SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Mesures ISO 27002-Mehari Convertir en PDF Version imprimable Suggérer par mail
16-06-2009

Chap.

Libellé de la mesure

Objectif de la mesure

Politique

Méhari

ISO

 

 

 

Services

4

Appréciation et traitement du risque

 

RSK

 

4.1

Appréciation du risque lié à la sécurité

Objectif: Baser la sécurité sur une appréciation préalable des risques : analyse des enjeux, analyse des actifs critiques, analyse des vulnérabilités, validation des scénarios de risques (Impact / probabilité).

 

 

4.2

Traitement du risque lié à la sécurité

Objectif: Réduire les risques liés aux scénarios de risques à un niveau acceptable pour l'entreprise. Surveiller les risques résiduels

 

 

5

 Politique de sécurité

 

 POL

 

5.1

 Politique de la sécurité de l'Information

Objectif: Apporter à la sécurité de l’information une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur.

 POL01

 

5.1.1

 Document de politique de sécurité de l’information

Mesure :  Un document de politique de sécurité de l’information doit être approuvé par la direction, puis publié et diffusé auprès de l’ensemble des salariés et des tiers concernés.

 

01A02-01

5.1.2

 Revue de la politique de sécurité de l’information

Mesure :  Pour garantir la pertinence, l’adéquation et l’efficacité de la politiquede s écurité de l’information, la politique doit être réexaminée à intervalles fixés préalablement ou en cas de changements majeurs.

 

01A02-02

6

 Organisation de la sécurité de l’information

 

 ORG

 

6.1

 Organisation interne

Objectif: Gérer la sécurité de l’information au sein de l’organisme.

 ORG01

 

6.1.1

 Engagement de la Direction vis-à-vis de la sécurité de l’information

Mesure :  La direction doit soutenir activement la politique de sécurité au sein de l’organisme au moyen de directives claires, d’un engagement démontré, d’attribution de fonctions explicites et d’une reconnaissance des responsabilités liées à la sécurité de l’information.

 

01A02-09

6.1.2

 Coordination de la sécurité de l’information

Mesure :  Les activités relatives à la sécurité de l’information doivent être coordonnées par des intervenants ayant des fonctions et des rôlesappropriés représentatifs des différentes parties de l’organisme.

 

01A02-03:05

6.1.3

 Attribution des responsabilités en matière de sécurité de l’information

Mesure :  Toutes les responsabilités en matière de sécurité de l’information doivent être définies clairement.

 

01A02-06:07

 6.1.4

 Système d’autorisation concernant les moyens de traitement de l’information

Mesure :  Un système de gestion des autorisations doit être défini et mis en oeuvre pour chaque nouveau moyen de traitement de l’information.

 

06A02-09
08A04-11
11C06-01:02

6.1.5

 Engagements de confidentialité

Mesure :  Les exigences en matière d’engagements de confidentialité ou de non-divulgation, conformément aux besoins de l’organisme, doivent être identifiées et réexaminées régulièrement.

 

01C01-01:05

6.1.6

 Relations avec les autorités

Mesure :  Des relations appropriées doivent être mises en place avec les  autorités compétentes. 

 

01A02-10

6.1.7

 Recours à des Consultants ou Spécialistes externes

Mesure :  Des contacts appropriés doivent être entretenus avec des groupes  de spécialistes, des forums spécialisés dans la sécurité et des  associations professionnelles. 

 

01A02-11

6.1.8

 Audit indépendant de la sécurité de l’information

Mesure :  Des réexamens réguliers et indépendants de l’approche retenue par  l’organisme pour gérer et mettre en oeuvre sa sécurité (c'est-à-dire  le suivi des objectifs de sécurité, les politiques, les procédures et les  processus relatifs à la sécurité de l’information) doivent être  effectués; de tels réexamens sont également nécessaires lorsque  des changements importants sont intervenus dans la mise en oeuvre  de la sécurité. 

 

01A02-13

6.2

 Tierses Parties et Sous-traitants externes

Objectif: Assurer la sécurité de l'information et des moyens de traitement de l'information appartenant à l'organisme  et consultés, traités, communiqués ou gérés par des tiers. 

 ORG02

 

6.2.1

 Identification des risques provenant des tiers

Mesure :  Les risques pesant sur l’information et les moyens de traitement de  l’organisme qui découlent d’activités impliquant des tiers doivent être  identifiés, et des Mesure :s appropriées doivent être mises en oeuvre  avant d’accorder des accès. 

 

01C05-01

6.2.2

 La sécurité des relations avec les clients

Mesure :  Tous les besoins de sécurité doivent être traités avant d’accorder  aux clients l’accès à l’information ou aux actifs de l’organisme. 

 

01C05-02

6.2.3

 La sécurité dans les accords conclus avec des tiers

Mesure :  Les accords conclus avec des tiers qui portent sur l’accès, le  traitement, la communication ou la gestion de l’information, ou des  moyens de traitement de l’information de l’organisme, ou qui portent  sur l’ajout de produits ou de services aux moyens de traitement de  l’information, doivent couvrir l’ensemble des exigences applicables  en matière de sécurité. 

 

01C05-04:05

7

 Gestion des actifs

 

 BIE

 

7.1

 Responsabilités relatives aux actifs

Objectif: Mettre en place et maintenir une protection appropriée des actifs de l’organisme. 

 BIE01

 

7.1.1

 Inventaire des actifs

Mesure :  Tous les actifs doivent être clairement identifiés et un inventaire de  tous les actifs importants doit être réalisé et géré. 

 

01B04-01:02

7.1.2

 Propriété des actifs

Mesure :  La propriété de chaque information et des moyens de traitement de  l’information doit être ‘attribuée3)’ à une partie définie de  l’organisme. 

