Grille Autodiagnostic ISO 27001 VF [PDF]
© UTC - Master Qualité - www.utc.fr/master-qualite Fichier : 549717065.xlsx Onglet : Mode Emploi Document d'appui à l
27 0 521KB
Papiere empfehlen
![Grille Autodiagnostic ISO 27001 VF [PDF]](https://vdoc.tips/img/200x200/grille-autodiagnostic-iso-27001-vf.jpg)
- Author / Uploaded
- Oubaouba Fortuneo
Datei wird geladen, bitte warten...
Zitiervorschau
© UTC - Master Qualité - www.utc.fr/master-qualite
Fichier : 549717065.xlsx
Onglet : Mode Emploi
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013
Enregistrement qualité : A4 100% vertical
Autodiagnostic selon la norme ISO 27001:2013 "Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences", édition Afnor, www.afnor.org, décembre 2013 Attention : Seules les cases blanches écrites en bleu peuvent être modifiées par l’utilisateur. Cela concerne toutes les parties de l’outil Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI Contact du Responsable du SMSI : email :
Tél : Mode d'emploi
OBJECTIF: Cet outil permet aux différents utilisateurs, et en particulier aux directeurs des systèmes d'informations, d'évaluer la conformité de le système de management de la sécurité de l'information selon les exigences de la norme ISO 27001:2013. Il sert aussi de tableau de bord pour votre système d'informations avec lequel vous pouvez commenter et évaluer la progression de votre SMSI. Ainsi, il vous donnera plus de visibilité afin d'élaborer des actions d'amélioration continue. (NB : Cet outil ne garantit pas une certification) PRESENTATION DES ELEMENTS: La grille se présente sous format Excel constitué de neufs (9) onglets : - Mode d'emploi : * Explicite le fonctionnement de l'outil et les critères d'évaluation définis - Exigences : * Des critères d'évaluation par article et sous article sont définis * Des commentaires explicitent les critères aux utilisateur - Mesures de l'annexe A: * Des critères d'évaluation par articles et sous article sont définis * Des commentaires explicitent les critères aux utilisateur * Des conseils de bonnes pratiques pour réaliser les mesures de l'annexe - Résultats et Actions : * Tous les résultats sont réunis sur cet onglet avec une cartographie globale du SMSI - Résultats par article : * Taux de CONFORMITÉ sous forme radar * Les plans d'action prioritaires à mettre en œuvre et à déployer (Quoi, Qui, Quand...) - Résultats de l'annexe A: * Tous les résultats sont réunis sur cet onglet avec une cartographie globale des bonnes pratiques de l'annexe A -Conseils : * Expliquent globalement l'objet de chaque article de la norme - Plans d'action détaillés * Suivre et tracer les plans d'action définis - Déclaration de conformité * Usage de l'ISO 27001 pour déclarer ses résultats s'ils sont considérés comme probants et communicables
Niveaux de VÉRACITÉ quant à la RÉALISATION des actions associées aux exigences de la norme
Libellés explicites des niveaux de VÉRACITÉ
Choix de VÉRACITÉ
Niveau 1 : L'action n'est pas réalisée ou alors de manière très aléatoire.
Faux
LIBELLÉS des niveaux de CONFORMITÉ des ARTICLES de la norme
Taux de Taux moyen VÉRACITÉ Minimal
Taux moyen Maximal
Niveaux de CONFORMITÉ
Libellés explicites des niveaux de CONFORMITÉ
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
0%
0%
9%
Insuffisant
Niveau 2 : L'action est réalisée quelques fois de Plutôt Faux manière informelle.
30%
10%
49%
Informel
Niveau 3 : L'action est formalisée et réalisée.
Plutôt Vrai
70%
50%
89%
Convaincant
Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
Niveau 4 : L'action est formalisée, réalisée, tracée et améliorée.
Vrai
100%
90%
100%
Conforme
Conformité de niveau 4 : BRAVO ! Maintenez et communiquez vos résultats.
Version de janvier 2016
©2015 : Master 2 Qualité et Performance dans les Organisations
Conformité de niveau 2 : Il est nécessaire de pérenniser la bonne exécution des activités.
page n° 1/36
© UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Mode Emploi
Fichier : 549717065.xlsx
NB : Vous pouvez modifier les limites minimales ci-dessus des intervalles de conformité
Pour en savoir plus, voir à partir de février 2018 l'étude sur internet : www.utc.fr/master-qualite, puis "Travaux" "Qualité-Management" Équipe étudiants "Outil d’Autodiagnostic" : Fabien DUMONT, [email protected] ;Sofiane JEMAI :[email protected] ; Zhaochen XU, [email protected] Contact UTC : [email protected]
Version de janvier 2016
©2015 : Master 2 Qualité et Performance dans les Organisations
page n° 2/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Exigences
Fichier : 549717065.xlsx
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013Impression sur pages A4 100% en format horizontal
Autodiagnostic sur les exigences de l'ISO 27001:2013 Nom de l'établissement / entreprise / organisation...
Etablissement :
Signature du responsable de l'autodiagnostic :
Date de l'autodiagnostic : Responsable de l'autodiagnostic :
NOM et Prénom
@:
Tél :
L'équipe d'autodiagnostic : Noms et Prénoms des participants
Réf.
Critères d'exigence des articles de la norme
Evaluations Taux %
Libellés des évaluations
Modes de preuve et commentaires
Contexte de l'organisme
Insuffisant
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
4.1
Compréhension de l'organisme et de son contexte
Insuffisant
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
cr 1
Les enjeux internes et externes sont déterminés relativement à la finalité et l'orientation stratégique de l'organisme
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 2
Les informations relatives aux enjeux externes et internes sont surveillées et revues périodiquement
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 3
Les facteurs d'influence sur l'efficacité du Système de Management de la Sécurité de l'Information (SMSI) sont identifiés
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
4.2
Compréhension des besoins et des attentes des parties intéressées
Insuffisant
cr 4
Les parties intéressées pertinentes sont identifiées dans la cadre du SMSI
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 5
Les exigences des parties intéressées ainsi que celles légales et réglementaires sont prises en considération dans le SMSI
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
4.3
Détermination du domaine d'application du système de management de la sécurité de l'information
Insuffisant
cr 6
Le domaine d'application du SMSI est établi en déterminant ses limites et son applicabilité
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 7
Le domaine d'application du SMSI prend en compte les enjeux externes et internes auquel il est fait référence en 4.1
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 8
Le domaine d'application du SMSI prend en compte les exigences auquel il est fait référence en 4.1 et 4.2
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 9
Le domaine d'application du SMSI prend en compte les interfaces et les dépendances existantes entre les activités réalisées par l'organisation et celles réalisées par d'autres organisations
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 10
Le domaine d'application doit être disponible sous forme d'information documentée
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Système de Management de la Sécurité de l'Information
Insuffisant
cr 11
Le SMSI est établi, mis en oeuvre, tenu à jour et amélioré en continu
Choix de VÉRACITÉ
Art. 5
Leadership
Insuffisant
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Leadership et engagement
Insuffisant
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
La direction assume la responsabilité de la politique et des objectifs du SMSI, son intégration avec les processus métier et l'information nécessaire à la bonne implication du personnel
Choix de VÉRACITÉ
Art. 4
4.4
5.1
cr 12
Version de janvier 2016
0%
0%
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées. Libellé du critère quand il sera choisi
Libellé du critère quand il sera choisi
©2015 : Master 2 Qualité et Performance dans les Organisations
###
###
page n° 3/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Exigences Libellés des évaluations
Modes de preuve et commentaires
Réf.
Critères d'exigence des articles de la norme
cr 13
La direction assure que les ressources nécessaires pour le bon fonctionnement du SMSI sont disponibles et que celui-ci produit les résultats escomptés
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 14
La direction communique sur l'importance de disposer d'un SMSI efficace et de son amélioration continue
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 15
La direction oriente et soutient toutes les personnes pouvant contribuer à l'efficacité du SMSI
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Politique
Insuffisant
cr 16
La politique de sécurité de l'information est adaptée à la mission de l'organisme en incluant des objectifs de sécurité de l'information
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 17
La direction améliore sa politique de sécurité de l'information en satisfaisant les exigences relatives à la sécurité de l'information
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 18
La politique de sécurité de l'information est disponible et tenue à jour sous forme d'une information documentée
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 19
La politique de sécurité de l'information est communiquée au sein de l'organisme
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 20
La politique de sécurité de l'information est mise à la disposition des parties intéressées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Rôles, responsabilités et autorités au sein de l'organisme
Insuffisant
cr 21
La direction s'assure que les responsabilités et les rôles au sein du SMSI sont attribués et communiqués
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 22
Les responsabilités et autorités s'assurant que le SMSI est conforme à la norme ISO 27001 sont désignées par la direction
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 23
Les responsabilités et autorités évaluent et reportent à la direction les performances du SMSI
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Art. 6
Planification
Insuffisant
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Actions liées aux risques et opportunités
Insuffisant
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
cr 24
Les risques et opportunités sont pris en compte pour améliorer la performance du SMSI en lien avec les enjeux à relever et les exigences à satisfaire
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 25
L'organisme planifie et met en oeuvre les actions face aux risques et opportunités sélectionnés
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
La manière d'intégrer et de mettre en œuvre les actions au sein du SMSI est planifiée L'évaluation de l'efficacité de ces actions au sein des processus du SMSI est planifiée
Choix de VÉRACITÉ Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Libellé du critère quand il sera choisi
###
cr 28
Un processus d'application des risques relatifs à la sécurité de l'information a été établi incluant des critères d'acceptation et d'appréciation des risques
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 29
Le processus d'application des risques s'assure que la répétition des appréciations des risques produits des résultats cohérents
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 30
Le processus d'application des risques identifie et analyse les risques de sécurité de l'information
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 31
L'organisation conserve les informations documentées sur le processus d'appréciation des risques de sécurité de l'information
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 32
L'organisation a défini et appliqué un processus de traitement des risques de sécurité de l'information en déterminant et comparant les mesures mises en œuvre avec l'annexe A
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
5.2
5.3
6.1
cr 26 cr 27
Version de janvier 2016
Evaluations Taux %
Fichier : 549717065.xlsx
0%
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
©2015 : Master 2 Qualité et Performance dans les Organisations
page n° 4/36
UTC - Master Qualité - www.utc.fr/master-qualite Réf.
Onglet : Exigences
Critères d'exigence des articles de la norme
Evaluations Taux %
Fichier : 549717065.xlsx Libellés des évaluations
Modes de preuve et commentaires
cr 33
L'organisme a produit une déclaration d'applicabilité pour justifier les exclusions et inclusions à l'annexe A
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 34
Un plan de traitement des risques relatifs à la sécurité de a été créé
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 35
Les propriétaires des risques ont revu et approuvé le plan
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 36
Les risques résiduels relatifs à la sécurité de l'information ont été autorisés par les propriétaires des risques
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 37
Les informations documentés sur le processus de traitement des risques de l'information sont conservées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Objectifs sécurité et planification pour les atteindre
Insuffisant
cr 38
Des objectifs de sécurité de l'information sont établis aux fonctions, niveaux et processus nécessaires au bon fonctionnement du SMSI
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 39
Les objectifs de sécurité de l'information sont pertinents, mesurables et cohérents avec la politique sécurité de l'information
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 40
Les objectifs de sécurité de l'information sont surveillés, tenus à jour et communiqués
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 41
Les informations documentées sur les objectifs qualité sont tenues à jour
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 42
Pour atteindre les objectifs de sécurité de l'information, l'organisme détermine le responsable, les actions, les ressources, les échéances et les modalités d'évaluation des résultats
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Art. 7
Support
Insuffisant
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Ressources
Insuffisant
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
L’organisation a déterminé et fourni les ressources requises pour l’établissement, la mise en œuvre, la tenue et l’amélioration continue du SMSI
Choix de VÉRACITÉ
Compétences
Insuffisant
cr 44
Les compétences nécessaires des personnes dont le travail a une incidence sur les performances du SI sont déterminées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 45
Les compétences du personnel sont évaluées sur la base d'une formation ou d'une expérience appropriée
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 46
L'organisme met en place et évalue l'efficacité des actions pour acquérir ou renforcer les compétences nécessaires au bon fonctionnement du SMSI
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 47
Les informations documentées sur les compétences du personnel sont conservées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Sensibilisation
Insuffisant
cr 48
L'organisme s'assure que le personnel est sensibilisé à la politique de sécurité de l'information
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 49
L'organisme s'assure que le personnel est conscient de sa contribution à l'efficacité du SMSI ainsi qu'aux effets positifs d'une amélioration des performances de la sécurité de l'information
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
6.2
7.1
cr 43
7.2
7.3
Version de janvier 2016
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
0%
0%
###
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
©2015 : Master 2 Qualité et Performance dans les Organisations
page n° 5/36
UTC - Master Qualité - www.utc.fr/master-qualite Réf.
Onglet : Exigences
Critères d'exigence des articles de la norme
Evaluations Taux %
Fichier : 549717065.xlsx Libellés des évaluations
Modes de preuve et commentaires
Le personnel est conscient des implications de toute non-conformité aux exigences requises par le SMSI
Choix de VÉRACITÉ
Communication
Insuffisant
La pertinence des besoins de communication interne est déterminée La pertinence des besoins de communication externe est déterminée Les modalités de communication interne sont déterminées Les modalités de communication externe sont déterminées
Choix de VÉRACITÉ Choix de VÉRACITÉ Choix de VÉRACITÉ Choix de VÉRACITÉ
Informations documentées
Insuffisant
cr 55
Les informations documentées du SMSI comprennent celles exigées par l'ISO 27001 et celles nécessaires à son efficacité
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 56
Toute information documentée est identifiée, décrite et approuvée de manière compréhensible dans un format et sur un support accessible
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 57
Le contenu des informations documentées est revu périodiquement en termes de pertinence et d'adéquation à l'usage
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 58
Les informations documentées sont utiles, utilisables et utilisées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 59
Les modifications des informations documentées sont maitrisées (contrôle des versions par exemple)
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 60
La gestion des informations documentées est bien maîtrisée en termes de distribution, accès, stockage, protection, conservation et élimination
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 61
Les informations documentées externes sont identifiées et maitrisées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Art. 8
Fonctionnement
Insuffisant
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Planification et contrôle opérationnels
Insuffisant
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
cr 62
Les processus nécessaires à la satisfaction des exigences liés à la sécurité de l'information sont planifiés, mis en œuvre et maîtrisés
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 63
Des plans pour atteindre les objectifs de sécurité de l'information définis en 6.2 sont mis en œuvre
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 64
Les informations documentées sont conservées pour avoir l'assurance que les processus ont été suivis comme prévu
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 65
L'organisation doit contrôler les modifications prévues, analyser les conséquences des modifications imprévues et, si nécessaire, mener des actions pour limiter tout effet négatif
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 66
Les processus externalisés sont maîtrisés
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
8.2
Appréciation des risques de sécurité de l'information
Insuffisant
cr 67
Des appréciations de risques de sécurité de l'information à des intervalles planifiés, quand des changements significatifs sont prévus ou ont lieu sont réalisés
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 68
Les informations documentées sur les résultats du traitement des risques de sécurité de l'information sont conservées.
