.8.16) programmes utilitaires privilégiés (A.8.18) installation de logiciels (A.8.19) sécurité des réseaux (A.8.20, A.8.21, A.8.22) utilisation de la cryptographie (A.8.24) codage (A.8.28) changements (A.8.32) Politiques : sécurité de l'information (§§ 5.1, 5.2, 6.2, 7.3) utilisation correcte de l'information (A.5.10) classification de l'information (A.5.12) transfert de l'information (A.5.14) contrôle d'accès (A.5.15, A.5.18, A.8.2) droits d'accès (A.5.18)  propriété intellectuelle (A.5.32) protection des enregistrements (A.5.33) conformité aux règles et normes ( A.5.36) sensibilisation et formation (A.6.3) télétravail (A.6.7) bureau propre et écran vide (A.7.7) supports de stockage (A.7.10) vulnérabilités techniques (A.8.8) sauvegarde de l'information (A.8.13) jounalisation (A.8.15) Informations documentées à conserver (enregistrements) : domaine d'application (§ 4.3) politique de sécurité de l'information (§ 5.2)

appréciation des risques (§§ 6.1.2, 8.2) traitement des risques (§§ 6.1.3, 8.3) déclaration d'applicabilité (§ 6.1.3) plan de traitement des risques (§ 6.1.3) plan d'atteinte des objectifs (§ 6.2) plan de gestion des changements (§ 6.3) objectifs (§ 6.2) compétences (§ 7.2) liste des informations documentées (§ 7.5.3) documents d'origine externe (§ 7.5.3) suivi des processus (§ 8.1) résultats de l'apprécation des risques (§ 8.2) résultats de traitement des risques (§ 8.3) résultats de l'inspection (§ 9.1) programme d'audit (§ 9.2) rapports d'audits (§ 9.2) décisions de la revue de direction (§ 9.3) non-conformités (§ 10.2) des actions correctives (§ 10.2) inventaire des actifs (A.5.9) règles d'utilisation des actifs (A.5.10, A.5.11) données de transfert (A.5.14) mot de passe (A.5.17, A.8.5) plan de gestion des incidents (A.5.24) registre des incidents (A.5.24) plan de continuité d'activité (A.5.29, A.5.30) liste des exigences (A5.31) registre des licences (A.5.32) protection des enregistrements (A.5.33) engagement de confidentialité (A.6.6) sécurité travail à distance (A.6.7) sortie des actifs (A.7.9, A.7.10)

sécurité des appareils mobiles (A.8.1) accès privilégiés (A.8.2, A.8.18) plan de gestion de la capacité (A.8.6) protéction contre les logiciels malveillants (A.8.7) registre des vulnérabilités (A.8.8) registre de la configuration (A.8.9) suppression de l'information (A.8.10) plan de sauvegarde (A.8.13) journaux des événements (A.8.15) surveillance (A.8.16) synchronisation (A.8.17) autorisations privilégiées (A.8.18) protection des réseaux (A.8.20) règles de filtrage (A.8.23) clés cryptographiques (A.8.24) applications (A.8.26) principes d'ingénierie (A.8.27) codage sécurisé (A.8.28) plan de test (A.8.29) environnements (A.8.31) demande de changement (A.8.32, A.33) 81

7.5.1 b

Inclure les informations documentées jugées nécessaires à l'efficacité du SMSI

  82

7.5.2 7.5.2 a

83

7.5.2 b

84

7.5.2 c

Création et mise à jour Identifier et décrire les informations documentées de façon appropriée S'assurer que le format et le support des informations documentées sont appropriés Passer en revue et valider les

Ces informations documentées sont spécifiques par rapport à la taille de l'organisation, au domaine d'activité, à la complexité des processus et leurs interactions à la compétence du personnel Lors de leur création et mise à jour. Comme titre, auteur, date, codification Exemples de formats : langue, version du logiciel et des graphiques. Exemples de supports : papier, électronique Afin de déterminer leur pertinence et adéquation