 

01B04-03

7.1.3

 Utilisation correcte des actifs

Mesure :  Des règles permettant l’utilisation correcte de l’information et des  actifs associés aux moyens de traitement de l’information doivent  être identifiées, documentées et mises en oeuvre. 

 

01B04-04

7.2

 Classification de l'information

Objectif: Garantir un niveau de protection approprié aux informations.

 BIE02

 

7.2.1

 Règles de classification de l'Information

Mesure :  Les informations doivent être classées en termes de valeur,  d’exigences légales, de sensibilité et de criticité. 

 

01B03-03
01B03-10

7.2.2

 Procédures de marquage et de manipulation

Mesure :  Un ensemble approprié de procédures pour le marquage et la  manipulation de l’information doit être élaboré et mis en oeuvre  conformément au plan de classification adopté par l’organisme. 

 

01B02-04
01B03-02

8

 Sécurité et Ressources Humaines (internes et externes)

 

SRH

 

8.1

 Avant Embauche ou Contractualisation

Objectif: Garantir que les salariés, contractants et utilisateurs tiers connaissent leurs responsabilités et qu’ils  conviennent pour les fonctions qui leur sont attribuées et réduire le risque de vol, de fraude ou de mauvais usage  des équipements. 

 SRH01

 

8.1.1

 Rôles et Responsabilités

Mesure :  Les rôles et responsabilités en matière de sécurité des salariés,  contractants et utilisateurs tiers doivent être définis et documentés  conformément à la politique de sécurité de l’information de  l’organisme. 

 

01C03-01

8.1.2

 Sélection

Mesure :  Qu’il s’agisse de postulants, de contractants ou d’utilisateurs tiers,  les vérifications des informations concernant tous les candidats  doivent être réalisées conformément aux lois, aux règlements et à  l’étique et doivent être proportionnelles aux exigences métier, à la  classification des informations accessibles et aux risques identifiés. 

 

01C03-02:04

8.1.3

 Conditions d'embauche ou de contractualisation

Mesure :  Dans le cadre de leurs obligations contractuelles, les salariés,  contractants et utilisateurs tiers doivent se mettre d’accord sur les  modalités du contrat d’embauche les liant et le signer. Ce contrat  doit définir leurs responsabilités et celles de l’organisme quant à la  sécurité de l’information. 

 

01C01-01:02

8.2

 Pendant la durée du contrat

Objectif: Veiller à ce que tous les salariés, contractants et utilisateurs tiers soient conscients des menaces pesant  sur la sécurité de l’information, de leurs responsabilités financières ou autres, et disposent des éléments requis  pour prendre en charge la politique de sécurité de l’organisme dans le cadre de leur activité normale et réduire le  risque d’erreur humaine. 

 SRH02

 

 8.2.1

 Responsabilités du Management

Mesure :  La direction doit demander aux salariés, contractants et utilisateurs  tiers d’appliquer les règles de sécurité conformément aux politiques  et procédures établies de l’organisme. 

 

01C01-06

8.2.2

 Formation et sensibilisation à la SSI

Mesure :  L’ensemble des salariés d’un organisme et, le cas échant, les  contractants et utilisateurs tiers doivent suivre une formation  adaptée sur la sensibilisation et doivent recevoir régulièrement les  mises à jour des politiques et procédures de l’organisme,  pertinentes pour leurs fonctions. 

 

01C04-01:05

 8.2.3

 Processus disciplinaires

Mesure :  Un processus disciplinaire formel doit être élaboré pour les salariés  ayant enfreint les règles de sécurité. 

 

01B01-07

8.3

 Fin ou Modification de contrat

Objectif: Veiller à ce que les salariés, contractants et utilisateurs tiers quittent un organisme ou changent de poste  selon une procédure définie. 

 SRH03

 

8.3.1

 Responsabilités en fin de contrat

Mesure :  Les responsabilités relatives aux fins ou aux modifications de  contrats doivent être clairement définies et attribuées. 

 

01B01-09

8.3.2

 Restitution des actifs

Mesure :  Tous les salariés, contractants et utilisateurs tiers doivent restituer la  totalité des actifs de l’organisme qu’ils ont en leur possession à la fin  de leur période d’emploi, contrat ou accord. 

 

01B04-05

8.3.3

 Retrait des droits d’accès

Mesure :  Les droits d’accès de l’ensemble des salariés, contractants et  utilisateurs tiers à l’information et aux moyens de traitement de  l’information doivent être supprimés à la fin de leur période d’emploi,  ou modifiés en cas de modification du contrat ou de l’accord. 

 

01B01-10

9

 Sécurité physique et environnementale

 

 SPE

 

9.1

 Zones sécurisées

Objectif: Empêcher tout accès physique non autorisé, tout dommage ou intrusion dans les locaux ou portant sur les  informations de l’organisme. 

 SPE01

 

9.1.1

 Périmètre de sécurité physique

Mesure :  Les zones contenant des informations et des moyens de traitement  de l’information doivent être protégées par des périmètres de  sécurité (obstacles tels que des murs, des portes avec un contrôle  d’accès par cartes, ou des bureaux de réception avec personnel  d’accueil). 

 

02A03-01:02
02A03-06
02A04-01

9.1.2

 Contrôles physiques des accès

Mesure :  Les zones sécurisées doivent être protégées par des contrôles à  l’entrée adéquats pour s’assurer que seul le personnel habilité est  admis. 

 

03B01-01
03B01-05
03B03-01
11A05-01:04

9.1.3

 Sécurisation des bureaux, des salles et des équipements

Mesure :  Des Mesure :s de sécurité physique doivent être conçues et  appliquées pour les bureaux, les salles et les équipements. 