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Traitement des risques de sécurité de l'information
Insuffisant
cr 69
Le plan de traitement des risques de sécurité de l'information est mis en œuvre
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 70
Les informations documentées sur les résultats de traitement des risques de sécurité de l'information sont conservées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Art. 9
Évaluation des performances
Insuffisant
cr 50 7.4 cr 51 cr 52 cr 53 cr 54 7.5
8.1
8.3
Version de janvier 2016
Libellé du critère quand il sera choisi 0%
0%
0%
0%
0%
###
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées. Libellé du critère quand il sera choisi
###
Libellé du critère quand il sera choisi
###
Libellé du critère quand il sera choisi
###
Libellé du critère quand il sera choisi
###
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
©2015 : Master 2 Qualité et Performance dans les Organisations
page n° 6/36
UTC - Master Qualité - www.utc.fr/master-qualite Réf. 9.1
Onglet : Exigences
Critères d'exigence des articles de la norme
Evaluations Taux %
Libellés des évaluations
Modes de preuve et commentaires
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Surveillance, mesure, analyse et évaluation
Insuffisant
cr 71
Les performances de sécurité de l'information ainsi que l'efficacité du SMSI sont évaluées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 72
Ce qui est nécessaire de surveiller et de mesurer est déterminé
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 73
Les méthodes de surveillance, de mesurage, d'analyse et d'évaluation, pour assurer la validité des résultats sont déterminées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 74
L'organisme détermine quand la surveillance et les mesures doivent être effectuées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 75
L'organisme détermine qui doit effectuer la surveillance et les mesures
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 76
L'organisme détermine quand les résulats de la surveillance et des mesures doivent-être analysées et évaluées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 77
L'organisme détermine qui doit analyser et évaluer les résultats
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 78
Les informations documentées appropriées comme preuves des résultats de la surveillance et des mesures sont conservées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Audit interne
Insuffisant
cr 79
Les audits internes sont planifiés, établis et mis en œuvre à des intervalles déterminés
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 80
Les critères et le périmètre de chaque audit sont définis
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 81
Les auditeurs sont sélectionnés en s'assurant de l'objectivité et de l'impartialité du processus d'audit.
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 82
Les résultats des audits sont communiqués à la direction concernée
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 83
Des informations documentées sont conservées comme preuves de la mise en œuvre du programme d'audit et de ses résultats.
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
Revue de direction
Insuffisant
cr 84
La revue du SMSI est réalisée à des intervalles planifiés pour s'assurer de son efficacité et adéquation avec la stratégie de l'organisme
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 85
La revue de direction prend en compte l'état d'avancement des actions décidées à l'issue des revues de direction précédentes
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 86
La revue de direction prend en compte les modifications des enjeux externes et internes pertinents pour le SMSI
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 87
La revue de direction prend en compte les retours sur les performances de sécurité de l'information
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 88
La revue de direction prend en compte les retours d'informations des parties intéressées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 89
La revue de direction prend en compte les résultats de l'appréciation des risques et l'état d'avancement du plan de traitement des risques
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 90
La revue de direction prend en compte les opportunités d'amélioration continue
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 91
La revue de direction fournit des décisions et actions sur les opportunités d’amélioration, le besoin de modifier le SMSI et le besoin en ressources
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
cr 92
Les éléments de sortie des revues de direction sont conservés sous forme d'informations documentées.
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
###
9.2
9.3
Art. 10 Amélioration 10.1
Non-conformité et action corrective
Version de janvier 2016
0%
Fichier : 549717065.xlsx
0%
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Insuffisant
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Insuffisant
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
©2015 : Master 2 Qualité et Performance dans les Organisations
page n° 7/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Exigences
Réf.
Critères d'exigence des articles de la norme
cr 93
L’organisme réagit à chaque non-conformité pour la corriger, la maîtriser et prendre en charge les conséquences
cr 94 cr 95 cr 95
L’organisme évalue la nécessité de traiter les causes des non-conformités L’organisme met en œuvre toutes les actions correctives requises L'organisation révise l'efficacité de toute action corrective mise en œuvre
Evaluations Taux % Choix de VÉRACITÉ Choix de VÉRACITÉ Choix de VÉRACITÉ Choix de VÉRACITÉ Choix de VÉRACITÉ Choix de VÉRACITÉ
cr 96
L'organisme modifie, si nécessaire, le SMSI
cr 97
Les actions correctives sont à la mesure des effets des non-conformités
cr 98
L'organisation doit conserver des informations documentées comme preuves de la nature des non-conformités et de toute action subséquente et des résultats de toute action corrective
Choix de VÉRACITÉ
10.2
Amélioration continue
Insuffisant
cr 99
L’organisme s’engage à améliorer en continu la pertinence, l'adéquation et la performance du SMSI
Choix de VÉRACITÉ
Version de janvier 2016
0%
Fichier : 549717065.xlsx Libellés des évaluations
Modes de preuve et commentaires
Libellé du critère quand il sera choisi
###
Libellé du critère quand il sera choisi
###
Libellé du critère quand il sera choisi
###
Libellé du critère quand il sera choisi
###
Libellé du critère quand il sera choisi
###
Libellé du critère quand il sera choisi
###
Libellé du critère quand il sera choisi
###
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées. Libellé du critère quand il sera choisi
©2015 : Master 2 Qualité et Performance dans les Organisations
###
page n° 8/36
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013
Impression sur pages A4 100% en format horizontal
Autodiagnostic sur les exigences de l'ISO 27001:2013 Nom de l'établissement / entreprise / organisation...
Etablissement :
Signature du responsable de l'autodiagnostic :
Date de l'autodiagnostic : NOM et Prénom Responsable de l'autodiagnostic :
@:
Tél :
L'équipe d'autodiagnostic : Noms et Prénoms des participants
Réf.
Axes (Ax), Objectifs (AX.x) et Mesures (mes x)
Evaluations
Taux
Niveaux des évaluations
Modes de preuve et commentaires
0.0%
Insuffisant
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Insuffisant
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Attention : 114 critères ne sont pas encore traités
Taux et niveaux de respect des exigences A.5
Politiques de sécurité de l’information
0%
A.5.1
Orientations de la direction en matière de sécurité de l’information
Insuffisant
mes 1
Un ensemble de politiques de sécurité de l’information est défini, approuvé par la direction, diffusé et communiqué aux salariés et aux tiers concernés
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 2
Les politiques de sécurité de l’information sont revues à intervalles programmés ou en cas de changements majeurs pour garantir leur pertinence, leur adéquation et leur effectivité dans le temps
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
A.6
Organisation de la sécurité de l’information
0%
0% 0%
Insuffisant
A.6.1
Organisation interne
Insuffisant
mes 3
Toutes les responsabilités en matière de sécurité de l’information sont définies et attribuées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 4
Les tâches et les domaines de responsabilité incompatibles sont cloisonnés pour limiter les possibilités de modification ou de mauvais usage, non autorisé(e) ou involontaire, des actifs de l’organisation
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 5
Des relations appropriées avec les autorités compétentes sont entretenues
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 6
Des relations appropriées avec des groupes d’intérêt, des forums spécialisés dans la sécurité et des associations professionnelles sont entretenues
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 7
La sécurité de l’information est considérée dans la gestion de projet, quel que soit le type de projet concerné
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
A.6.2
Appareils mobiles et télétravail
Insuffisant
mes 8
Une politique et des mesures de sécurité complémentaires sont adoptées pour gérer les risques découlant de l’utilisation des appareils mobiles
Choix de VÉRACITÉ
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Une politique et des mesures de sécurité complémentaires sont mises en œuvre pour protéger les informations consultées, traitées ou stockées sur des sites de télétravail mes 9
A.7 A.7.1
Sécurité des ressources humaines Avant l'embauche
Insuffisant
0%
Insuffisant
Des vérifications sont effectuées sur tous les candidats à l’embauche conformément aux lois, aux règlements et à l’éthique et sont proportionnées aux exigences métier, à la classification des informations accessibles et aux risques identifiés
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 11
Les accords contractuels entre les salariés et les sous-traitants sont précisés leurs responsabilités et celles de l’organisation en matière de sécurité de l’information.
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
A.7.2
mes 12
Pendant la durée du contrat
Insuffisant
La direction demande à tous les salariés et sous-traitants d’appliquer les règles de sécurité de l’information conformément aux politiques et aux procédures en vigueur dans l’organisation
Choix de VÉRACITÉ
0%
Libellé du critère quand il sera choisi
L’ensemble des salariés de l’organisation et, quand cela est pertinent, des sous-traitants, bénificent d’une sensibilisation et de formations adaptées et recevent régulièrement les mises à jour des politiques et procédures de l’organisation s’appliquant à leurs fonctions
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 14
Un processus disciplinaire formel et existant est connu de tous pour prendre des mesures à l’encontre des salariés ayant enfreint les règles liées à la sécurité de l’information
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
Rupture, terme ou modification du contrat de travail
Insuffisant
mes 15
A.8 A.8.1
Les responsabilités et les missions liées à la sécurité de l’information qui restent valables à l’issue de la rupture, du terme ou de la modification du contrat de travail, sont définies, communiquées au salarié ou au sous-traitant, et appliquées
0%
Choix de VÉRACITÉ
Gestion des actifs
Insuffisant
Insuffisant
mes 16
Les actifs associés à l’information et aux moyens de traitement de l’information sont identifiés et un inventaire de ces actifs est dressé et tenu à jour.
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 17
Les actifs figurant à l’inventaire sont attribués à un propriétaire
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 18
Les règles d’utilisation correcte de l’information, les actifs associés à l’information et les moyens de traitement de l’information sont identifiés, documentés et mis en œuvre
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 19
Tous les salariés et les utilisateurs tiers restituent la totalité des actifs de l’organisation qu’ils ont en leur possession au terme de la période d’emploi, du contrat ou de l’accord
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
Classification de l'information
Insuffisant
0%
S o u s A r t Mesure 12 i La direction doit s’assurer que les candidats et les contractants sont correctement informés sur leurs fonctions et leurs c responsabilités, et qu’ils ont pris connaissance des lignes directrices spécifiant les attentes en matière de sécurité de l l’information. e Les contractants sont incités aussi à appliquer les politiques de sécurité de l’information de l’organisation et acquièrent le niveau nécessaire de sensibilisation. Il est nécessaire aussi qu’ils respectent les conditions de leur embauche, maintenir leur savoir-faire Et qu’ils ont accès à un moyen de communication anonyme.
Mesure 14 Il convient qu’il existe un processus disciplinaire formel garantissant un traitement correct et juste des salariés suspectés d’avoir enfreint les règles de sécurité & que ce processus fournisse des réponses graduées prenant en considération différents facteurs comme la nature et la gravité de la violation et l’impact sur les activités de l’organisation.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Responsabilités relatives aux actifs
A.8.2
0%
A S r o t u i s c -l A e r t On vise à s’assurer que les salariés et les contractants comprennent leurs responsabilités et qu’ils soient compétents i pour mieux gérer la sécurité de l’information. c Mesure 10 l Ils convient que les informations concernant les candidats soient vérifiées conformément aux lois, aux règlements et à e l’éthique et cohérentes avec les exigences métier.
Mesure 13 Il convient que l’apprentissage et les formations à la sécurité de l’information couvrent les aspects suivants ; La démonstration de l’engagement de la direction en matière de sécurité SI. La nécessité de se familiariser avec les règles et les obligations applicables L’imputabilité à chacun de ses actions et de son inaction Les procédures élémentaires en matière de sécurité de l’information Les point d’accès et des ressources disponibles pour plus d’informations et de conseils sur la sécurité de l’information.
Mesure 15 Il convient de que ; Les responsabilités liées aux fins de contrats incluent les exigences permanentes liées à la sécurité et les responsabilités légales ainsi que le cas échéant, les responsabilités figurant dans tout engagement de confidentialité et dans les conditions d’embauche. Les responsabilités et les missions encore valables au-delà de la rupture ou du terme du contrat de travail figurent dans les conditions du contrat du salarié ou du contractant. L’organisation doit gérer les changements de poste ou de responsabilités comme un terme mis au poste ou aux responsabilités en question ainsi que de déterminer les nouvelles responsabilités ou les nouvelles fonctions.
Libellé du critère quand il sera choisi
0%
On vise à établir un cadre de gestion pour piloter la mise en œuvre et le fonctionnement de la SSI au sein de l’organisme. Mesure 3 & 4 Il convient à préciser les domaines de responsabilités ; Identifier et déterminer les actifs et les processus de sécurité ; d’affecter ces actifs à son entité responsable & de définir et documenter les différents niveaux d’autorisation. Mesure 5 Il est nécessaire aussi que les responsables soient compétents et capables d’assurer des suivis efficaces de cette opération. Mesure 6 Il convient aussi à organiser et documenter les activités de coordination et de supervision relatives aux questions de sécurités en rapport avec les fournisseurs. Ils convient d'envisager une inscription à des groupes d’intérêts ou à des forums spécialisés afin de mieux connaitre les bonnes pratiques, s’assurer sur la mise à jour de l’environnement de la sécurité de l’information, avoir accès à des conseils et des supports de la part des spécialistes et de partager et échanger des informations sur les nouvelles technologies disponibles. Mesure 7 Il convient que les méthodes de gestion de projet en vigueur imposent l’intégration des objectifs de la sécurité de S l’information avec les objectifs du projet, une appréciation des risques effectuée dès le début du projet et que la sécurité o de l’information soit intégrée à toutes les phases du projet. u s A r t Mesure 8 i Il convient que la politique en matière d’appareils mobiles envisage : c L’enregistrement des appareils mobiles l Les exigences liées à la protection physique e Les restrictions liées à l’installation de logiciels Les exigences liées aux versions logicielles des appareils mobiles Les restrictions liées aux connexions à des services d’information Les contrôles d’accès Les techniques cryptographiques La protection contre les logiciels malveillants La désactivation de l’effacement des données ou le verrouillage à distance Les sauvegardes L’utilisation des services web et des applications web.
Mesure 11 Il convient que les accords contractuels conclus avec les salariés et les contractants déterminent leurs responsabilités et celles de l’organisation en matière de sécurité de l’information. Il convient que les obligations contractuelles mettent en évidence les politiques de sécurité de l’information de l’organisation. Il convient d’informer clairement les candidats sur les rôles et les responsabilités lors du processus de préembauche.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
mes 13
A.7.3
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
mes 10
A S ro tu is -c l A re t i c l e
Mesure 9 Il convient d’envisager les aspects suivants : le niveau de sécurité physique sur les sites de télétravail, l’environnement physique, les exigences en matière des communications, la fourniture de l’accès à un bureau virtuel, les menaces des accès non autorisés, l’utilisation et la configuration des réseaux domestiques, les politiques et procédures mise au point pour prévenir tout litige relatif aux droit de propriété intellectuelle, l’accès au matériel détenu à titre privé par des salariés et des utilisateurs tiers ainsi que les exigences relatives à la protection antivirus et au pare-feu.
Libellé du critère quand il sera choisi
0%
Nb critères Mesure 1 Il convient que l’organisme définisse la stratégie, les règlementations, les législations et les contrats & l’environnement convenable pour l’identification des menaces SSI La politique de la sécurité du SI comporte ; Une définition claire de la sécurité du SI ainsi que les objectifs principaux pour mieux gérer les activités SSI. L’attribution des responsabilités Les processus de traitement des dérogations et des exceptions Mesure 2 Il convient que chaque politique soit affectée à un responsable qui accepte de développer, évaluer et revoir cette politique.
