|
15-06-2006 |
CONTROLES ISO 27001, Correspondent aux 12(*) chapitres (4 à 15) de l'ISO 27002:2005
4 Appréciation et traitement du risque
4.1 Appréciation du risque lié à la sécurité
4.2 Traitement du risque lié à la sécurité
5 Politique de sécurité
5.1 Politique de sécurité de l’information
5.1.1 Document de politique de sécurité de l’information
5.1.2 Réexamen de la politique de sécurité de l’information
6 Organisation de la sécurité de l’information
6.1 Organisation interne
6.1.1 Engagement de la Direction vis-à-vis de la sécurité de l’information
6.1.2 Coordination de la sécurité de l’information
6.1.3 Attribution des responsabilités en matière de sécurité de l’information
6.1.4 Système d’autorisation concernant les moyens de traitement de l’information
6.1.5 Engagements de confidentialité
6.1.6 Relations avec les autorités
6.1.7 Relations avec des groupes de spécialistes
6.1.8 Revue indépendante de la sécurité de l’information
6.2 Tiers
6.2.1 Identification des risques provenant des tiers
6.2.2 La sécurité et les clients
6.2.3 La sécurité dans les accords conclus avec des tiers
7 Gestion des biens (actifs)
7.1 Responsabilités relatives aux biens
7.1.1 Inventaire des biens
7.1.2 Propriété des biens
7.1.3 Utilisation correcte des biens
7.2 Classification des informations
7.2.1 Lignes directrices pour la classification
7.2.2 Marquage et manipulation de l’information
8 Sécurité liée aux ressources humaines
8.1 Avant le recrutement
8.1.1 Rôles et responsabilités
8.1.2 Sélection
8.1.3 Conditions d’embauche
8.2 Pendant la durée du contrat
8.2.1 Responsabilités de la direction
8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information
8.2.3 Processus disciplinaire
8.3 Fin ou modification de contrat
8.3.1 Responsabilités en fin de contrat
8.3.2 Restitution des biens
8.3.3 Retrait des droits d’accès
9 Sécurité physique et environnementale
9.1 Zones sécurisées
9.1.1 Périmètre de sécurité physique
9.1.2 Contrôles physiques des accès
9.1.3 Sécurisation des bureaux, des salles et des équipements
9.1.4 Protection contre les menaces extérieures et environnementales
9.1.5 Travail dans les zones sécurisées
9.1.6 Zones d’accès public, de livraison et de chargement
9.2 Sécurité du matériel
9.2.1 Choix de l’emplacement et protection du matériel
9.2.2 Services généraux
9.2.3 Sécurité du câblage
9.2.4 Maintenance du matériel
9.2.5 Sécurité du matériel hors des locaux
9.2.6 Mise au rebut ou recyclage sécurisé(e) du matériel
9.2.7 Sortie d’un bien
10 Gestion de l’exploitation et des télécommunications
10.1 Procédures et responsabilités liées à l’exploitation
10.1.1 Procédures d’exploitation documentées
10.1.2 Gestion des modifications
10.1.3 Séparation des tâches
10.1.4 Séparation des équipements de développement, de test et d’exploitation
10.2 Gestion de la prestation de service par un tiers
10.2.1 Prestation de service
10.2.2 Surveillance et réexamen des services tiers
10.2.3 Gestion des modifications dans les services tiers
10.3 Planification et acceptation du système
10.3.1 Dimensionnement
10.3.2 Acceptation du système
10.4 Protection contre les codes malveillant et mobile
10.4.1 Mesures contre les codes malveillants
10.4.2 Mesures contre le code mobile
10.5 Sauvegarde
10.5.1 Sauvegarde des informations
10.6 Gestion de la sécurité des réseaux
10.6.1 Mesures sur les réseaux
10.6.2 Sécurité des services réseau
10.7 Manipulation des supports
10.7.1 Gestion des supports amovibles
10.7.2 Mise au rebut des supports
10.7.3 Procédures de manipulation des informations
10.7.4 Sécurité de la documentation système
10.8 Échange des informations
10.8.1 Politiques et procédures d’échange des informations
10.8.2 Accords d’échange
10.8.3 Supports physiques en transit
10.8.4 Messagerie électronique
10.8.5 Systèmes d’information d’entreprise
10.9 Services de commerce électronique
10.9.1 Commerce électronique
10.9.2 Transactions en ligne
10.9.3 Informations à disposition du public
10.10 Surveillance
10.10.1 Rapport d’audit
10.10.2 Surveillance de l’exploitation du système
10.10.3 Protection des informations journalisées
10.10.4 Journal administrateur et journal des opérations
10.10.5 Rapports de défaut
10.10.6 Synchronisation des horloges
11 Contrôle d’accès
11.1 Exigences métier relatives au contrôle d’accès
11.1.1 Politique de contrôle d’accès
11.2 Gestion de l’accès utilisateur
11.2.1 Enregistrement des utilisateurs
11.2.2 Gestion des privilèges