 

7.5.3

85

7.5.3 a

86

7.5.3 b

87

7.5.3 c

88

7.5.3 d

89

7.5.3 e

90

7.5.3 f

91

7.5.3

  92

8 8.1  8.1

93

8.1

94

8.1

informations documentées de façon appropriée Maîtrise des informations   documentées Maîtriser les informations Quand nécessaire et à l'endroit voulu. Selon les exigences du SMSI et de la documentées pour qu'elles soient norme ISO 27001 disponibles et conviennent à l'utilisation Maîtriser les informations Comme perte de confidentialité, utilisation inappropriée ou perte d'intégrité documentées pour qu'elles soient convenablement protégées Appliquer des activités de Afin de maîtriser les informations documentées distribution, d'accès, de récupération et d'utilisation Appliquer des activités de stockage Y compris la préservation de lisibilité et de protection Appliquer des activités de maîtrise Comme la maîtrise des versions des modifications Appliquer des activités de En déterminant pour chaque information documentée la durée de conservation conservation et d'élimination et la manière d'élimination Identifier et maîtriser les Liste des informations documentées jugées nécessaires à la planification et au informations documentées d'origine fonctionnement du SMSI, y compris celles d'origine externe. Cf. externe paragraphe 7.5.1 Réalisation Dérouler (Do)  Planification et maîtrise Planifier, appliquer, maîtriser et tenir En établissant des critères pour ces processus et en réalisant des actions à jour des processus nécessaires afin déterminées dans le paragraphe 6.1 de respecter les exigences du SMSI  Planifier, appliquer, maîtriser et tenir En appliquant la mesure de sécurité conformément aux critères à jour des processus nécessaires afin de respecter les exigences du SMSI  Conserver des informations Afin de s'assurer que les processus sont réalisés comme prévu. Cf.

95

8.1

96

8.1

  97

8.2 8.2

98

8.2

  99

8.3 8.3

100

8.3

    101

9 9.1 9.1 a

102

9.1 b

103 104 105

9.1 c 9.1 d 9.1 e

106 107

9.1 f 9.1 f

documentées sur les processus nécessaires Maîtriser les changements prévus et analyser ceux qui sont imprévus S'assurer que les processus externalisés sont maîtrisés et pertinents Appréciation des risques Apprécier les risques de sécurité de l'information régulièrement Conserver des informations documentées sur les résultats de l'appréciation des risques Traitement des risques Appliquer le plan des traitement des risques Conserver des informations documentées sur les résultats de traitement des risques Performance Inspection Déterminer ce qu'il est nécessaire d'inspecter (surveiller et mesurer) Déterminer les méthodes d'inspection Déterminer le moment d'inspection Déterminer qui effectue l'inspection Déterminer le moment d'analyse des résultats de l'inspection Déterminer qui analyse les résultats Conserver des informations

paragraphe 7.5.1 En menant des actions pour limiter tout impact négatif. Cf. paragraphe 7.5.1 Y compris les produits et services externalisés   En tenant compte des critères établis en 6.1.2 a et le § 6.3 Résultats de l'appréciation, cf. paragraphe 7.5.1

Conformément au paragraphe 6.2

 

Plan de traitement des risques, cf. paragraphe 7.5.1 Comparer (Check)  Y compris les processus et les mesures de sécurité de l'information Y compris l'analyse et l'évaluation afin d'assurer la validité des résultats. Tout résultat valable est comparable et reproductible Y compris les points où la surveillance et la mesure sont réalisées La personne responsable de l'inspection Y compris le moment d'évaluation de ces résultats Y compris lt la personne responsable de l'évaluation des résultats Cf. paragraphe 7.5.1