Libellé du critère quand il sera choisi
Choix de VÉRACITÉ
Guides des bonnes pratiques selon ISO 27002
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
A S r o tu is c lA e r
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
S o u s A r t i c l e
Mesure 16 Il convient que ; L’organisation identifie les actifs pertinents dans le cycle de vie de l’information et documente leur importance. L’inventaire des actifs soit précis, à jour, cohérent et en adéquation avec les autres inventaires. L’organisation attribue à chaque actif un propriétaire et d’identifier la classification.
t i c l e
Mesure 17 Il convient que le propriétaire de l’actif ; S’assure que les actifs sont inventoriés. S’assurer que les actifs sont correctement classés et protégés Définisse et revoit périodiquement les classifications S’assure que les manipulations de suppression ou de destruction des actifs sont réalisées correctement. Mesure 18 Les salariés et les utilisateurs tiers qui ont accès aux actifs de l’organisation doivent être conscients des exigences de sécurité de l’information. Et qu’ils soient responsables de l’utilisation qu’ils font de toutes les ressources. Mesure 19 Il convient que le processus de fin de mission ou d’emploi inclus la restriction de tous les actifs physiques et électroniques crées. Le salarié ou l’utilisateur tiers doivent transférer les connaissances importantes au administration. L’organisation doit vérifier que le salarié quittant son poste ne possède pas de données importantes pendant la période de préavis.
S o u s A r t i c l e
mes 20
Les informations sont classifiées en termes d’exigences légales, de valeur, de caractère critique et de sensibilité au regard d’une divulgation ou modification non autorisée
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 21
Un ensemble approprié de procédures pour le marquage de l’information est élaboré et mis en œuvre conformément au plan de classification adopté par l’organisation
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 22
Des procédures de traitement de l’information sont élaborées et mises en œuvre conformément au plan de classification de l’information adopté par l’organisation
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
Manipulation des supports
Insuffisant
A.8.3
0%
Des procédures de gestion des supports amovibles sont mises en œuvre conformément au plan de classification adopté par l’organisation
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 24
Les supports qui ne sont plus nécessaires sont mis au rebut de manière sécurisée en suivant des procédures formelles
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 25
Les supports contenant de l’information sont protégés contre les accès non autorisés, les erreurs d’utilisation et l’altération lors du transport
Choix de VÉRACITÉ
A.9.1
Contrôle d’accès Exigences métier en matière de contrôle d’accès
mes 26
Une politique de contrôle d’accès est établie, documentée et revue sur la base des exigences métier et de sécurité de l’information
Choix de VÉRACITÉ
mes 27
Les utilisateurs ont uniquement accès au réseau et aux services réseau pour lesquels ils ont spécifiquement reçu une autorisation
Choix de VÉRACITÉ
Gestion d'accès utilisateur
Insuffisant
Un processus formel d’enregistrement et de désinscription des utilisateurs est mis en œuvre pour permettre l’attribution des droits d’accès
Choix de VÉRACITÉ
A.9.2
mes 28
mes 29
mes 30
mes 31
mes 32
Un processus formel de distribution des accès aux utilisateurs sont mis en œuvre pour attribuer et retirer des droits d’accès à tous types d’utilisateurs sur l’ensemble des services et des systèmes
L’allocation et l’utilisation des droits d’accès à privilèges sont restreintes et contrôlées
Choix de VÉRACITÉ
Les propriétaires d’actifs vérifient les droits d’accès des utilisateurs à intervalles réguliers
Choix de VÉRACITÉ
Choix de VÉRACITÉ
Responsabilités des utilisateurs
Insuffisant
Les utilisateurs suivent les pratiques de l’organisation pour l’utilisation des informations secrètes d’authentification
Choix de VÉRACITÉ
Contrôle de l’accès au système et à l’information
Insuffisant
mes 35
L’accès à l’information et aux fonctions d’application système sont restreint conformément à la politique de contrôle d’accès
Choix de VÉRACITÉ
mes 36
Lorsque la politique de contrôle d’accès l’exige, l’accès aux systèmes et aux applications sont contrôlé par une procédure de connexion sécurisée
Choix de VÉRACITÉ
A.9.3
mes 34
A.9.4
Mesure 23 Pour la gestion des supports amovibles, il convient ; De rendre impossible toute récupération du contenu d’un support réutilisable devant être retiré de l’organisation si le contenu n’est pas indispensable. Exiger une autorisation pour le retrait de supports de l’organisation et de garder des enregistrements de ces retraits pour assurer la traçabilité. De stocker tous les supports dans un environnement sûr. Utiliser des techniques de cryptographie pour protéger les données impliquant la confidentialité ou l’intégrité. Transférer les données dans un support neuf afin de limiter les risques liés à la dégradation des supports. De stocker des diverses copies de données de valeur sur des supports séparés pour réduire le risque d’endommagement ou de perte. Ainsi que d’envisager de tenir un registre de supports amovibles. De n’activer les lectures de supports que si les activités sont nécessaires. De contrôler le transfert de l’information sur les supports amovibles si leurs utilisations sont nécessaires.
Insuffisant
Mesure 25 Il convient que ; Le transporteur soit fiable Etablir une liste des coursiers autorisés Mettre au point des procédures de contrôle de l’identification des coursiers. L’emballage choisi soit suffisant pour protéger le contenu. De conserver les journaux identifiant le contenu du support. Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
0%
Libellé du critère quand il sera choisi
Libellé du critère quand il sera choisi
Libellé du critère quand il sera choisi
Libellé du critère quand il sera choisi
Libellé du critère quand il sera choisi
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
0%
Mesure 26 Il convient que ; Tenir compte des exigences en matière de sécurité de l’information. Tenir compte de la politique relative à la diffusion de l’information et aux autorisations. La politique de classification et celle des droits d’accès doivent être cohérentes. Tenir compte des législations et des obligations contractuelles applicables relatives à la limitation de l’accès aux données et aux services. Tenir compte de l’environnement décentralisé lors de la gestion des droits d’accès. Tenir compte des exigences en matière d’autorisation formelle des requêtes d’accès et des revues régulières des droits d’accès. Tenir compte des fonctions avec accès privilégié et de l’archivage des enregistrements de tous les évènements significatifs.
Mesure 27 Il convient de définir la politique d’utilisation des réseaux ; Elle couvre ; Les réseaux et leurs services dont l’accès est autorisé Les procédures d’autorisation d’accès aux personnes autorisées Les procédures de mesure de gestion Les moyens d’accès aux réseaux Les exigences d’authentifications de l’utilisateur La surveillance de l’utilisation
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
Libellé du critère quand il sera choisi
S o u s A r t i c l e
Mesure 24 Il convient que les procédures de mise au rebut sécurisée des supports contenant de l’information confidentielle soient proportionnelles à la sensibilité de cette information.
Libellé du critère quand il sera choisi
Choix de VÉRACITÉ
Les droits d’accès aux informations et aux moyens de traitement des informations de l’ensemble des salariés et utilisateurs tiers sont supprimés à la fin de leur période d’emploi, ou adaptés en cas de modification du contrat ou de l’accord
mes 33
0%
Choix de VÉRACITÉ
L’attribution des informations secrètes d’authentification sont réalisée dans le cadre d’un processus de gestion formel
Mesure 22 Il convient que ; à chaque niveau de classification, les accès soient restreint pour renforcer les exigences de protection. Des enregistrements formels des personnes autorisées à recevoir des actifs, soient tenu à jour. Des copies temporelles ou permanentes de l’information soient protégées. Des actifs de l’information soient stockés selon les spécifications du fabriquant. Toutes copies de support soient marquées par le nom de la personne autorisée à les recevoir.
Libellé du critère quand il sera choisi
0% Insuffisant
Mesure 21 Les procédures de marquage de l’information doivent s’appliquer à l’information et aux actifs associés présentés sous format physique ou électronique. Les données délivrées par des systèmes contenant de l’information classée comme sensible ou critique doivent porter des marquages appropriés.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
mes 23
A.9
Mesure 20 Il convient que la classification de l’information et les mesures de protection tiennent compte des besoins de l’organisation en terme de partage ou de limitation de l’information. Et que le propriétaire des actifs liés à l’information soit responsable de cette classification. Il convient aussi de prendre en considération des critères de revues et des conventions de classification, d’attribuer à chaque niveau un nom significatif et logique ainsi que d’assurer que le même plan soit appliqué dans toute l’organisation. Finalement, il convient que la classification soit intégrée aux processus de l’organisation.
Mesure 28 Il convient ; De ne pas autoriser l’utilisation d’identifiants communs que lorsque les aspects opérationnels l’exigent. Supprimer ou bloquer immédiatement des identifiants des salariés qui ont quitté l’organisation. Détecter périodiquement les identifiants des utilisateurs redondants et qu’ ils ne sont pas attribués à d’autre utilisateurs.
A S r o t u i s -c l A re t i c l e
S o u s A r t i c l e
Mesure 29 Il convient ; Les utilisateurs doivent obtenir une autorisation d’utiliser le réseau de la part du propriétaire. De vérifier que le niveau d’accès aux réseaux est conforme avec la politique SSI. D’assurer que les droits d’accès ne sont pas activés tant que le processus d’autorisation n’est pas terminé. Qu’un enregistrement des droits d’accès soit tenu à jour. D’adapter les droits d’accès pour les personnes qui ont changé de poste et de bloquer les identifiants de ceux qui ont quitté l’organisation. D’établir un revue régulier des droits d’accès
Mesure 30 Il convient : D’identifier les privilèges d’accès associés à chaque système ou chaque processus. D’attribuer des privilèges d’accès aux utilisateurs en suivant les impératifs liés à leur activité. Que ces privilèges attribués sont enregistrés et mis à jour. De définir les exigences en matière d’expiration des privilèges d’accès. Que l’identifiant d’accès aux privilèges est différent de celui de l’employé pour les tâches ordinaires. De suivre les compétences des utilisateurs bénéficiant de privilèges. De tenir à jour des procédures pour empêcher l’utilisation non autorisée d’identifiants génériques d’administration. Pour les identifiants génériques, l’organisation doit préserver la confidentialité des informations secrètes d’authentification lorsque ces identifiants sont partagés.
Mesure 31 Il convient ; Que les utilisateurs s’engagent pour ne pas divulguer leurs informations secrètes d’authentification personnelle. Les Utilisateurs doivent définir par eux-mêmes leurs informations secrètes d’authentification. D’établir une procédure d’identification les identités des personnes avant de lui attribuer des nouvelles informations secrètes d’authentification. De garantir la sécurité de communication des données d’authentification. Que les informations secrètes d’authentification soient uniques pour chaque personne et qu’ils soient impossible de les deviner et que les utilisateurs accusent réception de ces données. Que ces informations par défaut définies par les constructeurs et éditeurs soient modifiées après l’installation des systèmes ou logiciels.
Mesure 32 Il convient ; De revoir les droits d’accès utilisateurs régulièrement et après avoir effectué des changements. De revoir la réattribution des droits d’accès utilisateurs. De revoir régulièrement les autorisations liées à des droits d’accès privilégiés. De journaliser périodiquement les modifications apportées aux comptes dotés de privilèges. Mesure 33 Il convient d’assurer la suppression ou la restriction les droits d’accès à l’information et aux actifs associés aux moyens de traitement de l’information avant la fin de la période d’emploi ou modification de contrat selon les critères suivants ; Cas de résiliation ou modification du contrat à l’initiative du salarié, de l’utilisateur tiers ou de la direction en mentionnant le motif. Selon les responsabilités du salarié de l’utilisateur tiers ou autres utilisateurs. La valeur des actifs accessibles. S o u s A r t Mesure 34 i Il convient que l’utilisateur ; c Préserve la confidentialité de ces données. l Ne pas conserver des enregistrements des informations secrètes d’authentification sauf si la méthode de stockage a été e approuvée. Changes ses informations d’authentification à chaque fois que quelque chose indique qu’elles pourraient être compromises. Bien choisi des mots de passe de qualité et d’une longueur minimale suffisante. Ne jamais partager les informations secrètes d’une personne. Protège ses mots de passes. S Ne pas utiliser ses données d’authentification pour des activités extra-professionnelles. o u s A r t Mesure 35 i Il convient d’envisager de ; c Créer des menus permettant de contrôler l’accès aux fonctions d’application système. l Contrôler les données auxquelles peut accéder un utilisateur donné. e Contrôler les droits d’accès utilisateurs. Contrôler les droits d’accès à d’autres applications. Limiter les informations contenues dans les éléments de sortie. Isoler les applications, les données des applications ou les systèmes sensibles par des contrôles d’accès physiques ou logiques.
Mesure 36 Il convient ; De choisir une technique d’authentification permettant de vérifier l’identité déclarée par l’utilisateur. Lorsque le niveau d’authentification est élevé, il est recommandé d’utiliser des méthodes d’authentification autres que le mot de passe. Concevoir une procédure de connexion à un système ou application pour réduire le risque d’accès non autorisés.
mes 37
mes 38
mes 39
Les systèmes qui gèrent les mots de passe sont interactifs et doivent garantir la qualité des mots de passe
Choix de VÉRACITÉ
L’utilisation des programmes utilitaires permettant de contourner les mesures de sécurité d’un système ou d’une application sont limitée et étroitement contrôlée
Choix de VÉRACITÉ
L’accès au code source des programmes est restreint
Choix de VÉRACITÉ
A.10
Cryptographie
A.10.1
Mesures cryptographiques
Libellé du critère quand il sera choisi
0%
Insuffisant
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 41
Une politique sur l’utilisation, la protection et la durée de vie des clés cryptographiques est élaborée et mise en œuvre tout au long de leur cycle de vie
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
A.11.1
Zones sécurisées
mes 42
Des périmètres de sécurité sont définis et utilisés pour protéger les zones contenant l’information sensible ou critique et les moyens de traitement de l’information
0% Insuffisant
0%
Choix de VÉRACITÉ
Insuffisant
Mesure 40 Il convient de ; Prendre en compte l’approche de la direction en ce qui concerne l’utilisation de mesures cryptographiques au sein de l’organisation. Identifier le niveau de protection requis en tenant compte du type, de la puissance et de la qualité de l’algorithme de chiffrement requis. Utiliser une technique de chiffrement en vue de protéger les informations transportées sur des appareils amovibles ou mobiles et de prendre en compte l’approche de gestion des clés. Tenir compte des rôles et des responsabilités et les normes à adopter pour la mise en œuvre efficace. Ainsi que l’incidence du chiffrement de l’information dans le cas des mesures reposant sur l’analyse de contenu. Mesure 41 Il convient ; Que la politique comporte des exigences de gestion des clés cryptographiques. De sélectionner les algorithmes de chiffrement, la longueur des clés et les pratiques d’utilisation conformément aux bonnes pratiques. De protéger toutes les clés cryptographiques contre tout risque de perte ou de modification. Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
mes 43
Les zones sécurisées sont protégées par des contrôles adéquats à l’entrée pour s’assurer que seul le personnel autorisé est admis
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 44
Des mesures de sécurité physique aux bureaux, aux salles et aux équipements sont conçues et appliquées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 45
Des mesures de protection physique contre les désastres naturels, les attaques malveillantes ou les accidents sont conçues et appliquées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 46
Des procédures pour le travail dans les zones sécurisées sont conçues et appliquées.