11.2.3 Gestion du mot de passe utilisateur
11.2.4 Réexamen des droits d’accès utilisateurs
11.3 Responsabilités utilisateurs
11.3.1 Utilisation du mot de passe
11.3.2 Matériel utilisateur laissé sans surveillance
11.3.3 Politique du bureau propre et de l’écran vide
11.4 Contrôle d’accès au réseau
11.4.1 Politique relative à l’utilisation des services en réseau
11.4.2 Authentification de l’utilisateur pour les connexions externes
11.4.3 Identification des matériels en réseau
11.4.4 Protection des ports de diagnostic et de configuration à distance
11.4.5 Cloisonnement des réseaux
11.4.6 Mesure relative à la connexion réseau
11.4.7 Contrôle du routage réseau
11.5 Contrôle d’accès au système d’exploitation
11.5.1 Ouverture de sessions sécurisées
11.5.2 Identification et authentification de l’utilisateur
11.5.3 Système de gestion des mots de passe
11.5.4 Emploi des utilitaires système
11.5.5 Déconnexion automatique des sessions inactives
11.5.6 Limitation du temps de connexion
11.6 Contrôle d’accès aux applications et à l’information
11.6.1 Restriction d’accès à l’information
11.6.2 Isolement des systèmes sensibles
11.7 Informatique mobile et télétravail
11.7.1 Informatique mobile et télécommunications
11.7.2 Télétravail
12 Acquisition, développement et maintenance des systèmes d’information
12.1 Exigences de sécurité applicables aux systèmes d’information
12.1.1 Analyse et spécification des exigences de sécurité
12.2 Bon fonctionnement des applications
12.2.1 Validation des données d’entrée
12.2.2 Mesure relative au traitement interne
12.2.3 Intégrité des messages
12.2.4 Validation des données de sortie
12.3 Mesures cryptographiques
12.3.1 Politique d’utilisation des mesures cryptographiques
12.3.2 Gestion des clés
12.4 Sécurité des fichiers système
12.4.1 Mesure relative aux logiciels en exploitation
12.4.2 Protection des données système d’essai
12.4.3 Contrôle d’accès au code source du programme
12.5 Sécurité en matière de développement et d’assistance technique
12.5.1 Procédures de contrôle des modifications
12.5.2 Réexamen technique des applications après modification du système d’exploitation
12.5.3 Restrictions relatives à la modification des progiciels
12.5.4 Fuite d’informations
12.5.5 Externalisation du développement logiciel
12.6 Gestion des vulnérabilités techniques
12.6.1 Mesure relative aux vulnérabilités techniques
13 Gestion des incidents liés à la sécurité de l’information
13.1 Signalement des événements et des failles liés à la sécurité de l’information
13.1.1 Signalement des événements liés à la sécurité de l’information
13.1.2 Signalement des failles de sécurité
13.2 Gestion des améliorations et incidents liés à la sécurité de l’information
13.2.1 Responsabilités et procédures
13.2.2 Exploitation des incidents liés à la sécurité de l’information déjà survenus
13.2.3 Collecte de preuves
14 Gestion du plan de continuité de l’activité
14.1 Aspects de la sécurité de l’information en matière de gestion de la continuité de l’activité
14.1.1 Intégration de la sécurité de l’information dans le processus de PCA
14.1.2 Continuité de l’activité et appréciation du risque
14.1.3 Élaboration et mise en oeuvre des PCA intégrant la sécurité de l'information
14.1.4 Cadre de la planification de la continuité de l’activité
14.1.5 Mise à l’essai, gestion et appréciation constante des plans de continuité de l’activité
15 Conformité
15.1 Conformité avec les exigences légales
15.1.1 Identification de la législation en vigueur
15.1.2 Droits de propriété intellectuelle
15.1.3 Protection des enregistrements de l’organisme
15.1.4 Protection des données et confidentialité des informations relatives à la vie privée
15.1.5 Mesure préventive à l’égard du mauvais usage des moyens de traitement de l’information
15.1.6 Réglementation relative aux mesures cryptographiques
15.2 Conformité avec les politiques et normes de sécurité et conformité technique
15.2.1 Conformité avec les politiques et les normes de sécurité
15.2.2 Vérification de la conformité technique
15.3 Prises en compte de l’audit du système d’information
15.3.1 Contrôles de l’audit du système d’information
15.3.2 Protection des outils d’audit du système d’information
(*) Nous tenons à inclure l'analyse de risque (chapitre 4) dans la liste, bien que n'étant pas un contrôle au sens anglo-saxon, c'est un processus de sécurité indispensable à nos yeux.
|
|
Dernière mise à jour : ( 14-05-2009 )
|
ISO 27000 