documentées sur les résultats de l'inspection 108 9.1 Evaluer la performance de sécurité Y compris l'efficacité du SMSI de l'information   9.2 Audit interne    9.2.1 Généralités   109 9.2.1 a 1 Conduire des audits internes à des Y compris à la politique et les objectifs, cf. paragraphes 5.2 et 6.2 intervalles planifiés afin de vérifier si le SMSI respecte les exigences de l'organisation 110 9.2.1 a 2 Conduire des audits internes à des Exigences dans les articles 4 à 10 de la norme intervalles planifiés afin de vérifier si le SMSI respecte les exigences de la norme ISO 27001 111 9.2.1 b  Conduire des audits internes à des Cf. la revue de direction, paragraphe 9.3 intervalles planifiés afin de vérifier si le SMSI est appliqué efficacement   9.2.2 Programme d'audit   112 9.2.2 Planifier, établir, appliquer et tenir à Incluant la fréquence, les méthodes, les responsabilités, les exigences de jour le programme d'audit planification et de rapport. Suivre les recommandation de l'ISO 19011 113 9.2.2 Tenir compte dans le programme Et des résultats des audits précédents d'audit de l'importance des processus 114 9.2.2 a Définir les critères d'audit Et le périmètre de chaque audit. Suivre les recommandation de l'ISO 19011 115 9.2.2 b Sélectionner les auditeurs Afin de conduire des audits objectifs et impartiaux. Suivre les recommandation de l'ISO 19011 116 9.2.2 c Rendre compte des résultats des A la direction concernée audits 117 9.2.2 Conserver les informations Et les résultats d'audit, cf. paragraphe 7.5.1 documentées sur l'application du programme d'audit   9.3 Revue de direction

  118

9.3.1 9.3.1

  119

9.3.2 9.3.2 a

120

9.3.2 b

121

9.3.2 c

122 9.3.2 d 1 123 9.3.2 d 2 124 9.3.2 d 3 125 9.3.2 d 4 126

9.3.2 e

127

9.3.2 f

128

9.3.2 g

  129

9.3.3 9.3.3

Généralités   Passer en revue le SMSI à des Afin de s'assurer que le SMSI est toujours approprié, adéquat et intervalles planifiés efficace. "Aucun système n'est parfait" Eléments d'entrée   Prendre en considération Utiliser le dernier rapport de la revue de direction l'avancement des actions décidées au cours de la revue de direction précédente Prendre en considération les Cf. paragraphe 4.1 changements des enjeux du SMSI Prendre en considération les Cf. paragraphe 4.2 changements des exigences des parties intéressées Prendre en considération les Y compris les non-conformités et les actions correctives, cf. paragraphe 10.1 tendances des retours d'information Prendre en considération les Autrement dit les résultats de la surveillance et du mesurage, cf. tendances des résultats des paragraphe 9.1  inspections Prendre en considération les Cf. paragraphe 9.2 tendances des résultats des audits Prendre en considération les Cf. paragraphe 6.2   tendances de l'atteinte des objectifs Prendre en considération les retous Cf. paragraphe 4.2 d'information des parties intéressées Prendre en considération les Y compris l'avancement du plan de traitement des risques, cf. paragraphe 6.1.3 résultats de l'appréciation des risques Prendre en considération les Et les éventuels changement du SMSI Cf. paragraphe 10.2 opportunités d'amélioration continue Eléments de sortie   Inclure dans les résultats de la revue Et les éventuels changement du SMSI Cf. paragraphe 10.2 de direction les décisions d'amélioration continue

130

9.3.3

  131

10 10.1 10.1

 

10.2

132 10.2 a 1 133 10.2 a 2 134 10.2 b 1 135 10.2 b 2 136 10.2 b 3 137

10.2 c

138

10.2 d

139 140

10.2 e 10.2

141

10.2 f

142

10.2 g

 

 