Choix de VÉRACITÉ
mes 47
Les points d’accès tels que les zones de livraison et de chargement et les autres points par lesquels des personnes non autorisées peuvent pénétrer dans les locaux sont contrôlés et, si possible, isolé des moyens de traitement de l'information, de facon a eviter les accès non autorisés
Choix de VÉRACITÉ
A.11.2
Matériels
Insuffisant
mes 48
Les matériels sont localisés et protégés de manière à réduire les risques liés à des menaces et des dangers environnementaux et les possibilités d’accès non autorisé
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 49
Les matériels sont protégés des coupures de courant et autres perturbations dues à une défaillance des services généraux
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 50
Les câbles électriques ou de télécommunication transportant des données ou supportant les services d’information sont protégés contre toute interception ou tout dommage
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 51
Les matériels sont entretenus correctement pour garantir leur disponibilité permanente et leur intégrité
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 52
Les matériels, les informations ou les logiciels des locaux de l’organisation ne sortent pas sortir sans autorisation préalable
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 53
Des mesures de sécurité sont appliquées aux matériels utilisés hors des locaux de l’organisation en tenant compte des différents risques associés au travail hors site
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 54
Tous les composants des matériels contenant des supports de stockage sont vérifiés pour s’assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant leur mise au rebut ou leur réutilisation
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 55
Les utilisateurs s'assurent que les matériels non surveillés sont dotés d’une protection appropriée
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 56
Une politique du bureau propre pour les documents papier et les supports de stockage amovibles, et une politique de l’écran verrouillé pour les moyens de traitement de l’information sont adoptées
Choix de VÉRACITÉ
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Une politique d’utilisation des mesures cryptographiques en vue de protéger l’information est élaborée et mise en œuvre
Sécurité physique et environnementale
Mesure 39 Il convient ; D’exercer un contrôle strict de l’accès au code source des programmes et aux éléments associés. Ce contrôle peut prendre la forme d’un stockage centralisé du code, de préférence dans les bibliothèques de programmes sources. De prendre en compte les lignes directrices nécessaires pour contrôler l’accès aux bibliothèques de programmes sources.
Libellé du critère quand il sera choisi
mes 40
A.11
Mesure 38 Il convient ; De séparer les programmes unitaires des logiciels d’application et d’utiliser des procédures d’identification d’authentification et d’autorisation spécifiques aux programmes unitaires. De limiter l’emploi des programmes unitaires à un nombre minimal acceptable d’utilisateurs. D’autoriser une utilisation AD HOC des programmes unitaires et de poser des limites à la disponibilité de ces programmes et de journaliser toutes utilisations de ces programmes. De définir et documenter les niveaux d’autorisation relatifs aux programmes utilitaires et de désinstaller ou désactiver tous programmes utilitaires. De ne pas mettre de programmes unitaires à la disposition des utilisateurs ayant accès à des applications relatives à des systèmes pour lesquels la séparation des tâches est requise.
Libellé du critère quand il sera choisi
0%
Insuffisant
Mesure 37 Il convient ; Que le système de gestion des mots de passe impose l’utilisation d’identifiants et de mots de passe individuels et autorise cet utilisateur de choisir et modifier ses données en tenant compte d’une procédure de confirmation afin de prendre en considération les erreurs de saisie. Aussi ce système doit imposer un choix de mot de passe de qualité et de changer de mot de passe après la première connexion puis des changements réguliers. Il doit aussi tenir à jour un enregistrement des anciens mots de passe et de ne jamais afficher les mots de passe à l’écran lors de leur saisie. Il doit aussi stocker les fichiers de mots de passe sous une forme protégée à d’autres emplacement que celui des données d’application système.
Libellé du critère quand il sera choisi
Libellé du critère quand il sera choisi
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
Mesure 42 Il convient ; De définir des périmètres de sécurité en fonctions des exigences relatives à la sécurité des actifs. Que le périmètre d’un bâtiment ou d’un site abritant des moyens de traitement d’information soit physiquement solide. De placer des responsables d’accueil dans ces bâtiments. S’il est nécessaire de placer des barrières pour empêcher les accès non autorisés et d’équiper d’une alarme l’ensemble des portes-coupe-feu du périmètre de sécurité. D’installer des systèmes de détection des intrus et de séparer physiquement les moyens de traitement de l’information.
A r S t o i u c s -l e A r t i c l e
A S r o t u i s -c l A re t i c l e
Mesure 43 Il convient ; De consigner la date et l’heure d’arrivée et de départ des visiteurs et assurer leur encadrement. Que l’accès aux zones de traitement des données confidentielles n’est autorisé qu’aux responsables. Documenter et mettre à jour régulièrement le système de traçabilité électronique de tous les accès. Que les salariés portent des moyens d’identification visibles. D’accorder un accès limité aux responsables d’assistance technique des tiers. De mettre à jour régulièrement les droits d’accès aux zones sécurisées. Mesure 44 Il convient ; De choisir un emplacement non accessible au public en ce qui concerne les équipements-clés. Que le bâtiment soit discret et donne le minimum d’indications sur les finalités de équipements. Que les équipements soient configurés de manière à empêcher la visibilité des informations confidentielles. Que les répertoires et annuaires téléphoniques internes identifiant les emplacements des moyens de traitement de l’information confidentielle ne soient pas accessibles sans autorisation. Mesure 45 Il convient ; De solliciter les conseils des spécialistes afin d’éviter les dommages causés par les incidents et les catastrophes naturelles ou d’origine humaine. Mesure 46 Il convient ; D’informer le personnel de l’existence de zones sécurisées et d’éviter le travail non supervisé ou encadré dans ces zones. De verrouiller physiquement et de contrôler périodiquement les zones sécurisées. D’interdire tout moyen photographique ou moyen d’enregistrement sauf autorisation.
Mesure 47 Il convient ; Que l’accès aux zones de chargement ou de livraison n’est possible que pour les personnes autorisées et que ces zones soient conçues de façon à empêcher l’accès à d’autres zones du bâtiment. De sécuriser les portes extérieures de la zone de livraison lorsque les portes intérieures sont ouvertes. De vérifier la présence éventuelle de substances explosives ou chimiques avant qu’elles ne quittent la zone de livraison. D’enregistrer régulièrement les actifs dès leur arrivée sur le site et de séparer les livraisons des expéditions. De vérifier la présence d’altérations survenues et prévenir immédiatement le personnel de sécurité de toute découverte S de ce type. o u s A r t Mesure 48 i Il convient ; c De déterminer un emplacement pour le matériel permettant de réduire au minimum les accès inutiles aux zones de l travail. e De positionner avec soin les moyens de traitement des informations. De sécuriser les moyens de stockage et de protéger tous les éléments qui nécessitent une protection particulaire. D’adopter des mesures visant de réduire au minimum les risques des menaces physiques. De fixer des directives sur le fait de manger, boire et fumer à proximité des moyens de traitement de l’information et de surveiller les conditions ambiantes comme la température et l’humidité. De protéger les moyens de traitement des informations confidentielles. D’équiper le bâtiment d’un paratonnerre et d’envisager des méthodes spéciales de protection pour le matériel.
Mesure 49 Il convient ; Que les services généraux Soient conformes aux spécifications du fabriquant du matériel et aux exigences locales. D’évaluer et examiner régulièrement ces services pour assurer leur bon fonctionnement. Que les services généraux soient équipés si nécessaire d’alarmes de détection de dysfonctionnement et qu’ils disposent d’alimentations multiples s’il est nécessaire. Mesure 50 Il convient de sécuriser le câblage ; D’enterre les lignes électriques et les lignes de télécommunication branchées aux moyens de traitement de l’information. De séparer ces deux types de câblage afin d’éviter toute interférence. Prendre en considération des mesures supplémentaires pour les systèmes sensibles ou critiques.
Mesure 51 Il convient ; D’entretenir le matériel selon les spécifications indiquées et que cette opération soit réalisée par un seul personnel autorisé. De documenter toutes les pannes rencontrées ou potentielles. De bien planifier les interventions sur le matériel et de respecter toutes les exigences de maintenance. D’inspecter le matériel réparé avant de le remettre en marche. Mesure 52 Il convient ; D’identifier clairement les salariés et les tiers qui ont autorisé le retrait des actifs du site. De fixer des limites dans le temps pour faire sortir ces actifs et leurs dates de retour. D’enregistrer la sortie des actifs et leurs retours dans les locaux de l’organisation. De documenter l’identité et la fonction de toute personne qui manipule les actifs. Mesure 53 Il convient ; De ne pas laisser le matériel et les supports de données sortis des locaux sans surveillance. D’observer les instructions du fabricant pour protéger le matériel. De déterminer les mesures pour les remplacements de travail hors site. Tenir à jour un journal de circulation du matériel entre les personnes ou entre tiers en dehors de l’organisation. Mesure 54 Il convient de réduire les supports physiques contenant des informations confidentielles ou protégés par le droit d’auteur.
Mesure 55 Il convient ; De fermer les sessions actives après avoir terminé le travail sauf si ces sessions sont sécurisées par un mécanisme de verrouillage approprié. De se déconnecter des applications ou du réseau lorsque les utilisateurs n’ont plus besoin. De protéger les ordinateurs ou les appareils mobiles par des mots de passe contre toutes utilisations non autorisées.
Mesure 56 Il convient ; De mettre les informations sensibles ou critiques de l’organisation dans un coffre-fort ou toute autre meuble de sécurité. De déconnecter ou verrouiller les ordinateurs lorsqu‘ils sont laissés sans surveillance. D’empêcher l’utilisation non autorisée des photocopieurs ou autre type d’appareils de reproduction et de retirer immédiatement des imprimantes les documents contenant des informations sensibles.
A.12
Sécurité liée à l’exploitation
A.12.1
Procédures et responsabilités liées à l’exploitation
mes 57
Les procédures d’exploitation sont documentées et mises à disposition de tous les utilisateurs concernés
0% Insuffisant
0%
Choix de VÉRACITÉ
Insuffisant
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Les changements apportés à l’organisation, aux processus métier, aux systèmes et moyens de traitement de l’information ayant une incidence sur la sécurité de l’information sont contrôlés
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 59
L’utilisation des ressources sont surveillée et ajustée et des projections sur les dimensionnements futurs sont effectuées pour garantir les performances exigées du système
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
Les environnements de développement, de test et d’exploitation sont séparés pour réduire les risques d’accès ou de changements non autorisés dans l’environnement en exploitation
Choix de VÉRACITÉ
A.12.2
Protection contre les logiciels malveillants
Insuffisant
mes 61
Les environnements de développement, de test et d’exploitation sont séparés pour réduire les risques d’accès ou de changements non autorisés dans l’environnement en exploitation
Choix de VÉRACITÉ
A.12.3
Sauvegarde
Insuffisant
mes 62
Des copies de sauvegarde de l’information, des logiciels et des images systèmes sont réalisés et testés régulièrement conformément à une politique de sauvegarde convenue
Choix de VÉRACITÉ
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
Journalisation et surveillance
Insuffisant
Des journaux d’événements enregistrant les activités de l’utilisateur, les exceptions, les défaillances et les événements liés à la sécurité de l’information sont créés, tenus à jour et vérifiés régulièrement
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 64
Les moyens de journalisation et d’information journalisée sont protégés contre les risques de falsification ou d’accès non autorisé
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 65
Les activités de l’administrateur système et de l’opérateur système sont journalisées, protégées et vérifiées régulièrement
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 66
Les horloges de l’ensemble des systèmes de traitement de l’information concernés d’une organisation ou d’un domaine de sécurité sont synchronisées sur une source de référence temporelle unique
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
A.12.5
Maîtrise des logiciels en exploitation
Insuffisant
0%
0%
Choix de VÉRACITÉ
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Gestion des vulnérabilités techniques
Insuffisant
mes 68
Des informations sur les vulnérabilités techniques des systèmes d’information en exploitation sont obtenues en temps opportun, l’exposition de l’organisation à ces vulnérabilités est évaluée et les mesures appropriées sont prises pour traiter le risque associé
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 69
Des règles régissant l’installation de logiciels par les utilisateurs sont établies et mises en œuvre
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
A.12.7
Considérations sur l’audit des systèmes d’information
Insuffisant
Les exigences et activités d’audit impliquant des vérifications sur des systèmes en exploitation sont prévues avec soin et validées
A.13
Sécurité des communications
A.13.1
Gestion de la sécurité des réseaux
0%
Choix de VÉRACITÉ
0%
Insuffisant
Libellé du critère quand il sera choisi
mes 72
Pour tous les services de réseau, les mécanismes de sécurité, les niveaux de service et les exigences de gestion, sont identifiés et intégrés dans les accords de services de réseau, que ces services soient fournis en interne ou externalisés
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
A.13.2
Transfert de l’information
Insuffisant
Mesure 68 Il convient ; De disposer d’un inventaire des actifs, exhaustif à jour. Que l’information spécifique nécessaire à la gestion des vulnérabilités techniques comporte le nom de l’éditeur du logiciel, les numéros de version, l’état de déploiement et le nom de la personne responsable du logiciel au sein de l’organisation. Mesure 69 Il convient ; D’imposer une politique stricte sur le type de logiciel que les utilisateurs peuvent installer. D’appliquer le principe de moindre privilège. L’organisation détermine le type des logiciels autorisés à installer. D’accorder des privilèges en tenant compte des fonctions des utilisateurs concernés.
Mesure 70 Il convient ; D’arrêter avec la direction concernée les exigences d’audit liées aux systèmes et aux données. D’arrêter le domaine d’application des tests techniques d’audits et de le contrôler. De limiter les tests d’audit à un accès en lecture seule des logiciels et des données et que l’accès autres qu’en lecture seule ne soient autorisés que pour des copies séparées des fichiers système. D’identifier et arrêter les exigences relatives aux traitements particuliers ou supplémentaires et que les tests d’audit pouvant compromettre la disponibilité du système soient réalisés en dehors des heures de travail. De contrôler et journaliser tous les accès pour que la traçabilité fasse référence.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Choix de VÉRACITÉ
Choix de VÉRACITÉ
Mesure 67 Il convient de prendre en considération ; La mise à jours du logiciel en exploitation. Que les systèmes en exploitation ne contiennent que des codes exécutables. De mettre en œuvre que les applications et les logiciels donnant une satisfaction lors des tests. D’utiliser un système de contrôle des configurations et mettre en place une stratégie de retour en arrière avant d’appliquer des modifications. Tenir à jour un journal d’audit et de conserver les versions antérieures du logiciel d’application à titre de mesure de secours. Archiver les versions antérieures des logiciels.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Les réseaux sont gérés et contrôlés pour protéger l’information contenue dans les systèmes et les applications
Les groupes de services d’information, d’utilisateurs et de systèmes d’information sont cloisonnés sur les réseaux
Mesure 66 Il convient ; De documenter les exigences internes et externes liées à la représentation de l’heure, la synchronisation et la précision. De documenter et de mettre en œuvre la méthode utilisée par l’organisation pour obtenir une heure de référence.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
mes 71
mes 73
Mesure 65 Il convient ; De protéger et revoir les journaux afin de garantir l’imputabilité des utilisateurs dotés de privilèges.
Libellé du critère quand il sera choisi
0% Insuffisant
Mesure 64 Il convient ; De prendre en considération les altérations des messages enregistrés. De prendre en compte la modification ou la suppression des fichiers journaux De prendre en compte le dépassement de la capacité du support de stockage du fichier journal.