 

03B08-01:03

9.1.4

 Protection contre les menaces extérieures et environnementales

Mesure :  Des Mesure :s de protection physique contre les dommages causés  par les incendies, les inondations, les tremblements de terre, les  explosions, les troubles civils et autres formes de catastrophes  naturelles ou de sinistres provoqués par l’homme, doivent être  conçues et appliquées. 

 

03C01-01
03C02-01:03
03D01-01
03D02-01
03D03-06
03E01-01:02

9.1.5

 Travail dans les zones sécurisées

Mesure :  Des Mesure :s de protection physique et des directives pour le travail  en zone sécurisée doivent être conçues et appliquées. 

 

03B02-08
03B03-01
03B06-01

9.1.6

 Zones d’accès public, de livraison et de chargement

Mesure :  Les points d’accès tels que les zones de livraison/chargement et les  autres points par lesquels des personnes non habilitées peuvent  pénétrer dans les locaux doivent être contrôlés. Les points d’accès  doivent également, si possible, être isolés des moyens de traitement  de l’information, de façon à éviter les accès non autorisés. 

 

02A05-01:05

9.2

 Sécurité du matériel

Objectif: Empêcher la perte, l’endommagement, le vol ou la compromission des actifs et l’interruption des activités  de l’organisme. 

 SPE02

 

9.2.1

 Choix de l’emplacement et protection du matériel

Mesure :  Le matériel doit être situé et protégé de manière à réduire les  risques de menaces et de dangers environnementaux et les  possibilités d’accès non autorisé. 

 

06A02-03
08A01-01
08A04-03

9.2.2

 Services généraux

Mesure :  Le matériel doit être protégé des coupures de courant et autres  perturbations dues à une défaillance des services généraux. 

 

03A01-01:03
03A02-01
03A03-01
03A03-03

9.2.3

 Sécurité du câblage

Mesure :  Les câbles électriques ou de télécommunications transportant des  données doivent être protégés contre toute interception  d’information ou dommage. 

 

03A04-01:04

9.2.4

 Maintenance du matériel

Mesure :  Le matériel doit être entretenu correctement pour garantir sa  disponibilité permanente et son intégrité. 

 

04A03-01
05A04-01
06A03-01
06A07-01:02
08A05-01
08A06-01:02
08D01-01

9.2.5

 Sécurité du matériel hors des locaux

Mesure :  La sécurité doit être appliquée au matériel utilisé hors des locaux de  l’organisme en tenant compte des différents risques associés au  travail hors site. 

 

11C05-01
11C05-03

9.2.6

 Mise au rebut ou recyclage sécurisé(e) du matériel

Mesure :  Tout le matériel contenant des supports de stockage doit être vérifié  pour s’assurer que toute donnée sensible a bien été supprimée et  que tout logiciel sous licence a bien été désinstallé ou écrasé de  façon sécurisée, avant sa mise au rebut. 

 

06A07-01
08A06-01:02
08C01-04
11C03-01

 9.2.7

 Sortie d’un bien

Mesure :  Un matériel, des informations ou des logiciels ne doivent pas être  sortis des locaux de l’organisme sans autorisation préalable. 

 

01B04-06

10

 Gestion des opérations et des télécommunications

 

OPR

 

10.1

 Procédures et responsabilités liées à l’exploitation

Objectif: Assurer l’exploitation correcte et sécurisée des moyens de traitement de l’information. 

OPR01

 

10.1.1

 Procédures d’exploitation documentées

Mesure :  Les procédures d’exploitation doivent être documentées, tenues à  jour et disponibles pour tous les utilisateurs concernés. 

 

06A05-01:03
08A09-01:03

10.1.2

 Gestion des modifications

Mesure :  Les changements apportés aux systèmes et moyens de traitement  de l’information doivent être contrôlés. 

 

06A02-01
08A04-01

10.1.3

 Séparation des tâches

Mesure :  Les tâches et les domaines de responsabilité doivent être séparés  pour réduire les occasions de modification ou de mauvais usage non  autorisé(e) ou involontaire des actifs de l’organisme. 

 

06C01-03:05
08F01-01:03

10.1.4

 Séparation des équipements de développement, de test et d’exploitation

Mesure :  Les équipements de développement, d'essai et d’exploitation  doivent être séparés pour réduire les risques d’accès ou de  changements non autorisés dans le système d’information en  exploitation. 

 

06B01-07:08

10.2

 Gestion de la prestation de service par un tiers

Objectif: Mettre en oeuvre et maintenir un niveau de sécurité de l’information et de service adéquat et conforme aux  accords de prestation de service conclus avec un tiers. 

OPR02

 

10.2.1

 Prestation de service

Mesure :  Il doit être assuré que les Mesure :s de sécurité, les définitions du  service et les niveaux de prestation prévus dans l’accord de  prestation de service tiers sont mis en oeuvre, appliqués et tenus à  jour par le tiers. 

 

06A06-01:02
08A10-01:02

10.2.2

 Surveillance et réexamen des services tiers

Mesure :  Les services, rapports et enregistrements fournis par les tiers  doivent être régulièrement contrôlés et réexaminés, et des audits  doivent être régulièrement réalisés. 

 

06A06-03:04
08A10-03:04

10.2.3

 Gestion des modifications dans les services tiers

Mesure :  Les changements effectués dans la prestation de service,  comprenant le maintien et l’amélioration des politiques, procédures  et Mesure :s existant en matière de sécurité de l’information, doivent  être gérés en tenant compte de la criticité des systèmes et  processus de gestion concernés et de la réévaluation du risque. 

 

06A06-05
08A10-05

10.3

 Planification et acceptation du système

Objectif: Réduire le plus possible le risque de pannes du système. 