Conserver les informations Cf. paragraphe 7.5.1 documentées sur les résultats de la revue de direction Amélioration Agir (Act)  Amélioration continue  Améliorer en continue la pertinence, En améliorant la performance globale du SMSI l'adéquation et l'efficacité du SMSI Non-conformité et action   corrective Réagir à la non-conformité Afin de la maîtriser et de la corriger Réagir à la non-conformité Afin de faire face aux conséquences de la non-conformité Passer en revue la non-conformité En évaluant si une action est nécessaire pour éliminer la cause Trouver la cause des nonSi possible la cause première conformités Recherccher si des non-conformités Ou pourraient se produire similaires se sont produites Appliquer toutes les actions Y compris des actions correctives nécessaires Passer en revue l'efficacité de toute Y compris toute action corrective action menée Modifier le SMSI Si cela est nécessaire Mener des actions correctives Par rapport aux non-conformités apparues appropriées aux conséquences réelles ou potentielles Conserver les informations Cf. paragraphe 7.5.1 documentées sur la nature des nonconformités Conserver les informations Cf. paragraphe 7.5.1 documentées sur les résultats des actions correctives Annexe A (normative) Comparer (Check)

  143

A.5.1

144

A.5.2

145 146

A.5.3 A.5.4

147 148

A.5.5 A.5.6

149 150

A.5.7 A.5.8

151

A.5.9

152

A.5.10

153

A.5.11

154

A.5.12

155 156

A.5.13 A.5.14

157

A.5.15

158 159

A.5.16 A.5.17

160

A.5.18

A.5 Mesures organisationnelles Politiques de sécurité de l'information Fonctions et responsabilités liées à la sécurité de l'information  Séparation des tâches  Responsabilités de la direction

Définir les politiques de sécurité de l'information, qui sont approuvées par la direction, publiées, communiquées, révisées et changées, cf § 5.2 Définir et attribuer les fonctions et responsabilités liées à la sécurité de l'information, cf. § 5.3 Séparer les tâches et domaines de responsabilité incompatibles Appliquer les mesures de sécurité de l'information selon les politiques et procédures de l'entreprise, demande de la direction, cf. § 5.1 Contacts avec les autorités Etablir et maintenir le contact avec les autorités appropriées Contacts avec des groupes d'intérêt Etablir et maintenir des contacts avec des groupes d'intérêt liés à la sécurité de spécifiques l'information Renseignement sur les menaces Collecter et analyser les menaces liées à la sécurité de l'information Sécurité de l'information dans la Intégrer la sécurité de l'information à la gestion des projets gestion de projet Inventaire des informations et autres Elaborer et tenir à jour un inventaire des informations et actifs liés à la sécurité actifs associés de l'information Utilisation correcte des informations Identifier, documenter et appliquer des règles d'utilisation correcte et des et autres actifs associés procédures de traitement des informations et actifs Restitution des actifs Restituer tous les actifs au moment de quitter l'entreprise ou de changer de poste Classification des informations Classifier les informations selon des exigences de confidentialité, d'intégrité et de disponibilité Marquage des informations Elaborer et appliquer des procédures pour le marquage des informations Transfert des informations Mettre en place des accords, des procédures ou des accords sur le transfert des informations en interne et avec les parties prenantes Contrôle d'accès Définir et appliquer les règles d'accès physique et logique aux informations selon les exigences métier et la sécurité de l'information Gestion des identités Gérer le cycle de vie complet des identités Informations d'authentification Contrôler l'attribution et la gestion des informations d'authentification selon un processus spécifique incluant des recommandations d'utilisation appropriée Droits d'accès Pourvoir, réviser, modifier et supprimer les droits d'accès aux informations et