Libellé du critère quand il sera choisi
0%
Libellé du critère quand il sera choisi
0%
S o u s A r t Mesure 61 i Il convient : c D’établir une politique formelle prohibant l’utilisation des logiciels non autorisés. Etablir une procédure de contrôle pour empêcher ou détecter l’utilisation de logiciels non autorisés ou sites web connus l e pour leur malveillance. Mettre en œuvre une politique de protection contre les risques liés aux fichiers et logiciels issus des réseaux externes. De réduire les vulnérabilités aux logiciels malveillants et mener des revues régulières des logiciels et de contenu des données des systèmes. D’installer et mettre à jour les logiciels de détection et de réparation Définir des procédures de responsabilité de protection du système et établir des plans de continuité des actions. D’établir des procédures de vérification de l’information en rapport avec les logiciels malveillants et recueillir S régulièrement ces informations. o D’isoler les environnements au sein desquels les conséquences peuvent s’avérer désastreuses. u s A r t Mesure 62 i Il convient ; c De produire des enregistrements exacts et complets des copies de sauvegarde effectuées et des procédures de l restauration documentées. Que l’étendue des sauvegardes et leur fréquence rendent compte des exigences métier et celle relatives à la sécurité de e l’information. De placer les sauvegardes dans un endroit distant du site principal et de doter d’un niveau de protection physique et environnementale cohérents avec les normes appliquées. S De tester régulièrement les supports de sauvegarde. o De protéger les sauvegardes en les chiffrant, si le niveau de confidentialité est important. u s A r t Mesure 63 Il convient que les journaux d’évènements contiennent des informations sur les identifiants des utilisateurs, les activités i c du système, les dates et les heures et les détails des évènements significatifs, les enregistrements des tentatives l d’accès, les modifications apportées à la configuration du système et l’utilisation des privilèges… e
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
A.12.6
mes 70
Mesure 60 Il convient ; De définir et documenter les règles concernant le passage des logiciels Exécuter les logiciels de développement et les logiciels d’exploitation sur des systèmes informatiques différents. De tester les modifications apportées aux systèmes et aux applications en exploitation dans un environnement de test ou de production avant l’application aux système en exploitation. De ne pas procéder à des tests sur des systèmes d’exploitation en dehors de circonstances exceptionnelles. Pas d’accès aux compilateurs ou éditeurs à partir des systèmes en exploitation que si nécessaire. Utiliser des profils utilisateurs différents pour les systèmes en exploitation et les systèmes de test. De ne pas copier des données sensibles dans l’environnement de test.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
A.12.4
Des procédures sont mises en œuvre pour contrôler l’installation de logiciel sur des systèmes en exploitation
Mesure 59 Il convient ; De supprimer les données obsolètes. De mettre hors service, d’applications, de systèmes, de bases de données ou d’environnements ; Optimiser des traitements par lots et de planification Optimiser la logique des applications ou des requêtes de bases de données. De refuser les services gourmands en ressources ou limitation de bande passante.
Libellé du critère quand il sera choisi
0%
t i c l e
Mesure 58 Il convient de prendre en compte ; L’identification et la consignation des changements significatifs. La planification des changements et de la phase de test ainsi que l’appréciation des incidences potentielles de ces changements. La procédure d’autorisation formelle des changements proposés et la vérification des respects des exigences de sécurité de l’information. La transmission des informations détaillées sur les changements apportés à toutes les personnes concernées et les procédures de repli. La mise en place maitrisée d’un processus de modification d’urgence.
Libellé du critère quand il sera choisi
mes 63
mes 67
Mesure 57 Il convient ; De préciser l’installation et la configuration des systèmes et le traitent automatisé ou manuel ainsi que le sauvegarde de l’information. De prendre en compte les exigences de planification et les instructions pour gérer les erreurs ou les conditions exceptionnels. De bien gérer les relations avec les assistants techniques et la hiérarchie ainsi que les instructions particulières sur la manipulation des supports. De bien définir la procédure de redémarrage et de récupération de système à appliquer en cas de défaillance du système. D’assurer la gestion du système de traçabilité et de l’information des journaux système ainsi que la surveillance des procédures.
Libellé du critère quand il sera choisi
mes 58
mes 60
A S r o tu is c lA e r
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Mesure 71 Il convient ; De définir les responsabilités et les procédures de gestion de l’équipement réseau. De séparer la responsabilité d’exploitation des réseaux et celle de l’exploitation des ordinateurs. De définir des mesures spéciales pour préserver la confidentialité et l’intégrité des données transmises sur les réseaux publics ou sans fil. D’assure une journalisation et une surveillance appropriées permettant de détecter les actions susceptibles d’affecter la sécurité de l’information. Et de coordonner étroitement les activités de gestion à la fois pour optimiser le service fourni à l’organisation et pour s’assurer que les mesures sont appliquées d’une façon homogène. D’authentifier les systèmes sur le réseau et limiter la connexion de systèmes réseaux.
S o u s A r t i c l e S o u s A r t i c l e
S o u s A r t i c l e
A S r o t u i s c -l A e r t i c l e
Mesure 72 Il convient ; De surveiller régulièrement la capacité du fournisseur de services de réseau à gérer ses services de façon sécurisée et conclure un contrat de droit de l’auditer. D’identifier les dispositions de sécurité nécessaire à des services en particulier. Mesure 73 Il convient ; De mettre en œuvre une méthode de management de la sécurité des grands réseaux consister à les diviser en domaines séparés. De bien définir et contrôler le niveau du périmètre de chaque domaine. De déterminer les critères de cloisonnement des réseaux en domaines et l’accès autorisé au-delà des passerelles en s’appuyant sur une appréciation des exigences de sécurité propre à chaque domaine. Et que cette appréciation soit conforme avec la politique du contrôle d’accès. De veiller à traiter l’ensemble des accès sans fil comme des connexions externes.
S o u s A r t i c l e
mes 74
Des politiques, des procédures et des mesures de transfert formelles sont mises en place pour protéger les transferts d’information transitant par tous types d’équipements de communication
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
Des accords traitent du transfert sécurisé de l’information liée à l’activité entre l’organisation et les tiers.
Choix de VÉRACITÉ
mes 76
L’information transitant par la messagerie électronique est protégée de manière appropriée
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 77
Les exigences en matière d’engagements de confidentialité ou de non-divulgation, sont identifiées, vérifiées régulièrement et documentées conformément aux besoins de l’organisation
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
A.14
Acquisition, développement et maintenance des systèmes d’information
mes 75
Exigences de sécurité applicables aux systèmes d’information
Insuffisant
mes 78
Les exigences liées à la sécurité de l’information sont intégrées aux exigences des nouveaux systèmes d’information ou des améliorations de systèmes d’information existants
Choix de VÉRACITÉ
mes 79
Les informations liées aux services d’application transmises sur les réseaux publics sont protégées contre les activités frauduleuses, les différents contractuels, ainsi que la divulgation et la modification non autorisées
Choix de VÉRACITÉ
mes 80
Les informations impliquées dans les transactions liées aux services d’application sont protégées pour empêcher une transmission incomplète, des erreurs d’acheminement, la modification non autorisée, la divulgation non autorisée, la duplication non autorisée du message ou sa réémission
Choix de VÉRACITÉ
A.14.2
Sécurité des processus de développement et d’assistance technique
Insuffisant
mes 81
Des règles de développement des logiciels et des systèmes sont établies et appliquées aux développements de l’organisation
Choix de VÉRACITÉ
0%
Insuffisant
0%
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
L'organisations a établie des environnements de développement sécurisés pour les tâches de développement et d’intégration du système, qui englobe l’intégralité du cycle de vie du développement du système, et en assurer la protection de manière appropriée
Choix de VÉRACITÉ
L'organisation supervise et contrôle l’activité de développement du système externalisée
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 88
Les tests de fonctionnalité de la sécurité sont réalisés pendant le développement
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 89
Des programmes de test de conformité et des critères associés sont déterminés pour les nouveaux systèmes d’information, les mises à jour et les nouvelles versions
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
A.14.3
Données de test
Insuffisant
mes 90
Les données de test sont sélectionnées avec soin, protégées et contrôlées
Choix de VÉRACITÉ
A.15.1
Sécurité dans les relations avec les fournisseurs
Insuffisant
mes 91
Des exigences de sécurité de l’information pour limiter les risques résultant de l’accès des fournisseurs aux actifs de l’organisation sont acceptées par le fournisseur et documentées
Choix de VÉRACITÉ
Mesure 84 Il convient de tenir compte ; Du risque de compromettre les commandes intégrées et les processus de vérification de l’intégrité. Du consentement de l’éditeur. La possibilité d’obtenir des changements souhaités. Les conséquences du changement effectué par l’organisation sur un logiciel en matière de maintenance. La compatibilité avec d’autres logiciels en service. Mesure 85 Il convient d’établir, de documenter et d’appliquer des procédures d’ingénierie de la sécurité de l’information. Il convient de revoir régulièrement les principes de ces procédures et de s’assurer qu’elles contribuent à l’amélioration des normes de sécurité de l’information. Il convient d’appliquer ces principes par le biais de contrats et autres accords passés entre l’organisation et d’autres prestataires. Et que l'organisation confirme que ces principes externalisés ont la même rigueur que ses propres principes,
Mesure 86 Il convient de tenir compte ; De la sensibilité des données à traiter, stocker et transférer par le système. Des exigences internes applicables Des mesures de sécurité mises en œuvre Du niveau des fiabilités du personnel Du degré d’externalisation associé au développement logiciel. La nécessité d’opérer un cloisonnement entre différents environnements de développement. Du contrôle de l’accès au environnement de développement. De la surveillance des changements apportés et des stockages des sauvegardes à des emplacements sécurisés hors site. Du contrôle des déplacements de données de l’environnement et vers l’environnement.
Libellé du critère quand il sera choisi
mes 87
Sécurité liée à l’exploitation
Mesure 83 Il convient ; De tenir compte des procédures de contrôle de l’intégrité des applications. De Veiller à ce que les changements apportés à la plateforme d’exploitation soient notifiés en temps opportun. De veiller à ce que les plans de continuité de l’activité soient modifiés en conséquence.
Libellé du critère quand il sera choisi
Choix de VÉRACITÉ
0%
Mesure 87 Il convient de prendre en considération ; La fourniture du modèle approuvé des menaces. Les tests de conformité, les exigences contractuelles relatives à la conception sécurisée, les accords de licence, la communication des preuves, les accords de séquestre, les droits contractuels et les documentations efficaces. L’organisation doit s’engager d’être responsable de la vérification de l’efficacité des mesures.
Mesure 88 Il convient que les tests soient réalisés par l’équipe de développement dès le début ensuite il est nécessaire de faire des tests de conformité indépendants pour garantir que le système fonctionne comme prévu. Il convient que l’étendue du programme de test soit cohérent avec l’importance de la nature du système. Mesure 89 Il convient que les tests de conformité du système vérifient les exigences liées à la sécurité de l’information et le respect des pratiques de développement. Il convient que ces tests soient menés sur les systèmes intégrés et les composants reçus. Il convient que l’organisme se charge de vérifier les défauts liés à la sécurité. Il convient aussi de réaliser les tests dans un environnement réaliste.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
0%
0%
Insuffisant
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
S o u s A r t Mesure 81 i Il convient ; c De sécuriser l’environnement de développement. l De tenir compte des recommandations liées à la sécurité dans le cycle de vie du développement logiciel. De tenir compte des exigences de sécurité dans la phase de conception et d’assurer les points de contrôle de la sécurité e aux différentes étapes clés du projet. De tenir compte des référentiels sécurisés et aux sécurité liée au contrôle des versions. De tenir compte des connaissances requises en matière de sécurité de l’application et des capacités des développeurs dans la maitrise des risques. Mesure 82 Il convient ; De tenir à jour l’enregistrement des niveaux d’autorisations accordées et de veiller sur propositions de changement. D’identifier les logiciels et les éléments qui nécessitent des changements et revoir les commandes des procédures d’intégrité. D’obtenir un accord formel pour des propositions détaillées. D’assurer que les utilisateurs acceptent les changements. D’identifier un code de sécurité critique pour réduire au minimum la probabilité des risques liés à la faille de sécurité connue. De mettre à jour les documents systèmes et tenir un contrôle de version pour toutes les mises à jour logicielles ainsi que de tenir à jour un système de traçabilité de toutes les demandes de changement. De veiller sur les documentations du système d’exploitation et les programmes de mise en œuvre des changements.
Libellé du critère quand il sera choisi
Choix de VÉRACITÉ
A.15
Mesure 80 Il convient ; D’utiliser des signatures électroniques par chacune des parties impliquées dans la transaction. De prendre en compte l’ensemble des aspects de la transaction et que le canal de communication entre toutes les parties impliquées soit chiffré. De tenir compte que les protocoles utilisés pour la communication entre les parties sont sécurisés. De tenir compte de l’importance du stockage des détails de transaction. D’intégrer la sécurité tout le long des processus de gestion, si l’autorité de confiance est utilisée.
Libellé du critère quand il sera choisi
Lorsque des changements sont apportés aux plateformes d’exploitation, les applications critiques métier sont vérifiées et testées afin de vérifier l’absence de tout effet indésirable sur l’activité ou sur la sécurité
A S r o t u i s -c l A re t i c l e
Mesure 79 Il convient de prendre en compte ; Le niveau de confiance requis pour chaque partie en ce qui concerne l’identité déclarée des autres. Les processus d’autorisation d’approuver le contenu. L’assurance que les parties prenantes sont informées des autorisations. La détermination et la satisfaction des exigences en matière de confidentialité. Le niveau de confiance requis concernant l’intégrité des données et les exigences de protection de l’information confidentielle. Les responsabilités, le degré de vérification adéquat pour le contrôle, la confidentialité et l’intégrité de toutes les transactions…
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
mes 83
mes 86
Mesure 78 Il convient ; D’identifier les exigences liées à la sécurité de l’information en utilisant différentes méthodes. Que les exigences de sécurité de l’information et les mesures rendent compte de la valeur de l’information concernée. D’intégrer l’identification de la gestion des exigences de la sécurité de l’information.
Libellé du critère quand il sera choisi
Libellé du critère quand il sera choisi
Des principes d’ingénierie de la sécurité des systèmes sont établis, documentés, tenus à jour et appliqués à tous les travaux de mise en œuvre des systèmes d’information
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
Choix de VÉRACITÉ
mes 85
Mesure 77 Il convient que les modalités des engagements de confidentialité ou de non-divulgation spécifient des exigences de protection de l’information confidentielle. Il convient de sélectionner ou d’ajouter des éléments en tenant compte de la catégorie du tiers et des accès ou du traitement de l’information confidentielle acceptables pour sa catégorie.
Libellé du critère quand il sera choisi
Les changements des systèmes dans le cadre du cycle de développement sont contrôlés par le biais de procédures formelles
Les modifications des progiciels ne sont pas encouragées, sont limitées aux changements nécessaires et tout changement est strictement contrôle
Mesure 76 Il convient ; D’assure une protection des messages contre tout accès non autorisé et de garantir une bonne qualité d’adressage et du transport de message. D’assurer la disponibilité et la fiabilité du service et de respecter les exigences en matière de signature numérique. D’obtenir une autorisation avant d’utiliser des services externes publics. De maintenir des niveaux plus élevés d’authentification.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
mes 82
mes 84
Mesure 75 Il convient ; De tenir compte des responsabilités de gestion pour le contrôle et l’information de la transmission, de la répartition et de la réception. De mettre en œuvre des procédures pour garantir la traçabilité de la non-répudiation ainsi que les normes techniques minimales pour l’encapsulation et la transmission. De prendre en compte les accords de séquence, les normes d’identification coursiers ainsi que les obligations et les responsabilités en cas d’incidents lié à la sécurité de l’information. D’utiliser un système de marquage pour l’information sensible ou critique. D’utiliser des normes techniques pour lire et enregistrer les informations des logiciels. De tenir compte de toutes mesures particulières pouvant s’avérer nécessaires pour protéger les pièces sensibles et tenir à jour la traçabilité de contrôle d’accès. De maintenir des niveaux acceptables de contrôle d’accès.