OPR03

 

10.3.1

 Dimensionnement

Mesure :  L’utilisation des ressources doit être surveillée et ajustée au plus  près, et des projections doivent être faites sur les dimensionnements  futurs pour assurer les performances requises par le système. 

 

06A02-02
08A04-02

10.3.2

 Acceptation du système

Mesure :  Les critères d’acceptation doivent être fixés pour les nouveaux  systèmes d’information, les nouvelles versions et les mises à  niveau, et les tests adaptés du (des) système(s) doivent être  réalisés au moment du développement et préalablement à leur  acceptation. 

 

06A02-04
06A02-06:07
08A04-05
08A04-07:09

10.4

 Protection contre les codes malveillant et mobile

Objectif: Protéger l’intégrité des logiciels et de l’information. 

OPR04

 

10.4.1

 Mesures contre les codes malveillants

Mesure :  Des Mesure :s de détection, de prévention et de recouvrement pour  se protéger des codes malveillants ainsi que des procédures  appropriées de sensibilisation des utilisateurs doivent être mises en  oeuvre. 

 

08D07-01:02
11D06-01
11D06-04

10.4.2

 Mesures contre le code mobile

Mesure :  Lorsque l’utilisation de code mobile est autorisée, la configuration  doit garantir que le code mobile fonctionne selon une politique de  sécurité clairement définie et tout code mobile non autorisé doit être  bloqué. 

 

11D06-05

10.5

 Sauvegarde 

Objectif: Maintenir l’intégrité et la disponibilité des informations et des moyens de traitement de l’information. 

OPR05

 

10.5.1

 Sauvegarde des informations

Mesure :  Des copies de sauvegarde des informations et logiciels doivent être  réalisées et soumises régulièrement à essai conformément à la  politique de sauvegarde convenue. 

 

04A05-01:07
05A06-01:07
08D04-01:07
08D05-01:12

10.6

 Gestion de la sécurité des réseaux

Objectif: Assurer la protection des informations sur les réseaux et la protection de l’infrastructure sur laquelle elles  s’appuient. 

OPR06

 

10.6.1

 Mesures sur les réseaux

Mesure :  Les réseaux doivent être gérés et contrôlés de manière adéquate  pour qu’ils soient protégés des menaces et pour maintenir la  sécurité des systèmes et des applications utilisant le réseau,  notamment les informations en transit. 

 

06C01-03:04
06C03-01:02

10.6.2

 Sécurité des services réseau

Mesure :  Pour tous les services réseau, les fonctions réseau, les niveaux de  service et les exigences de gestion doivent être identifiés et intégrés  dans tout accord sur les services réseau, qu’ils soient fournis en  interne ou en externe. 

 

06A08-01:02

10.7

 Manipulation des supports

Objectif: Empêcher la divulgation, la modification, le retrait ou la destruction non autorisé(e) d'actifs et l’interruption  des activités de l’organisme. 

OPR07

 

10.7.1

 Gestion des supports amovibles

Mesure :  Des procédures doivent être mises en place pour la gestion des  supports amovibles. 

 

08C01-01:04
08C03-11
11B02-01

10.7.2

 Mise au rebut des supports

Mesure :  Les supports qui ne servent plus doivent être mis au rebut de façon  sûre, en suivant des procédures formelles. 

 

07B01-08
08C01-03

10.7.3

 Procédures de manipulation des informations

Mesure :  Des procédures de manipulation et de stockage des informations  doivent être établies pour protéger ces informations d’une  divulgation non autorisée ou d’un mauvais usage. 

 

01B02-03:07

10.7.4

 Sécurité de la documentation système

Mesure :  La documentation système doit être protégée contre les accès non  autorisés. 

 

08B01-03
08B01-05
08B02-05

10.8

 Échange des informations   

Objectif: Maintenir la sécurité des informations et des logiciels échangés au sein de l’organisme et avec une entité  extérieure. 

OPR08

 

10.8.1

 Politiques et procédures d’échange des informations

Mesure :  Des politiques, procédures et Mesure :s d’échange formelles doivent  être mises en place pour protéger les échanges d’informations liées  à tous types d’équipements de télécommunication. 

 

01B02-03:05
01B02-07:08

10.8.2

 Accords d’échange

Mesure :  Des accords doivent être conclus pour l’échange d’informations et  de logiciels entre l’organisme et la partie externe. 

 

01C05-03

10.8.3

 Supports physiques en transit

Mesure :  Les supports contenant des informations doivent être protégés  contre les accès non autorisés, le mauvais usage ou l’altération lors  du transport hors des limites physiques de l’organisme. 

 

08C04-03
08C07-01

10.8.4

 Messagerie électronique

Mesure :  Les informations liées à la messagerie électronique doivent être  protégées de manière adéquate. 

 

11B07-01:03

10.8.5

 Systèmes d’information d’entreprise

Mesure :  Des politiques et procédures doivent être élaborées et mises en  oeuvre pour protéger l’information liée à l’interconnexion de  systèmes d’informations d’entreprise. 

 

11B07-04

10.9

 Services de commerce électronique   

Objectif: Assurer la sécurité des services de commerce électronique, ainsi que leur utilisation sécurisée. 

 

 

10.9.1

 Commerce électronique

Mesure :  Les informations liées au commerce électronique transmises sur les  réseaux publics doivent être protégées contre les activités  frauduleuses, les litiges sur les contrats et la divulgation et la  modification non autorisées. 

 EXR09

09H01-01

10.9.2

 Transactions en ligne

Mesure :  Les informations liées aux transactions en ligne doivent être  protégées pour empêcher la transmission incomplète, les erreurs  d’acheminement, la modification non autorisée, la divulgation non  autorisée, la duplication non autorisée du message ou la réémission. 