161

A.5.19

162

A.5.20

163

A.5.21

164

A.5.22

165

A.5.23

166

A.5.24

167

A.5.25

168

A.5.26

169

A.5.27

170

A.5.28

171

A.5.29

actifs conformément à la politique spécifique Définir et appliquer des processus et procédures afin de gérer les risques de sécurité de l'information liés à l'utilisation de produits et services des fournisseurs La sécurité de l'information dans les Mettre en place et convenir avec chaque fournisseur les exigences de sécurité accords conclus avec les de l'information appropiées fournisseurs Gestion de la sécurité de Définir et appliquer des processus et procédures afin de gérer les risques de l'information dans la chaîne sécurité de l'information liés à la chaîne d'approvisionnement des produits et d'approvisionnement TIC services TIC Surveillance, révision et gestion des Surveiller, réviser, évaluer et gérer régulièrement les changements des changements des services pratiques de sécurité de l'information des fournisseurs forunisseurs Sécurité de l'information dans Etablir les processus d'acquisition, d'utilisation, de gestion et de cessation des l'utilisation de services en nuage services en nuage selon les exigences de sécurité de l'information de l'entreprise Planification et préparation de la Planifier et préparer la gestion des incidents liés à la sécurité de l'information gestion des incidentsliés à la sécurité avec des processus, fonctions et responsabilités concernés de l'information Evaluation des événements liés à la Evaluer les événements liés à la sécurité de l'information et décider si ces sécurité de l'information et prise de derniers doivent être catégorisés comme des incidents décision Réponse aux incidents liés à la Répondre aux incidents liés à la sécurité de l'information conformément aux sécurité de l'information procédures documentées Enseignements des incidents liés à la Utiliser les connaissances acquises à partir des incidents liés à la sécurité de sécurité de l'information l'information afin de renforcer et améliorer les mesures de sécurité de l'information Collecte de preuves Etablir et appliquer des procédures pour l'identification, la collecte, l'acquisition et la préservation de preuves liées aux événements de sécurité de l'information Sécurité de l'information pendant Planifier comment maintenir la sécurité de l'information à un niveau approprié une perturbation pendant une perturbation Sécurité de l'information dans les relations avec les fournisseurs

172

A.5.30

173

A.5.31

174

A.5.32

175

A.5.33

176

A.5.34

177

A.5.35

178

A.5.36

179

A.5.37

  180

  A.6.1

181

A.6.2

182

A.6.3

183

A.6.4

184

A.6.5

Préparation des TIC pour la continuité d'activité Exigences légales, statutaires, réglementaires et contractuelles

Planifier, appliquer, maintenir et tester la préparation des TIC selon les objectifs et exigences de continuité d'activité Identifier, documenter, respecter et tenir à jour les exigences légales, statutaires, réglementaires et contractuelles pertinentes de sécurité de l'information Droits de propriété intellectuelle Mettre en place des procédures appropriées afin de protéger les droits de propriété intellectuelle Protection des enregistrements Protéger de la perte, de la destruction, de la falsification, des accès non autorisés et des diffusions non autorisées les enregistrements opérationnels Protection de la vie privée et des Identifier et respecter les exigences de protection de la vie privée et des DCP données à caractère personnel (DCP) selon les lois, réglementations et exigences contractuelles applicables Revue indépendante de la sécurité Passer en revue à intervalles planifiés la gestion de la sécurité de l'information, de l'information y compris les personnes, processus et technologies Conformité aux politiques, règles et Vérifier régulièrement la conformité aux politiques de sécurité de normes de sécurité de l'information l'information, aux normes et règles de l'entreprise Procédures d'exploitation Documenter et mettre à disposition du personnel concerné les procédures documentées d'exploitationdes moyens de traitement de l'information A.6 Mesures liées aux persones Sélection des candidats Réaliser les vérifications des références des candidats à l'embauche avant leur intégration dans l'entreprise selon les exigences métier, la classification des informations et les risques identifiés, cf. § 7.2 Termes et conditions du contrat de Indiquer dans les contrats de travail les responsabilités du personnel et de travail l'entreprise en matière de sécurité de l'information Sensibilisation, enseignement et Sensibiliser, enseigner et former le personnel et les parties prenantes en formation en sécurité de sécurité de l'information, y compris les mises à jour des politiques et des l'information procédures Processus disciplinaire Formaliser et communiquer le processus disciplinaire pour ceux qui n'ont pas respecté la politique de sécurité de l'information Responsabilités après la fin ou le Définir, appliquer et communiquer les responsabilités et obligations relatives à changement d'un emploi la sécurité de l'information qui restent valables après la fin ou le changement d'un emploi