Libellé du critère quand il sera choisi
0%
A.14.1
Mesure 74 Il convient ; De prendre en compte les procédures conçues pour protéger l’information contre la reproduction, l’interception, la modification… De prendre en compte les procédures de détection et de protection contre les logiciels malveillants ainsi que les procédures de protection de l’information électronique sensible. D’établir une politique ou des directives décrivant l’utilisation acceptable des équipements de communication. De prendre en considération les responsabilités incombant aux salariés et aux tiers des utilisateurs de ne pas compromettre l’organisation. De prendre en compte l’utilisation des techniques de cryptographie et des directives de la conservation de toutes les correspondances commerciales. Ainsi que les mesures et les restrictions liées à l’utilisation des équipements de communication. De rappeler le personnel de prendre précautions pour ne pas divulguer l’information confidentielle. De ne pas laisser des messages contenant des informations sensibles sur les répondeurs. De rappeler le personnel des problèmes liés à l’utilisation du télécopieur.
S o u s A r t Mesure 90 i Il convient d’éviter l’utilisation des données d’exploitation contenant des informations personnelles ou confidentielles. c Il convient de supprimer tous les détails et contenus sensibles ou de les modifier. l A e r S t o i u c s -l e A r t Mesure 91 Il convient de convenir avec le fournisseur les exigences de sécurité de l’information pour maitriser les risques d’accès i c aux documentations internes. l Il convient d’établir une politique efficace en ce qui concerne le droit d’accès du fournisseur aux données de e l’organisation. Il convient que cette politique tienne compte des processus et des procédures mis en œuvre par l’organisation.
mes 92
Les exigences applicables liées à la sécurité de l’information sont établies et convenues avec chaque fournisseur pouvant accéder, traiter, stocker, communiquer ou fournir des composants de l’infrastructure informatique destinés à l’information de l’organisation
Choix de VÉRACITÉ
mes 93
Les accords conclus avec les fournisseurs incluent des exigences sur le traitement des risques liés à la sécurité de l’information associé à la chaîne d’approvisionnement des produits et des services informatiques
Choix de VÉRACITÉ
A.15.2
Gestion de la prestation du service
Insuffisant
mes 94
L'organisation surveille, vérifie et audite à intervalles réguliers la prestation des services assurés par les fournisseurs
Choix de VÉRACITÉ
mes 95
Les changements effectués dans les prestations de service des fournisseurs, comprenant le maintien et l’amélioration des politiques, procédures et mesures existant en matière de sécurité de l’information, sont gérés en tenant compte du caractère critique de l’information, des systèmes et des processus concernés et de la réappréciation des risques
Choix de VÉRACITÉ
A.16
Relations avec les fournisseurs
Libellé du critère quand il sera choisi
Libellé du critère quand il sera choisi
0%
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
0% 0%
Insuffisant
Gestion des incidents liés à la sécurité de l’information et améliorations
Insuffisant
mes 96
Des responsabilités et des procédures permettant de garantir une réponse rapide, efficace et pertinente sont établies en cas d’incident lié à la sécurité de l’information
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 97
Les événements liés à la sécurité de l’information sont signalés dans les meilleurs délais par les voies hiérarchiques appropriées.
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 98
Les salariés et les sous-traitants utilisant les systèmes et services d’information de l’organisation notent et signalent toute faille de sécurité observée ou soupçonnée dans les systèmes ou services
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 99
Les événements liés à la sécurité de l’information sont appréciés et il est décidé s’il faut les classer comme incidents liés à la sécurité de l’information
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 100
Les incidents liés à la sécurité de l’information sont traités conformément aux procédures documentées
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 101
Les connaissances recueillies suite à l’analyse et la résolution d’incidents sont utilisées pour réduire la probabilité ou l’impact d’incidents ultérieurs.
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 102
L’organisation définie et applique des procédures d’identification, de collecte, d’acquisition et de protection de l’information pouvant servir de preuve
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
Sécurité de l’information dans la gestion de la continuité de l’activité
A.17.1
Continuité de la sécurité de l’information
Insuffisant
mes 103
L’organisation détermine ses exigences en matière de sécurité de l’information et de continuité de management de la sécurité de l’information dans des situations défavorables, comme lors d’une crise ou d’un sinistre
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 104
L’organisation établie, documente, met en œuvre et tiens à jour des processus, des procédures et des mesures permettant de fournir le niveau requis de continuité de sécurité de l’information au cours d’une situation défavorable
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 105
L’organisation vérifie les mesures de continuité de la sécurité de l’information mises en œuvre à intervalles réguliers afin de s’assurer qu’elles sont valables et efficaces dans des situations défavorables
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
Redondances
Insuffisant
Des moyens de traitement de l’information sont mis en œuvre avec suffisamment de redondances pour répondre aux exigences de disponibilité
Choix de VÉRACITÉ
A.18
Conformité
A.18.1
Conformité aux obligations légales et réglementaires
Insuffisant
Toutes les exigences légales, statutaires, réglementaires et contractuelles en vigueur, ainsi que l’approche adoptée par l’organisation pour satisfaire à ces exigences, sont explicitement définies, documentées et mises à jour pour chaque système d’information et pour l’organisation elle-même
Choix de VÉRACITÉ
mes 107
0%
0%
Insuffisant
0%
Insuffisant
Mesure 100 Il convient que la réponse comporte ; Le recueil des preuves, une analyse scientifique de la sécurité de l’information, une remontée d’informations, l’assurance de la journalisation des tâches liées à la réponse, la communication des incidents, le traitement des failles constatées et la clôture formelle de l’incident et son enregistrement. Mesure 101 Il convient ; De mettre en œuvre un mécanisme permettant de quantifier et surveiller les différents types d’incidents liés à la sécurité de l’information. De se servir de l’information recueillie lors de l’analyse de ces incidents. Mesure 102 Il convient de prendre en considération ; La chaîne de traçabilité, la sécurité des preuves, la sécurité du personnel, les fonctions du personnel impliqué et ses aptitudes, la documentation et les séances d’information. Il convient de rechercher les certifications de la quantification du personnel et de tenir compte des exigences des diverses juridictions. Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Mesure 103 Il convient que l’organisme assure l’intégration de processus de sécurité de l’information dans son plan de gestion de continuité des activités lors d’un sinistre et de définir les exigences de sécurité de l’information dans ce cas.
mes 109
Les enregistrements sont protégés de la perte, de la destruction, de la falsification, des accès non autorisés et des diffusions non autorisées, conformément aux exigences légales, réglementaires, contractuelles et aux exigences métier
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 110
La protection de la vie privée et la protection des données à caractère personnel sont garanties telles que l’exigent la législation ou les réglementations applicables, et les clauses contractuelles le cas échéant
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 111
Des mesures cryptographiques sont prises conformément aux accords, législation et réglementations applicables
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
Revue de la sécurité de l’information
Insuffisant
0%
Mesure 105 Il convient de vérifier la continuité de management de la sécurité de l’information ; En testant les fonctionnalités des processus. En testant les connaissances et les taches de routine pour l’application de ces processus. En renvoyant la validité et l’efficacité des mesures de continuité.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
S o u s A r t Mesure 106 Il convient que l’organisation définisse les exigences de l’activité en matière de disponibilité des systèmes d’information i et de tester ceux qui sont redondants pour s’assurer que le basculement d’un composant à un autre fonctionne comme c l prévu. e A S r o t u i s c l A e r t Mesure 107 i Il convient de définir et documenter les mesures spécifiques et les responsabilités individuelles mises en place pour c répondre aux exigences. Et que les responsables identifient toutes les législations applicables à l’organisation. Si l’organisme mène des activités dans d’autres pays, il convient que les responsables étudient la conformité aux règles l e des pays concernés. Mesure 108 Il convient ; De publier une politique de conformité relative aux droits des propriétés intellectuelles. De vérifier les sources des logiciels avant de les acquérir. De maintenir une politique efficace de sensibilisation en matière de protection de l’information. De tenir à jour les registres des actifs appropriés en matière de protection des droits de propriétés intellectuelles et conserver leurs preuves tangibles. De mettre en œuvre des contrôles pour un nombre maximal d’utilisateurs autorisés par licence. D’effectuer des revues permettant de s’assure que seuls les logiciels autorisés sous licence sont installés. De mettre en œuvre une politique de gestion des conditions de licence et une politique de céder des logiciels ou de les transmettre à des tiers. De se conformer aux conditions générales régissant les logiciels et l’information obtenue. De ne pas reproduire ou convertir dans un autre format ou extraire de l’information à partir d’enregistrements du commerce. De ne pas copier, intégralement ou en partie des livres, articles, rapports ou autres documents en dehors de ce qui est permis par la législation sur les droits d’auteur.
Mesure 109 Il convient ; D’établir des directives relatives à la conservation, du stockage, à la manipulation et à l’élimination des enregistrements et de l’information. D’établir un programme de conservation identifiant les enregistrements et leur durée de conservation. De tenir à jour un inventaire des sources de l’information clé. Mesure 110 Il convient ; De développer et de mettre en œuvre une politique des données de l’organisation et de communiquer cette politique à toutes les personnes impliquées. Que l’administrateur conseille les responsables, les utilisateurs et les prestataires de service sur leurs responsabilités individuelles et que ces responsabilités afférentes au traitement des données. Mesure 111 Il convient de tenir compte des opérations suivantes ; Les restrictions en matière d’importation ou d’exportation de matériels ou logiciels destinés à l’exécution des fonctions cryptographiques ou intégrant ces fonctions. Les restrictions en matière d’utilisation du chiffrement. Les méthodes non discrétionnaires pour accéder aux informations chiffrés.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Libellé du critère quand il sera choisi
A S r o t u i s c -l A e r t i c l e
Mesure 104 Il convient que l’organisation s’assure ; De l’existence de gestion adéquate pour se préparer au événements perturbants. Le personnel est bien prêt pour gérer ce type de situation. L’existence des plans documentés pour répondre à ce type d’incidents.
Libellé du critère quand il sera choisi
Libellé du critère quand il sera choisi
Choix de VÉRACITÉ
Mesure 99 Il convient que les responsables servant le point de contact apprécient chaque évènement lié à la sécurité de l’information. Dans ce cas, la classification et la hiérarchisation des incidents peuvent permettre d’identifier les conséquences de l’étendue d’un incident. Il convient d’enregistrer les conclusions de l’appréciation et la décision de manière détaillée.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Choix de VÉRACITÉ
mes 112
Mesure 98 Il convient que les salariés signalent les problèmes au responsable de point de contact dans les meilleurs délais pour éviter les incidents de sécurité de l’information. Il convient que le mécanisme de signalement soit simple, accessible et disponible dès que possible.
Libellé du critère quand il sera choisi
0%
A S ro tu is c lA e r t i c l e
Mesure 97 Il convient d’informer tous les salariés de leurs obligations de signaler les évènements liés à la sécurité de l’information dans les meilleurs délais. Il convient d’établir une procédure de signalement de ces évènements.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Des procédures appropriées sont mises en œuvre pour garantir la conformité avec les exigences légales, réglementaires et contractuelles relatives à la propriété intellectuelle et à l’usage des licences de logiciels propriétaires
Des revues régulières et indépendantes de l’approche retenue par l’organisme pour gérer et mettre en œuvre la sécurité de l’information (à savoir le suivi des objectifs de sécurité, les mesures, les politiques, les procédures et les processus relatifs à la sécurité de l’information) sont effectuées à intervalles définis ou lorsque des changements importants sont intervenus
Mesure 96 Il convient de tenir compte ; Des procédures de planification, les procédures des surveillances, les procédures de journalisation des activités de gestion des incidents, les procédures de traitement des preuves scientifiques, les procédures d’appréciation et de prise de décision et les procédures de réponse.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
mes 108
A.18.2
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
A.17
mes 106
0%
Mesure 93 Il convient de tenir compte ; Des définitions des exigences de sécurité de l’information lors de l’achat des produits. Les obligations fournisseur de diffuser les exigences de sécurité et les pratiques de sécurité jusqu’au dernier maillon de la chaîne d’approvisionnement. La mise en œuvre des processus de surveillance et les processus d’identification des composants d’un produit ou d’un service critiques. La garantie du traçage des origines des composants critiques S La définition des règles de partage de l’information concernant la chaîne d’approvisionnement. o La mise en œuvre des processus spécifiques de gestion de cycle de vie des composants informatiques. u s A r t Mesure 94 i Il convient ; c De surveiller les niveaux de performance des services et leur conformité. l De revoir les rapports de service produits par le fournisseur e De mener des audits des fournisseurs conjointement à la revue des audits indépendants. De fournir l’information relative aux incidents liés à la sécurité de l’information. De revoir les systèmes de traçabilité et des enregistrements du fournisseur en ce qui concerne ses activités liées à la sécurité de l’information. De résoudre les problèmes identifiés et revoir les aspects liés à la sécurité de l’information dans les relations avec le fournisseur. D’assurer que le fournisseur maintient une capacité de service suffisante. Mesure 95 Il convient de tenir compte ; Les changements apportés aux accords passés avec le fournisseur. Les changements effectués par l’organisation (nouvelles mesures, développement d’application, mise à jour des politiques…) Les changements au niveau des services fournisseur (utilisation des nouvelles technologies, la sous-traitance…)
Libellé du critère quand il sera choisi
A.16.1
A.17.2
Mesure 92 Il convient de rédiger et documenter des accords avec le fournisseur afin d’éviter le malentendu et d’assurer l’engagement des deux parties. Il convient de prendre en considération ; La description de l’information à fournir, les classifications de ces informations, les exigences légales et réglementaires, les obligations pour chaque partie, les règles d’utilisation acceptable de l’information, la liste explicite des salariés du fournisseur autorisés à l’accès de l’information, les politiques de sécurité, les règlements de sous-traitants, les partenaires signataires de l’accord, les exigences de formation et sensibilisation, les exigences de sélection des salariés du fournisseur, le droit d’auditer les processus et les mesures de sécurité du fournisseur, les processus de résolution des défauts, l’obligation en matière des rapports fournisseur et les obligation du fournisseur à se conformer aux exigences de sécurité de l’organisation.
Mesure 112 Il convient ; Que la direction instaure une revue indépendante qui est nécessaire pour veiller sur la pérennité de l’applicabilité, de l’adéquation et de l’efficacité de l’approche de l’organisation en matière de sécurité de l’information. Que cette revue soit réalisée par des personnes indépendantes du domaine concerné. D’enregistrer et de communiquer les résultats de la revue indépendante et de conserver ses enregistrements. De mettre en place des actions correctives au cas où l’approche de l’organisation et sa mise en œuvre de management de la sécurité de l’information sont inadaptés.
S o u s A r t i c l e
mes 113
Les responsables vérifient régulièrement la conformité du traitement de l’information et des procédures dont ils sont chargés au regard des politiques, des normes de sécurité applicables et autres exigences de sécurité
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
mes 114
Les systèmes d’information sont examinés régulièrement quant à leur conformité avec les politiques et les normes de sécurité de l’information de l’organisation
Choix de VÉRACITÉ
Libellé du critère quand il sera choisi
Mesure 113 Il convient que les responsables ; Déterminent les causes de la non-conformité. Evaluent la nécessité de maintenir la conformité. De mettre en œuvre les actions correctives nécessaires. Revoient l’action corrective entreprise pour vérifier son efficacité et identifier toute insuffisance ou faille. Il convient que les résultats des revues et des actions correctives soient enregistrés. Mesure 114 Il convient ; Que la revue de conformité technique implique l’examen des systèmes en exploitation. Que les revues de conformité englobent les tests d’intrusion et appréciations des vulnérabilités pouvant être effectués par des experts indépendants engagés à cette fin exclusivement. Que les tests d’intrusion et les appréciations des vulnérabilités ne remplacent en aucun cas l’appréciation des risques.