 

09H01-02

10.9.3

 Informations à disposition du public

Mesure :  L’intégrité des informations mises à disposition sur un système  accessible au public doit être protégée pour empêcher toute  modification non autorisée. 

 

09H01-03

10.10

 Surveillance

Objectif: Détecter les traitements non autorisés de l’information. 

OPR10

 

10.10.1

 Rapport d’audit

Mesure :  Les journaux d’audit, qui enregistrent les activités des utilisateurs,  les exceptions et les événements liés à la sécurité doivent être  produits et conservés pendant une période préalablement définie  afin de faciliter les investigations ultérieures et la surveillance du  contrôle d’accès. 

 

04D02-01:02
05D02-01:02
07C01-04:06
07C02-04:06

10.10.2

 Surveillance de l’exploitation du système

Mesure :  Des procédures permettant de surveiller l’utilisation des moyens de  traitement de l’information doivent être établies et les résultats des  activités de surveillance doivent être réexaminés périodiquement. 

 

04D01-01:03
04D01-08
05D01-01:03
05D01-08
07C01-01:02
07C02-01:02

10.10.3

 Protection des informations journalisées

Mesure :  Les équipements de journalisation et les informations journalisées  doivent être protégés contre le sabotage et les accès non autorisés. 

 

04D01-09
04D02-06
04D02-08
05D01-09
05D02-06
05D02-08
07C01-06:07
07C02-06:07

10.10.4

 Journal administrateur et journal des opérations

Mesure :  Les activités de l’administrateur système et de l’opérateur système  doivent être journalisées. 

 

06C03-01:07
08F03-01:07

10.10.5

 Rapports de défaut

Mesure :  Les éventuels défauts doivent être journalisés et analysés et les  Mesure :s appropriées doivent être prises. 

 

04D03-01:04
05D03-01:04

10.10.6

 Synchronisation des horloges

Mesure :  Les horloges des différents systèmes de traitement de l’information  d’un organisme ou d’un domaine de sécurité doivent être  synchronisées à l’aide d’une source de temps précise et  préalablement définie. 

 

06B01-03
08B01-04

11

 Contrôle d’accès

 

CAL

 

11.1

 Exigences métier relatives au contrôle d’accès

Objectif: Maîtriser l’accès à l’information. 

CAL01

 

11.1.1

 Politique de contrôle d’accès

Mesure :  Une politique de contrôle d’accès doit être établie, documentée et  réexaminée sur la base des exigences métier et de sécurité. 

 

05B01-01
06C01-01
07A01-01
09A01-01
11A01-01

11.2

 Gestion de l’accès utilisateur

Objectif: Contrôler l’accès des utilisateurs autorisés et empêcher les accès non autorisés aux systèmes  d’information. 

CAL02

 

11.2.1

 Enregistrement des utilisateurs

Mesure :  Une procédure formelle d’inscription et désincription des utilisateurs  destinée à accorder et à supprimer l’accès à tous les systèmes et  services d’information doit être définie. 

 

01C06-01:06

11.2.2

 Gestion des privilèges

Mesure :  L’attribution et l’utilisation des privilèges doivent être restreintes et  contrôlées. 

 

05B01-02
05B02-03
06C01-03
06C01-06
07A01-02
07A02-03
08F01-01
08F01-04
09A01-02
09A02-03

11.2.3

 Gestion du mot de passe utilisateur

Mesure :  L’attribution de mots de passe doit être réalisée dans le cadre d’un  processus formel. 

 

05B03-02
07A03-02
09A03-02
11C01-02

11.2.4

 Réexamen des droits d’accès utilisateurs

Mesure :  La direction doit réexaminer les droits d’accès utilisateurs à  intervalles réguliers par le biais d’un processus formel. 

 

05B01-08
05B02-04
05B02-06
06C01-07:08
06C02-07
07A01-08
07A02-04
07A02-07
08F01-05:06
08F02-06
09A01-08
09A02-04
09A02-07

11.3

 Responsabilités utilisateurs

Objectif: Empêcher l’accès d’utilisateurs non habilités et la compromission ou le vol d’informations et de moyens de  traitement de l’information. 

CAL03

 

11.3.1

 Utilisation du mot de passe

Mesure :  Il doit être demandé aux utilisateurs de respecter les bonnes  pratiques de sécurité lors de la sélection et de l’utilisation de mots  de passe. 

 

01B01-02

11.3.2

 Matériel utilisateur laissé sans surveillance

Mesure :  Les utilisateurs doivent s’assurer que tout matériel laissé sans  surveillance est doté d’une protection appropriée. 

 

01B01-03
11C01-06

11.3.3

 Politique du bureau propre et de l’écran vide

Mesure :  Une politique du bureau propre doit être adoptée pour les  documents papier et les supports de stockage amovibles, et une  politique de l’écran vide doit également être adoptée pour les  moyens de traitement de l’information. 

 

01B02-07

11.4

 Contrôle d’accès au réseau

Objectif: Empêcher les accès non autorisés aux services disponibles sur le réseau. 

CAL04

 

11.4.1

 Politique relative à l’utilisation des services en réseau

Mesure :  Les utilisateurs doivent avoir uniquement accès aux services pour  lesquels ils ont spécifiquement reçu une autorisation. 

 

01B02-05

11.4.2

 Authentification de l’utilisateur pour les connexions externes

Mesure :  Des méthodes d’authentification appropriées doivent être utilisées  pour contrôler l’accès des utilisateurs distants. 

 

01B02-01:02
05B05-01:03
05B08-01:03

11.4.3

 Identification des matériels en réseau

Mesure :  L’identification automatique de matériels doit être considérée  comme un moyen d’authentification des connexions à partir de lieux  et matériels spécifiques. 