185

A.6.6

186

A.6.7

187

A.6.8

  188

A.7.1

189

A.7.2

190

A.7.3

191 192

A.7.4 A.7.5

193

A.7.6

194

A.7.7

195

A.7.8

196 197

A.7.9 A.7.10

198

A.7.11

199

A.7.12

Accords de confidentialité ou de non-divulgation Télétravail

Identifier, documenter, réviser et signer les accords de confidentialité (de nondivulgation) afin de protéger les informations sensibles Mettre en place des mesures de sécurité pertinentes pour le télétravail afin de protéger les informations en dehors des locaux de l'entreprise Déclaration des événements liés à la Fournir un mécanisme pour déclarer rapidement les événements avérés ou sécurité de l'information suspectés liés à la sécurité de l'information  A.7 Mesures physiques Périmètres de sécurité physique Définir et utiliser des périmètres de sécurité afin de protéger les zones avec des informations et actifs sensibles Les entrées physiques Protéger les zones d'accès par des mesures de sécurité des accès et des points d'accès appropriés Sécurisation des bureaux, des salles Concevoir et appliquer des mesures de sécurité physique pour les bureaux, les et des installations salles et les installations Surveillance de la sécurité physique Surveiller en continu les locaux afin d'empêcher l'accès physique non autorisé Protection contre les menaces Concevoir et appliquer une protection contre les menaces physiques et physiques et environnementales environnementales (comme les catastrophes naturelles), intentionnelles ou non intentionnelles Travail dans les zones sécurisées Concevoir et appliquer des mesures de sécurité pour le travail dans les zones sécurisées Bureau propre et écran vide Définir et appliquer des règles du bureau propre et d'écran vide pour les moyens de traitement de l'information Emplacement et protection du Choisir et protéger un emplacement sécurisé pour le matériel  matériel Sécurité des actifs hors des bureaux Protéger les actifs hors du site Supports de stockage Gérer les supports de stockage tout au long de leur cycle de vie (acquisition, utilisation, transport et mise au rebut) selon la classification et les exigences de l'entreprise Services support Protéger les moyens de traitement de l'information contre les coupures de courant et autres défaillances des services support Sécurité du câblage Protéger les câbles électriques contre les interceptions, interférences ou dommages

200

A.7.13

201

A.7.14

  202

  A.8.1

203 204

A.8.2 A.8.3

205

A.8.4

206

A.8.5

207

A.8.6

208

A.8.7

209

A.8.8

210

A.8.9

211

A.8.10

212

A.8.11

213

A.8.12

214

A.8.13

Maintenance du matériel

Entretenir le matériel correctement afin d'assurer la disponibilité, l'intégrité et la confidentialité de l'information Elimination ou recyclage sécurisé du Vérifier les matériels de stockage afin de s'assurer de la suppression sécurisée matériel des données sensibles ou logiciel sous licence A.8 Mesures technologiques Terminaux utilisateurs Protéger les informations stockées, traitées ou accessibles via un terminal utilsateur Droits d'accès privilégiés Limiter et gérer l'attribution et l'utilisation des droits d'accès privilégiés Restriction d'accès aux informations Restreindre l'accès aux informations et autres actifs selon la politique du contrôle d'accès Accès au code source Gérer de manière appropriée l'accès au code source, aux outils de développement et aux bibliothèques de logiciels Authentification sécurisée Appliquer des technologies et procédures d'authentification sécurisées selon les restrictions de la politique de contrôle d'accès, cf. A.8.3 Dimensionnement Surveiller et ajuster l'utilisation des ressources selon les besoins de dimensionnement, cf. Plan de gestion de la capacité, § 7.5.1 Protection contre les programmes Appliquer la protection contre les programmes malveillants, sensibiliser le malveillants (malware) personnel, cf. § 7.3 Gestion des vulnérabilités Obtenir des informations sur les vulnérabilités techniques des systèmes techniques d'information, évaluer l'exposition de l'entreprise à ces vulnérabilités et prendre les mesures appropriées Gestion de la configuration Définir, documenter, appliquer, surveiller et réviser la configuration relative à la sécurité, au matériel, aux logiciels et aux réseaux Suppression d'information Supprimer les informations, qui ne sont plus nécessaires, sur les systèmes d'information, les terminaux et autres supports de stockage Masquage des données Masquer les données selon la politique de contrôle d'accès, cf. § A.8.3 en repectant les exigences métier et la législation applicable Prévention de la fuite de données Appliquer des mesures de prévention de la fuite de données des informations sensibles aux systèmes, réseaux et autres terminaux  Sauvegarde des informations Conserver et tester régulièrement des copies de sauvegarde de l'information, des logiciels et des systèmes selon la politique de sauvegarde