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats globaux
Fichier : 549717065.xlsx
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013
Impression sur pages A4 100% en format horizontal
Autodiagnostic selon la norme ISO 27001:2013 Informations sur le Service Management de la Qualité Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Tél :
Informations sur l'Autodiagnostic Date de l'autodiagnostic :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
TABLEAUX DE BORD sur les niveaux de CONFORMITÉ et de RÉALISATION selon les exigences de la norme ISO 27001:2015 Niveaux de VÉRACITÉ des 99 critères d'exigence
Niveaux de CONFORMITÉ des ARTICLES aux exigences de la norme Moyenne générale :
1
0%
Insuffisant
0.8 0.6 0.4 0.2 0
0
0
0
0
1
2
3
4
Art. 4 Contexte de l'organisme Insuffisant 100%
Attention : 99 critères ne sont pas encore traités
80%
Niveaux de CONFORMITÉ des 22 SOUS-ARTICLES de la norme (et Moyenne)
Art. 10 Amélioration Insuffisant
60% 40%
Art. 5 Leadership Insuffisant
0% 0% 0%0% 0% 0% 0% 20%
30
0%
25
22
20
Art. 9 Évaluation des performances Insuffisant
Art. 6 Planification Insuffisant
15 10
Art. 8 Fonctionnement Insuffisant Art. 7 Support Insuffisant
5 0
1
Version de janvier 2016
0
0
0
2
3
4
©2015 : Master 2 Qulaité et Performance dans les Organisations
16/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats globaux
Fichier : 549717065.xlsx
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013
Impression sur pages A4 100% en format horizontal
Autodiagnostic selon la norme ISO 27001:2013 Informations sur le Service Management de la Qualité Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Tél :
Informations sur l'Autodiagnostic Date de l'autodiagnostic :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
BILAN, COMMENTAIRES et PLANS D'AMÉLIORATION Taux de CONFORMITÉ aux exigences pour les 22 SOUS-ARTICLES de la norme (et Moyenne)
COMMENTAIRES sur les RÉSULTATS obtenus Commentaires (collectifs si possible) :
4.1 Compréhension de l'organisme et de son contexte 10.2 Amélioration continue 4.2 Compréhension des besoins et des attentes des parties intéressées
DÉCISIONS : Plans d'action PRIORITAIRES
100%
10.1 Non-conformité et action corrective
4.3 Détermination du domaine d'application du SMSI
80% 9.3 Revue de direction
4.4 Système de management de la sécurité de l'information
60% 9.2 Audit interne
40%
QUOI Objectifs à atteindre
QUI en Interne ou en Externe
QUAND ET OÙ Date et Champ d'application
Plan n°1 :
5.1 Leadership et engagement
20% 9.1 Surveillance, mesure, analyse et évaluation
5.2 Politique
0%
8.3 Traitement des risques de sécurité de l'information
5.3 Rôles, responsabilités et autorités au sein de l'organisme
8.2 Appréciation des risques de sécurité de l'i nformation
Plan n°2 :
6.1 Actions liées aux risques et opportunités
8.1 Planification et contrôle opérationnels
6.2 Objectifs sécurité et planification pour les atteindre
7.5 Informations documentées
7.1 Ressources 7.4 Communication 7.2 Compétences 7.3 Sensibilisation
Plan n°3 :
en pointillés verts : seuil minimal paramétré pour être "Conforme" (voir onglet {Mode d'Emploi})
Version de janvier 2016
©2015 : Master 2 Qulaité et Performance dans les Organisations
17/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats globaux
Fichier : 549717065.xlsx
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013
Impression sur pages A4 100% en format horizontal
Autodiagnostic selon la norme ISO 27001:2013 Informations sur le Service Management de la Qualité Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Tél :
Informations sur l'Autodiagnostic Date de l'autodiagnostic :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
TABLEAU de SYNTHÈSE des RÉSULTATS moyennés de l'évaluation quant au degré de réalisation des actions associées au respect des exigences de l'ISO 27001:2013 Evaluations Art. 4
Art. 5
Art. 6 Art. 7
Art. 8
Art. 9
Art. 10
Niveau moyen sur l'ensemble des articles de la norme ISO 27001:2013 : Contexte de l'organisme 4.1 Compréhension de l'organisme et de son contexte
Leadership
4.2 4.3 4.4
Compréhension des besoins et des attentes des parties intéressées Détermination du domaine d'application du SMSI Système de management de la sécurité de l'information
5.1 Leadership et engagement 5.2 Politique 5.3 Rôles, responsabilités et autorités au sein de l'organisme Planification 6.1 Actions liées aux risques et opportunités 6.2 Objectifs sécurité et planification pour les atteindre Support 7.1 Ressources 7.2 Compétences 7.3 Sensibilisation 7.4 Communication 7.5 Informations documentées Fonctionnement 8.1 Planification et contrôle opérationnels 8.2 Appréciation des risques de sécurité de l'information 8.3 Traitement des risques de sécurité de l'information Évaluation des performances 9.1 Surveillance, mesure, analyse et évaluation 9.2 Audit interne 9.3 Revue de direction Amélioration 10.1 Non-conformité et action corrective 10.2 Amélioration continue
Version de janvier 2016
Insuffisant Insuffisant Insuffisant
Insuffisant
Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant
Insuffisant Insuffisant
Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant
Insuffisant
Insuffisant Insuffisant Insuffisant
Insuffisant
Insuffisant
©2015 : Master 2 Qulaité et Performance dans les Organisations
Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant
Taux % 0% 0% 0%
Niveaux de CONFORMITÉ Niveau 1 Niveau 1 Niveau 1
0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%
Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1
18/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats par Article
Fichier : 549717065.xlsx
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013
Impression sur pages A4 100% en format horizontal
Résultats détaillés par ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013 Informations sur le Service Management de la Qualité
Informations sur l'Autodiagnostic
Date de Etablissement : Nom de l'établissement / entreprise / organisation... l'autodiagnostic : Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Art. 4
Tél :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
Contexte de l'organisme
Niveau d'évaluation
Insuffisant
Taux de CONFORMITÉ aux critères d'exigence
COMMENTAIRES sur les RÉSULTATS obtenus Commentaires (collectifs si possible) :
0%
DÉCISIONS : Plans d'action PRIORITAIRES QUOI Objectifs à atteindre 100%
4.1 Compréhension de l'organisme et de son contexte
QUI en Interne ou en Externe
QUAND ET OÙ Date et Champ d'application
Plan n°1 :
80% 60% 40% 20%
0% 0% 0%0%0%
4.4 Système de management de la sécurité de l'information
Plan n°2 : 4.2 Compréhension des besoins et des attentes des parties intéressées
4.3 Détermination du domaine d'application du SMSI
Version de janvier 2016
Plan n°3 :
©2015 : Master 2 Qualité et Performance dans les Organisations
19/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats par Article
Fichier : 549717065.xlsx
Résultats détaillés par ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013 Informations sur le Service Management de la Qualité Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Art. 5 Niveau d'évaluation
Insuffisant
Tél :
Informations sur l'Autodiagnostic Date de l'autodiagnostic :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
Leadership Taux de CONFORMITÉ aux critères d'exigence
COMMENTAIRES sur les RÉSULTATS obtenus Commentaires (collectifs si possible) :
0%
DÉCISIONS : Plans d'action PRIORITAIRES QUOI Objectifs à atteindre
QUI en Interne ou en Externe
QUAND ET OÙ Date et Champ d'application
Plan n°1 :
100% 80%
5.1 Leadership et engagement
60% 40% 0% 0% 0%
5.3 Rôles, responsabilités et autorités au sein de l'organisme
Version de janvier 2016
Plan n°2 :
20% 0%
5.2 Politique
©2015 : Master 2 Qualité et Performance dans les Organisations
20/36
100% 5.1 Leadership et engagement
80%
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats par Article
60%
Fichier : 549717065.xlsx
40%
Résultats détaillés par ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013 20% 0%
0% la 0% Qualité Informations sur le Service Management de 0%
Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI email : 5.3 Rôles, responsabilités et autorités au sein de l'organisme
Version de janvier 2016
Tél :
5.2 Politique
Informations sur l'Autodiagnostic Date de l'autodiagnostic :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
Plan n°3 :
©2015 : Master 2 Qualité et Performance dans les Organisations
21/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats par Article
Fichier : 549717065.xlsx
5.3 Rôles, responsabilités et autorités au sein de l'organisme
5.2 Politique Résultats détaillés par ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013
Informations sur le Service Management de la Qualité Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Art. 6 Niveau d'évaluation
Tél :
Informations sur l'Autodiagnostic Date de l'autodiagnostic :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
Planification Taux de CONFORMITÉ aux critères d'exigence
Insuffisant
COMMENTAIRES sur les RÉSULTATS obtenus Commentaires (collectifs si possible) :
0%
DÉCISIONS : Plans d'action PRIORITAIRES QUOI Objectifs à atteindre
100%
QUAND ET OÙ Date et Champ d'application
Plan n°1 :
80% 60%
QUI en Interne ou en Externe
6.1 Actions liées aux risques et opportunités
40% 20% 0%
0%0%
Plan n°2 :
6.2 Objectifs sécurité et planification pour les atteindre
Version de janvier 2016
©2015 : Master 2 Qualité et Performance dans les Organisations
22/36
60% 40%
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats par Article
Fichier : 549717065.xlsx
20% 0% Résultats détaillés par ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013 0%0%
Informations sur le Service Management de la Qualité Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Tél :
Informations sur l'Autodiagnostic Date de l'autodiagnostic :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
Plan n°3 :
6.2 Objectifs sécurité et planification pour les atteindre
Version de janvier 2016
©2015 : Master 2 Qualité et Performance dans les Organisations
23/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats par Article
Fichier : 549717065.xlsx
Résultats détaillés par ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013 Informations sur le Service Management de la Qualité Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Art. 7
Tél :
Informations sur l'Autodiagnostic Date de l'autodiagnostic :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
Support
Niveau d'évaluation
Insuffisant
Taux de CONFORMITÉ aux critères d'exigence
COMMENTAIRES sur les RÉSULTATS obtenus Commentaires (collectifs si possible) :
0%
DÉCISIONS : Plans d'action PRIORITAIRES
100%
7.1 Ressources
80%
QUOI Objectifs à atteindre
QUI en Interne ou en Externe
QUAND ET OÙ Date et Champ d'application
Plan n°1 :
60% 40% 20% 7.5 Informations documentées
0% 0% 0% 0%0% 0%
7.2 Compétences Plan n°2 :
7.4 Communication
7.3 Sensibilisation Plan n°3 :
Version de janvier 2016
©2015 : Master 2 Qualité et Performance dans les Organisations
24/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats par Article
Fichier : 549717065.xlsx
Résultats détaillés par ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013 Informations sur le Service Management de la Qualité Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Art. 8
Tél :
Informations sur l'Autodiagnostic Date de l'autodiagnostic :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
Fonctionnement
Niveau d'évaluation
Insuffisant
Taux de CONFORMITÉ aux critères d'exigence
COMMENTAIRES sur les RÉSULTATS obtenus Commentaires (collectifs si possible) :
0%
DÉCISIONS : Plans d'action PRIORITAIRES 100% 80%
8.1 Planification et contrôle opérationnels
60%
QUOI Objectifs à atteindre
QUI en Interne ou en Externe
QUAND ET OÙ Date et Champ d'application
Plan n°1 :
40% 20% 0% 0% 0%
0% Plan n°2 :
8.3 Traitement des risques de sécurité de l'information
8.2 Appréciation des risques de sécurité de l'information Plan n°3 :
Version de janvier 2016
©2015 : Master 2 Qualité et Performance dans les Organisations
25/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats par Article
Fichier : 549717065.xlsx
Résultats détaillés par ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013 Informations sur le Service Management de la Qualité Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Art. 9 Niveau d'évaluation
Insuffisant
Tél :
Informations sur l'Autodiagnostic Date de l'autodiagnostic :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
Évaluation des performances Taux de CONFORMITÉ aux critères d'exigence
COMMENTAIRES sur les RÉSULTATS obtenus Commentaires (collectifs si possible) :
0%
DÉCISIONS : Plans d'action PRIORITAIRES QUOI Objectifs à atteindre
QUAND ET OÙ Date et Champ d'application
Plan n°1 :
100% 80%
QUI en Interne ou en Externe
9.1 Surveillance, mesure, analyse et évaluation
60% 40% 20% 0% 0% 0%
9.3 Revue de direction
Version de janvier 2016
Plan n°2 :
0%
9.2 Audit interne
©2015 : Master 2 Qualité et Performance dans les Organisations
26/36
80% 60%
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats par Article
40%
Fichier : 549717065.xlsx
20% Résultats détaillés par ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013 0% 0%
0%
0% Informations sur le Service Management de la Qualité
Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI
9.3 Revue de direction
Version de janvier 2016
email :
Tél :
9.2 Audit interne
Informations sur l'Autodiagnostic Date de l'autodiagnostic :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
Plan n°3 :
©2015 : Master 2 Qualité et Performance dans les Organisations
27/36
UTC - Master Qualité - www.utc.fr/master-qualite
9.3 Revue de direction
Onglet : Résultats par Article
Fichier : 549717065.xlsx
Résultats détaillés9.2par de l'autodiagnostic selon la norme ISO 27001:2013 AuditARTICLE interne
Informations sur le Service Management de la Qualité Etablissement : Nom de l'établissement / entreprise / organisation... Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Art. 10
Date de l'autodiagnostic :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
Amélioration
Niveau d'évaluation
Insuffisant
Tél :
Informations sur l'Autodiagnostic
Taux de CONFORMITÉ aux critères d'exigence
COMMENTAIRES sur les RÉSULTATS obtenus Commentaires (collectifs si possible) :
0%
DÉCISIONS : Plans d'action PRIORITAIRES QUOI Objectifs à atteindre
100% 80% 60%
QUI en Interne ou en Externe
QUAND ET OÙ Date et Champ d'application
Plan n°1 :
10.1 Non-conformité et action corrective
40% 20% 0%
0%0%
Plan n°2 :
Plan n°3 :
10.2 Amélioration continue
Version de janvier 2016
©2015 : Master 2 Qualité et Performance dans les Organisations
28/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats de l'annexe A
Fichier : 549717065.xlsx
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013
Impression sur pages A4 100% en format horizontal
Autodiagnostic selon la norme ISO 27001:2013 Informations sur le Service Management de la Qualité Etablissement : Nom de l'établissement / entreprise / organisation...
Date de l'autodiagnostic :
Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Informations sur l'Autodiagnostic
Tél :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
TABLEAUX DE BORD sur les niveaux de CONFORMITÉ et de RÉALISATION selon les exigences de la norme ISO 27001:2015 Niveaux de VÉRACITÉ des 114 critères d'exigence
Niveaux de CONFORMITÉ des ARTICLES aux exigences de la norme Moyenne générale :
1
0%
Insuffisant
0.8 0.6 A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15 A.16 A.17 A.18
0.4
100%
0.2 0
0
0
0
0
1
2
3
4
Politiques de sécurité de l’information Organisation de la sécurité de l’information Sécurité des ressources humaines Gestion des actifs Contrôle d’accès Cryptographie Sécurité physique et environnementale Sécurité liée à l’exploitation Sécurité des communications Acquisition, développement et maintenance des systèmes d’information Sécurité liée à l’exploitation Relations avec les fournisseurs Sécurité de l’information dans la gestion de la continuité de l’activité Conformité
80%
60%
Attention : 114 critères ne sont pas encore traités 40%
Niveaux de CONFORMITÉ des 35 SOUS-ARTICLES de la norme (et Moyenne) 30
35
20%
0%0%0%0% 0% 0% 0%0% 0% 0%
25 20 15 10 5 0
1
Version de janvier 2016
0
0
0
2
3
4
©2015 : Master 2 Qulaité et Performance dans les Organisations
29/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats de l'annexe A
Fichier : 549717065.xlsx
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013
Impression sur pages A4 100% en format horizontal
Autodiagnostic selon la norme ISO 27001:2013 Informations sur le Service Management de la Qualité
Informations sur l'Autodiagnostic
Etablissement : Nom de l'établissement / entreprise / organisation...