 

05B07-08

11.4.4

 Protection des ports de diagnostic et de configuration à distance

Mesure :  L’accès physique et logique aux ports de diagnostic et de  configuration à distance doit être contrôlé. 

 

06A02-07
06A04-01:03
06A04-05
08A07-01:03
08A07-05
08B01-02

11.4.5

 Cloisonnement des réseaux

Mesure :  Les groupes de services d’information, d’utilisateurs et de systèmes  d’information doivent être séparés sur le réseau. 

 

01B02-02
05A01-02:05

11.4.6

 Mesure relative à la connexion réseau

Mesure :  Pour les réseaux partagés, en particulier les réseaux qui s’étendent  au-delà des limites de l’organisme, la capacité de connexion réseau  des utilisateurs doit être restreinte, conformément à la politique de  contrôle d’accès et aux exigences relatives aux applications métier  (voir 11.1) 

 

04B01-04:05
05A01-05
05A01-07

11.4.7

 Contrôle du routage réseau

Mesure :  Des Mesure :s du routage des réseaux doivent être mises en oeuvre  afin d’éviter que les connexions réseau et les flux d’informations ne  portent atteinte à la politique de contrôle d’accès des applications  métier. 

 

04B01-10
05A01-11

11.5

 Contrôle d’accès au système d’exploitation 

Objectif: Empêcher les accès non autorisés aux systèmes d’exploitation. 

CAL05

 

11.5.1

 Ouverture de sessions sécurisées

Mesure :  L’accès aux systèmes d’exploitation doit être soumis à une  procédure sécurisée d’ouverture de session. 

 

07A03-03:06

11.5.2

  Identification et authentification de l’utilisateur

Mesure :  Un identifiant unique et exclusif doit être attribué à chaque utilisateur  et une technique d’authentification doit être choisie, permettant de  vérifier l’identité déclarée par l’utilisateur. 

 

07A04-01:04
09A04-01:04

11.5.3

 Système de gestion des mots de passe

Mesure :  Les systèmes qui gèrent les mots de passe doivent être interactifs et  doivent fournir des mots de passe de qualité. 

 

07A03-01:07
09A03-01:06

11.5.4

 Emploi des utilitaires système

Mesure :  L’emploi des programmes utilitaires permettant de contourner les  Mesure :s d’un système ou d’une application doit être limité et  contrôlé étroitement. 

 

08A02-01:05

11.5.5

 Déconnexion automatique des sessions inactives

Mesure :  Les sessions inactives doivent être déconnectées après une période  d’inactivité définie. 

 

07A04-06
09A04-06

11.5.6

 Limitation du temps de connexion

Mesure :  Les temps de connexion doivent être restreints afin d’apporter un  niveau de sécurité supplémentaire aux applications à haut risque. 

 

07A01-04:05
09A01-04
09A04-05

11.6

 Contrôle d’accès aux applications et à l’information

Objectif: Empêcher les accès non autorisés aux informations stockées dans les applications. 

CAL06

 

11.6.1

 Restriction d’accès à l’information

Mesure :  Pour les utilisateurs et le personnel chargé de l’assistance  technique, l’accès aux informations et aux fonctions applicatives doit  être restreint conformément à la politique de contrôle d’accès. 

 

09A01-02
09A02-01:02
09A04-01:02
09A04-07

11.6.2

 Isolement des systèmes sensibles

Mesure :  Les systèmes sensibles doivent disposer d'un environnement  informatique dédié (isolé). 

 

07D02-01:03

11.7

 Informatique mobile et télétravail

Objectif: Garantir la sécurité de l’information lors de l’utilisation d’appareils informatiques mobiles et d’équipements  de télétravail. 

CAL07

 

11.7.1

 Informatique mobile et télécommunications

Mesure :  Une procédure formelle et des Mesure :s de sécurité appropriées  doivent être mises en place pour assurer une protection contre le  risque lié à l’utilisation d’appareils informatiques et de  communication mobiles. 

 

01B02-08
11C02-01
11C05-01
11C05-03
11D05-01

11.7.2

 Télétravail

Mesure :  Une politique, des procédures et des programmes opérationnels  spécifiques au télétravail doivent être élaborés et mis en oeuvre. 

 

11C05-01:02
11C05-04
11C06-01

12

 Acquisition, développement et maintenance des systèmes d’information

 

ADM

 

12.1

 Exigences de sécurité applicables aux systèmes d’information

Objectif: Veiller à ce que la sécurité fasse partie intégrante des systèmes d’information. 

ADM01

 

12.1.1

 Analyse et spécification des exigences de sécurité

Mesure :  Les exigences métier relatives aux nouveaux systèmes  d’information ou les améliorations apportées aux systèmes  d’information existants doivent spécifier les exigences de sécurité. 

 

10A01-01:03
10A01-08

12.2

 Bon fonctionnement des applications

Objectif: Empêcher toute erreur, perte, modification non autorisée ou tout mauvais usage des informations dans les  applications. 

ADM02

 

12.2.1

 Validation des données d’entrée

Mesure :  Les données entrées dans les applications doivent être validées afin  de vérifier si elles sont correctes et appropriées. 

 

09B03-01:05
09B03-07
09B04-01

12.2.2

 Mesure relative au traitement interne

Mesure :  Des contrôles de validation doivent être inclus dans les applications  afin de détecter les éventuelles altérations de l’information dues à  des erreurs de traitement ou des actes délibérés. 

 

10B03-01:04

12.2.3

 Intégrité des messages

Mesure :  Les exigences permettant d’assurer l’authentification et la protection  de l’intégrité des messages dans les applications doivent être  identifiées, et des Mesure :s appropriées doivent être identifiées et  mises en oeuvre. 