215

A.8.14

216

A.8.15

217

A.8.16

218

A.8.17

219

A.8.18

220

A.8.19

221

A.8.20

222

A.8.21

223

A.8.22

224

A.8.23

225

A.8.24

226

A.8.25

227

A.8.26

228

A.8.27

229 230

A.8.28 A.8.29

231

A.8.30

Redondance des moyens de traitement de l'information Journalisation

Appliquer des moyens de traitement de l'information afin de répondre aux exigences de disponibilité Générer, conserver, protéger et analyser des journaux des activités, exceptions, pannes et autres événements pertinents Activités de surveillance Surveiller les réseaux, systèmes et applications et prendre des mesures appropriées, cf. § 9.1 Synchronisation des horloges Synchroniser les horloges des systèmes de traitement de l'information avec des sources de temps approuvées Utilisation de programmes utilitaires Limiter et contrôler étroitement l'utilisation des programmes utilitaires ayant la à privilèges capacité de contourner les mesures de sécurité des systèmes et des applications Installation de logiciels sur des Appliquer des procédures et des mesures afin de gérer de manière sécurisée systèmes opérationnels l'installation de logiciels opérationnels  Sécurité des réseaux Sécuriser, gérer et contrôler les réseaux et leurs terminaux afin de protéger les informations des systèmes et des applications Sécurité des services réseau Identifier, appliquer et surveiller les mécanismes de sécurité, les niveaux de service et les exigences des services réseaux Cloisonnement des réseaux Cloisonner les groupes de services d'information, d'utilisateurs et de systèmes d'information Filtrage web Maîtriser l'accès aux sites web externesafin de réduire l'exposition aux contenus malveillants Utilisation de la cryptographie Définir et appliquer des règles de cryptographie, y compris les clés cryptographiques Cycle de développement sécurisé Définir et appliquer des règles pour le développement sécurisé des logiciels et systèmes Exigences de sécurité des Identifier, spécifier et approuver les exigences de sécurité de l'information lors applications du développement ou de l'aquisition d'applications Principes d'ingénierie et Etablir, documenter, tenir à jour et appliquer des principes d'ingénierie des d'architecture des systèmes sécurisés systèmes sécurisés au cours du développement des systèmes d'information Codage sécurisé Appliquer des principes de codage sécurisé au développement des logiciels Test de sécurité dans le Définir et appliquer des processus de tests de sécurité au cours du cycle de vie développement et l'acceptation du développement Développement externalisé Diriger, contrôler et vérifier les activités relatives aux développement des

232

A.8.31

233

A.8.32

234 235

A.8.33 A.8.34

Séparation des environnements de développement, de test et opérationnels  Gestion des changements Informations de test Protection des systèmes d'informationpendant les tests d'audit

systèmes externalisés Séparer et sécuriser les environnements de développement, de test et opérationnels Soumettre les changements des moyens de traitement de l'information et des systèmes d'information à des procédures de gestion des changements, cf. § 6.3 Sélectionner, protéger et gérer les informations de test de manière appropriée Planifier et convenir entre le testeur et le niveau approprié de la direction les tests d'audit et autres activités d'assurance impliquant l'évaluation des systèmes opérationnels