Date de l'autodiagnostic :
Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Tél :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
BILAN, COMMENTAIRES et PLANS D'AMÉLIORATION Taux de CONFORMITÉ aux exigences pour les 35 SOUS-ARTICLES de la norme (et Moyenne)
COMMENTAIRES sur les RÉSULTATS obtenus Commentaires (collectifs si possible) :
A.5.1 Compréhension de l'organisme et de son contexte A.18.2 Revue de la sécurité de l’information A.6.1 Organisation interne A.18.1 Conformité aux obligations légales et réglementaires A.6.2 Appareils mobiles et télétravail A.17.2 Redondances A.17.1 Continuité de la sécurité de l’information
100% 80%
A.7.1 Avant l'embauche A.7.2 Pendant la durée du contrat
A.16.1 Gestion des incidents liés à la sécurité de l’information et améliorations
A.7.3 Rupture, terme ou modification du contrat de travail
60% A.15.2 Gestion de la prestation du service
A.8.1 Responsabilités relatives aux actifs
40% A.15.1 Sécurité dans les relations avec les fournisseurs
DÉCISIONS : Plans d'action PRIORITAIRES QUOI Objectifs à atteindre
QUI en Interne ou en Externe
QUAND ET OÙ Date et Champ d'application
Plan n°1 :
A.8.2 Classification de l'i nformation
20% A.14.3 Données de test
A.8.3 Manipulation des supports
0% A.14.2 Sécurité des processus de développement et d’assistance technique
A.9.1 Exigences métier en matière de contrôle d’accès
A.14.1 Exigences de sécurité applicables aux systèmes d’information
A.9.2 Gestion d'accès utilisateur
A.13.2 Transfert de l’information
A.9.3 Responsabilités des utilisateurs
A.13.1 Gestion de la sécurité des réseaux A.12.7 Considérations sur l’audit des systèmes d’information A.12.6 Gestion des vulnérabilités techniques
Plan n°2 :
A.9.4 Contrôle de l’accès au système et à l’information A.10.1 Mesures cryptographiques A.11.1 Zones sécurisées
A.12.5 Maîtrise des logiciels en exploitation A.11.2 Matériels A.12.4 Journalisation A.12.1 et surveillance Procédures et responsabilités liées à l’exploitation A.12.2A.12.3 Protection Sauvegarde contre les logiciels malveillants
Plan n°3 :
en pointillés verts : seuil minimal paramétré pour être "Conforme" (voir onglet {Mode d'Emploi})
Version de janvier 2016
©2015 : Master 2 Qulaité et Performance dans les Organisations
30/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Résultats de l'annexe A
Fichier : 549717065.xlsx
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013
Impression sur pages A4 100% en format horizontal
Autodiagnostic selon la norme ISO 27001:2013 Informations sur le Service Management de la Qualité Etablissement : Nom de l'établissement / entreprise / organisation...
Date de l'autodiagnostic :
Responsable du SMSI : NOM et Prénom du Responsable DSI email :
Informations sur l'Autodiagnostic
Tél :
L'équipe d'autodiagnostic :
Responsable :
NOM et Prénom
Tél :
@:
Noms et Prénoms des participants
TABLEAU de SYNTHÈSE des RÉSULTATS moyennés de l'évaluation quant au degré de réalisation des actions associées au respect des mesures de l'annexe A de l'ISO 27001:2013 Evaluations A.5 A.6 A.7
A.8
A.9
A.10 A.11
Niveau moyen sur l'ensemble des mesures de l'Annexe A de la norme ISO 27001:2013 : Politiques de sécurité de l’information A.5.1 Compréhension de l'organisme et de son contexte Organisation de la sécurité de l’information A.6.1 Organisation interne A.6.2 Appareils mobiles et télétravail Sécurité des ressources humaines A.7.1 Avant l'embauche A.7.2 Pendant la durée du contrat Rupture, terme ou modification du contrat de A.7.3 travail Gestion des actifs A.8.1 Responsabilités relatives aux actifs A.8.2 Classification de l'information A.8.3 Manipulation des supports Contrôle d’accès A.9.1 Exigences métier en matière de contrôle d’accès A.9.2 Gestion d'accès utilisateur A.9.3 Responsabilités des utilisateurs A.9.4 Contrôle de l’accès au système et à l’information Cryptographie A.10.1 Mesures cryptographiques Sécurité physique et environnementale A.11.1 Zones sécurisées A.11.2 Matériels
Version de janvier 2016
Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant Insuffisant
©2015 : Master 2 Qulaité et Performance dans les Organisations
Insuffisant Insuffisant
Taux % 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%
Niveaux de CONFORMITÉ Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1 Niveau 1
31/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Conseils
Fichier : 549717065.xlsx
Autodiagnostic selon la norme ISO 27001:2013 "Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences", édition Afnor, www.afnor.org, décembre 2013 Quelques CONSEILS pour atteindre le respect des exigences... Articles
Quoi Art. 4
4.1
Compréhension de l'organisme et de son contexte
4.2
Compréhension des besoins et des attentes des parties intéressées
4.3
Détermination du domaine d'application du SMSI
4.4
Système de management de la sécurité de l'information
5.1
Leadership et engagement
5.2
Politique
5.3
Rôles, responsabilités et autorités au sein de l'organisme
Contexte de l'organisme
L’organisme doit déterminer les enjeux externes et internes liés au contexte socio-économique dans lequel il se situe. De plus, les parties intéressées doivent être identifiées ainsi que leurs attentes et exigences. Ces dernières seront listées et revus périodiquement. Les champs d'application du système de management de la qualité (SMSI) sont fixés, ainsi que l'ensemble des processus nécessaires à la mise en oeuvre de ce système.
Art. 5
6.2
Actions liées aux risques et opportunités
Objectifs sécurité et planification pour les atteindre
Ressources
7.2
Compétences
7.3
Sensibilisation
7.4
Communication
7.5
Informations documentées
Ce paragraphe stipule l’identification des risques liés aux enjeux de l’organisme et de prendre les mesures nécessaires pour y remédier en déterminant et comparant les mesures mises en œuvre avec l'annexe A Des objectifs pertinents et cohérents avec la politique de sécurité de l'information de l'organisme sont fixés et doivent être documentés, communiqués à l’ensemble des acteurs et mesurables afin de pouvoir évaluer la performance dans l’atteinte de ces objectifs.
8.1
Planification et contrôle opérationnels
8.2
Appréciation des risques de sécurité de l'information
8.3
Traitement des risques de sécurité de l'information
9.1
Audit interne
9.3
Revue de direction
Évaluation des performances
L'organisme doit mettre en place des moyens de surveillance, de mesure et d'analyse des performances et de l'efficacité du SI. Les résultats sont conservés. Il est important de programmer des audits internes de façon périodique et de communiquer les résultats à la direction, en fournissant les moyens nécessaires (humains et matériels) afin d'entreprendre sans délai la correction et les actions correctives appropriées s'il y a écart. Il est important de réaliser une revue de direction pour s'assurer de l'efficacité et l'adéquation du SMSI est en lien avec la stratégie de l'organisme. Cette revue fournit des décisions et actions sur les opportunités d’amélioration, le besoin de modifier le SMSI et le besoin en ressources.
Art. 10
10.3
Direction Générale, Responsable DSI, pilotes des processus, Personnel
Surveillance, mesure, analyse et évaluation
9.2
10.2
Responsable DSI et pilotes de processus (RH, Système informatique, Gestion administrative, gestion financière, Maintenance et Infrastructures)
Fonctionnement
L'organisme doit planifier, mettre en œuvre et maîtriser les processus, y compris externalisés, nécessaires à la réalisation des activités opérationnelles, après avoir recensé les objectifs en terme de sécurité de l'information et recueilli les informations documentées explicitant ces besoins. Il est nécessaire de vérifier de façon continue, principalement après la mise à jour des processus, les informations relatives aux actions menées qui doivent être documentées et conservées.
Art. 9
Responsable DSI et Direction Générale
Support
Les ressources humaines et matérielles nécessaires sont mises à disposition pour la réalisation des processus du SMSI. Les compétences des personnes qui ont un impact direct sur la sécurité du système d'information sont contrôlées. L'organisme sensibilise sur la sécurité de l'informations auprès des parties prenantes. D'autre part, sur le volet informationnel, l'organisme doit planifier des réunions périodiques et des entretiens avec l'ensemble des pilotes de processus, ceci pour vérifier l'existence, la conformité et l'application sur le terrain des dispositions demandées. Les informations documentées doivent ainsi être créées, mises à jour, diffusées et utilisées par l'ensemble des parties prenantes.
Art. 8
Responsable DSI et Direction Générale
Planification
Art. 7 7.1
Responsable DSI et Direction Générale
Leadership
Dans cet article, la responsabilité de la direction est de communiquer et mettre à disposition sa politique qualité qu'elle appliquera et mettra à jour par la suite. L'engagement de la direction consiste aussi à attribuer les responsabilités et les autorités au sein de l'organisme afin d'appliquer sa politique de sécurité du système d'information.
Art. 6 6.1
Qui
Direction Générale, Responsable DSI, pilotes des processus, Personnel
Amélioration
Non-conformité et action corrective
Amélioration continue
Version de janvier 2016
L'organisme s'engage à améliorer en continu la sécurité de son système d'information. Cela passe par la correction des anomalies et des non conformités , mais aussi par les actions préventives suite à l'étude et l'analyse des résultats d'évaluation de la performance du SMSI. L'organisme sera donc constamment dans une optique d'amélioration continue.
©2015 : Master 2 Qualité et Performance dans les Organisations
Direction Générale, Responsable DSI, pilotes des processus, Personnel
32/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Plans d'action détaillés
Fichier : 549717065.xlsx
Autodiagnostic sur les exigences de l'ISO 27001:2013 Date D'audit: Responsable:
Logo Entreprise
PLANIFIER ET FAIRE
Date courante :
Service:
Semaine courante :
11
40 Désignation du Problème
Action
AVANCEMENT Pilote
Moyens
Gain Estimé
Gain Réalisé
Debut (semaine)
Durée (semaine)
25%
50%
75%
100%
1
1
1
1
1
2
1
0
1
1
1
1
1
1
1
1
1
1
2
1
1
1
1
1
1
1
1
1
1
1
1
2
1
1
1
1
1
1
1
1
N°
Commentaires
ZONE / Processus….
2
1 2
ZONE / Processus…. 1 2 1 2 1 2 1 2 3
ZONE / Processus….
1
2 1 2 1 2
Version de janvier 2016
©2015 : Master 2 Qualité et Performance dans les Organisations
33/36
UTC - Master Qualité - www.utc.fr/master-qualite
Onglet : Plans d'action détaillés
Fichier : 549717065.xlsx
Autodiagnostic sur les exigences de l'ISO 27001:2013 Date D'audit: Responsable:
Logo Entreprise
PLANIFIER ET FAIRE
Date courante :
Service:
Semaine courante :
11
40 Désignation du Problème
N°
Action
AVANCEMENT Pilote
Moyens
Gain Estimé
Gain Réalisé
Debut (semaine)
Durée (semaine)
25%
50%
75%
100%
Commentaires
ZONE / Processus…. 1
1
2
1
1 2 1
1
1
1
1
2
1
1
1
1
1
1
1
1
1
1
1
2
1
1
1
1
1 2
ZONE / Processus…. 1
1
2 1 2
1 2
Version de janvier 2016
©2015 : Master 2 Qualité et Performance dans les Organisations
34/36
Fiche de déclaration de conformité par une première partie - norme ISO 17050
Enregistrement qualité : impression sur 1 page A4 100% en vertical
Déclaration de conformité selon la norme NF EN ISO 17050 Partie 1 : Exigences générales Évaluation de la conformité - Déclaration de conformité du fournisseur (NF EN ISO/CEI 17050-1) Date limite de validité de la déclaration : Date de la déclaration + 1 an
Référence unique de la déclaration ISO 17050 : date de la déclaration invalide
Objet de la déclaration : Niveau de CONFORMITÉ aux EXIGENCES de la norme NF EN ISO 27001:2013
Nom de l'établissement / entreprise / organisation... Nous soussigés, déclarons sous notre propre responsabilité que les niveaux de conformité de nos pratiques professionnelles ont été mesurés d'après les exigences de la norme NF EN ISO 27001:2013. Nous avons appliqué la meilleure rigueur d'élaboration et d'analyse (évaluation par plusieurs personnes compétentes) et nous avons respecté les règles d'éthique professionnelle (absence de conflits d'intérêt, respect des opinions, liberté des choix) pour parvenir aux résultats ci-dessous. Tableau des résultats de CONFORMITÉ de nos activités selon les critères d'exigence tirés de la norme NF EN ISO 27001:2013
Taux moyen
Niveaux de Conformité
Niveau moyen sur l'ensemble des articles de la norme ISO 27001:2013 :
0%
Non déclarable
Art. 4
Contexte de l'organisme
0%
Non déclarable
Art. 5
Leadership
0%
Non déclarable
Art. 6
Planification
0%
Non déclarable
Art. 7
Support
0%
Non déclarable
Art. 8
Fonctionnement
0%
Non déclarable
Art. 9
Évaluation des performances
0%
Non déclarable
Art. 10
Amélioration
0%
Non déclarable
Documents d'appui consultables associés à la déclaration ISO 17050 Déclaration de conformité selon l'ISO 17050 Partie 2 : Documentation d'appui (NF EN ISO/CEI 17050-2)
Documents génériques Norme NF EN ISO 27001:2013 " Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences", édition Afnor, www.afnor.org, 27 décembre 2013
Outil d'autodiagnostic : Fichier Excel® automatisé mis au
point à l'Université de Technologie de Compiègne, France (www.utc.fr) - voir sa dénomination au bas de la feuille
Documents spécifiques Modifier les contenus bleus et mettre ensuite en noir : Enregistrements qualité : indiquez ceux que vous mettrez à disposition d'un auditeur. Il peut s'agir des onglets imprimés et signés de ce fichier d'autodiagnostic Autre document d'appui : Mettre ici, et en noir, tout autre document d'appui éventuel pour cette déclaration
Signataires Personne indépendante à l'organisme : Indiquer les NOM et Prénom de la personne indépendante
Coordonnées professionnelles : Organisme de la personne indépendante Adresse complète de l'organisme de la personne indépendante Code postal - Ville - Pays de l'organisme de la personne indépendante Tél et email de la personne indépendante
Date de la déclaration (jj/mm/aaaa) : Mettre la date de signature par la personne compétente
Signature :
Fichier utilisé : 549717065.xlsx
Personne responsable de l'organisme : Nom de l'établissement / entreprise / organisation... Coordonnées professionnelles : NOM et Prénom du Responsable DSI Adresse complète de l'Exploitant
Code postal - Ville - Pays de l'Exploitant email :
Tél :
Date de l'autodiagnostic (jj/mm/aaaa) : pas de date d'évaluation pour l'instant Signature :
page n°35/36
Fichier utilisé : 549717065.xlsx
page n°36/36