 

09B02-01:03

12.2.4

 Validation des données de sortie

Mesure :  Les données de sortie d’une application doivent être validées pour  assurer que le traitement des informations stockées est correct et  adapté aux circonstances. 

 

09B04-01

12.3

 Mesures cryptographiques 

Objectif: Protéger la confidentialité, l’authenticité ou l’intégrité de l’information par des moyens cryptographiques. 

ADM03

 

12.3.1

 Politique d’utilisation des mesures cryptographiques

Mesure :  Une politique d’utilisation des Mesure :s cryptographiques en vue de  protéger l’information doit être élaborée et mise en oeuvre. 

 

04C01-01
05C01-01
05C03-01
08C06-05
09C01-01
09C02-01
09F01-01
11C02-01

12.3.2

 Gestion des clés

Mesure :  Une procédure de gestion des clés doit favoriser l’utilisation par  l’organisme de techniques cryptographiques. 

 

04C01-03
05C01-03
05C03-03
08D03-09
09C01-03
09C02-04
09F01-04

12.4

 Sécurité des fichiers système

Objectif: Garantir la sécurité des fichiers système. 

ADM04

 

12.4.1

 Mesure relative aux logiciels en exploitation

Mesure :  Des procédures doivent être mises en place pour contrôler  l’installation du logiciel sur les systèmes en exploitation. 

 

06A02-04
06A02-09
08A04-04
08A04-10
08B03-01
10B01-03

12.4.2

 Protection des données système d’essai

Mesure :  Les données d’essai doivent être sélectionnées avec soin,  protégées et contrôlées. 

 

10B04-01:05

12.4.3

 Contrôle d’accès au code source du programme

Mesure :  L’accès au code source du programme doit être restreint. 

 

10B02-04
10B05-08

12.5

 Sécurité en matière de développement et d’assistance technique

Objectif: Garantir la sécurité du logiciel et des informations d’application. 

ADM05

 

12.5.1

 Procédures de contrôle des modifications

Mesure :  La mise en oeuvre des modifications doit être contrôlée par le biais  de procédures formelles. 

 

08A04-03:04
10A02-01:02

12.5.2

 Revue technique des applications après modification du système d’exploitation

Mesure :  Lorsque des modifications sont apportées aux systèmes  d’exploitation, les applications critiques métier doivent être  réexaminées et testées afin de vérifier l’absence de tout effet  indésirable sur l’activité ou sur la sécurité. 

 

10A02-03:04

12.5.3

 Restrictions relatives à la modification des progiciels

Mesure :  La modification des progiciels ne doit pas être encouragée, et doit  être limitée aux changements nécessaires. Un contrôle strict doit  également être exercé sur ces modifications. 

 

10A05-01:03

12.5.4

 Fuite d’informations

Mesure :  Toute possibilité de fuite d’informations doit être empêchée. 

 

10A01-04

12.5.5

 Externalisation du développement logiciel

Mesure :  Le développement logiciel externalisé doit être encadré et contrôlé  par l'organisme. 

 

10A03-01:05

12.6

 Gestion des vulnérabilités techniques

Objectif: Réduire les risques liés à l’exploitation des vulnérabilités techniques ayant fait l’objet d’une publication. 

ADM06

 

12.6.1

 Mesure relative aux vulnérabilités techniques

Mesure :  Toute information concernant toute vulnérabilité technique des  systèmes d’information en exploitation doit être obtenue à temps,  l’exposition de l’organisme aux dites vulnérabilités doit être évaluée  et les actions appropriées doivent être entreprises pour traiter le  risque associé. 

 

08B01-03
08B02-03

13

 Gestion des incidents liés à la sécurité de l’information

 

GIS

 

13.1

 Signalement des événements et des failles liés à la sécurité de l’information

Objectif: Garantir que le mode de notification des événements et failles liés à la sécurité de l’information permet la  mise en oeuvre d’une action corrective, dans les meilleurs délais. 

GIS01

 

13.1.1

 Signalement des événements liés à la sécurité de l’information

Mesure :  Les événements liés à la sécurité de l’information doivent être  signalés, dans les meilleurs délais, par les voies hiérarchiques  appropriées. 

 

01A03-01:04
01A02-12

13.1.2

 Signalement des failles de sécurité

Mesure :  Il doit être demandé à tous les salariés, contractants et utilisateurs  tiers des systèmes et services d’information de noter et de signaler  toute faille de sécurité observée ou soupçonnée dans les systèmes  ou services. 

 

01C04-06

13.2

 Gestion des améliorations et incidents liés à la sécurité de l’information

Objectif: Garantir la mise en place d’une approche cohérente et efficace pour la gestion des incidents liés à la  sécurité de l’information. 

GIS02

 

13.2.1

 Responsabilités et procédures

Mesure :  Des responsabilités et des procédures doivent être établies,  permettant de garantir une réponse rapide, efficace et pertinente en  cas d’incident lié à la sécurité de l’information. 

 

01A02-12
01A03-04
05D03-07

13.2.2

 Exploitation des incidents liés à la sécurité de l’information déjà survenus

Mesure :  Des mécanismes doivent être mis en place, permettant de quantifier  et surveiller les différents types d’incidents liés à la sécurité de  l’information ainsi que leur volume et les coûts associés. 

 

01A03-05

13.2.3

 Collecte de preuves

Mesure :  Lorsqu’une action en justice civile ou pénale est engagée contre une  personne physique ou un organisme, à la suite d’un incident lié à la  sécurité de l’information, les éléments de preuve doivent être  recueillis, conservés et présentés conformément aux dispositions  légales relatives à la présentation de preuves régissant la ou les  juridiction(s) compétente(s). 

 

01A03-06
09D04-02
11B01-01:02

14

 Gestion du plan de continuité de l’activité

 

PCA

 

14.1

 Aspects de la sécurité de l’information en matière de gestion de la continuité de l’activité 

Objectif: Empêcher les interruptions des activités de l’organisme, protéger les processus métier cruciaux des effets  causés par les défaillances majeures des systèmes d’information ou par des sinistres et garantir une reprise de ces  processus dans les meilleurs délais. 

PAC01

 

14.1.1

 Intégration de la sécurité de l’information dans le processus de PCA

Mesure :  Un processus de continuité de l’activité dans l’ensemble de  l’organisme doit être élaboré et géré, qui satisfait aux exigences en  matière de sécurité de l’information requises pour la continuité de  l’activité de l’organisme. 

 

01E01-03

14.1.2

 Continuité de l’activité et appréciation du risque

Mesure :  Les événements pouvant être à l’origine d’interruptions des  processus métier doivent être identifiés, tout comme la probabilité et  l’impact de telles interruptions et leurs conséquences pour la  sécurité de l’information. 

 

01E01-01:02

14.1.3

 Élaboration et mise en oeuvre des PCA intégrant la sécurité de l'information

Mesure :  Des plans doivent être élaborés et mis en oeuvre pour maintenir ou  restaurer l’exploitation et assurer la disponibilité des informations au  niveau et dans les délais requis suite à une interruption ou une  panne affectant les processus métier cruciaux. 

 

01E02-01:05
08D06-01:05
09E02-01:07

14.1.4

 Cadre de la planification de la continuité de l’activité

Mesure :  Un cadre unique pour les plans de continuité de l’activité doit être  géré afin de garantir la cohérence de l’ensemble des plans, de  satisfaire de manière constante aux exigences en matière de  sécurité de l’information et d’identifier les priorités en matière de  mise à l’essai et de maintenance. 

 

09E02-01

14.1.5

 Mise à l’essai, gestion et appréciation constante des plans de continuité de l’activité

Mesure :  Les plans de continuité de l’activité doivent être testés et mis à jour  régulièrement afin de s’assurer qu’ils sont actualisés et efficaces. 

 

01E02-08
08D04-05
08D05-08
08D06-06:07
09E02-09
10A02-04

15

 Conformité

 

CRJ

 

15.1

 Conformité avec les exigences légales

Objectif: Eviter toute violation des obligations légales, statutaires, réglementaires ou contractuelles et des  exigences de sécurité. 

CRJ01

 

15.1.1

 Identification de la législation en vigueur

Mesure :  Pour chaque système d’information et pour l’organisme, toutes les  exigences légales, réglementaires et contractuelles en vigueur  doivent être définies, documentées et mises à jour, ainsi que la  procédure utilisée par l’organisme pour satisfaire à ces exigences. 

 

01B02-10

15.1.2

 Droits de propriété intellectuelle

Mesure :  Des procédures appropriées doivent être mises en oeuvre, visant à  garantir la conformité avec les exigences légales, réglementaires et  contractuelles concernant l’utilisation du matériel pouvant être  soumis à des droits de propriété intellectuelle et l’utilisation des  logiciels propriétaires. 

 

12B01-01:05
08B05-01:03

15.1.3

 Protection des enregistrements de l’organisme

Mesure :  Les enregistrements importants doivent être protégés contre la  perte, destruction et falsification conformément aux exigences  légales, réglementaires et aux exigences métier. 

 

01B02-09
09D04-02:03

15.1.4

 Protection des données et confidentialité des informations relatives à la vie privée

Mesure :  La protection et la confidentialité des données doivent être  garanties, telles que l’exigent la législation ou les réglementations  applicables, et les clauses contractuelles le cas échéant. 

 

12A01-01:02

15.1.5

 Mesure préventive à l’égard du mauvais usage des moyens de traitement de l’information

Mesure :  Les utilisateurs doivent être dissuadés de toute utilisation de  moyens de traitement de l’information à des fins illégales. 

 

01B01-05
01C05-05

15.1.6

 Réglementation relative aux mesures cryptographiques

Mesure :  Des Mesure :s cryptographiques doivent être prises conformément  aux accords, lois et réglementations applicables 

 

12D01-01
12D01-04

15.2

 Conformité avec les politiques et normes de sécurité et conformité technique

Objectif: S’assurer de la conformité des systèmes avec les politiques et normes de sécurité de l’organisme. 

CRJ02

 

15.2.1

 Conformité avec les politiques et les normes de sécurité

Mesure :  Les responsables doivent s’assurer de l’exécution correcte de  l’ensemble des procédures de sécurité placées sous leur  responsabilité en vue de garantir leur conformité avec les politiques  et normes de sécurité. 

 

01B01-12

15.2.2

 Vérification de la conformité technique

Mesure :  La conformité des systèmes d’information avec les normes relatives  à la mise en oeuvre de la sécurité doit être vérifiée régulièrement. 

 

05B07-10
06B01-06:07
08B01-06:07
08B02-05:06

15.3

 Prises en compte de l’audit du système d’information

Objectif: Optimiser l’efficacité et réduire le plus possible l’interférence avec le/du processus d’audit du système  d’information. 

CRJ03

 

 15.3.1

 Contrôles de l’audit du système d’information

Mesure :  Les exigences d’audit et les activités impliquant des contrôles des  systèmes en exploitation doivent être planifiées de manière précise  et doivent être le résultat d’un accord afin de réduire le plus possible  le risque de perturbations des processus métier. 

 

06D01-01:04
08G01-01:04

 15.3.2

 Protection des outils d’audit du système d’information

Mesure :  L’accès aux outils d’audit du système d’information doit être protégé  afin d’empêcher tous mauvais usage ou compromission éventuels. 

 

06D02-01:03
08G02-01:03

Dernière mise à jour : ( 16-06-2009 )
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.