SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil arrow ISO 27000 arrow Controles ISO 27001
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Les Controles ISO 27001 2005 & 2013 Convertir en PDF Version imprimable Suggérer par mail
15-06-2006
CONTROLES ISO 27001, Correspondent aux 12(*) chapitres (4 à 15) de l'ISO 27002:2005 

(voir aussi ci-dessous ceux de la version 2013)
             
4 Appréciation et traitement du risque
    4.1 Appréciation du risque lié à la sécurité
    4.2 Traitement du risque lié à la sécurité
5 Politique de sécurité       
    5.1 Politique de sécurité de l’information   
        5.1.1 Document de politique de sécurité de l’information
        5.1.2 Réexamen de la politique de sécurité de l’information
6 Organisation de la sécurité de l’information       
    6.1 Organisation interne   
        6.1.1 Engagement de la Direction vis-à-vis de la sécurité de l’information
        6.1.2 Coordination de la sécurité de l’information
        6.1.3 Attribution des responsabilités en matière de sécurité de l’information
        6.1.4 Système d’autorisation concernant les moyens de traitement de l’information
        6.1.5 Engagements de confidentialité
        6.1.6 Relations avec les autorités
        6.1.7 Relations avec des groupes de spécialistes
        6.1.8 Revue indépendante de la sécurité de l’information
    6.2 Tiers   
        6.2.1 Identification des risques provenant des tiers
        6.2.2 La sécurité et les clients
        6.2.3 La sécurité dans les accords conclus avec des tiers
7 Gestion des biens (actifs)       
    7.1 Responsabilités relatives aux biens   
        7.1.1 Inventaire des biens
        7.1.2 Propriété des biens
        7.1.3 Utilisation correcte des biens
    7.2 Classification des informations   
        7.2.1 Lignes directrices pour la classification
        7.2.2 Marquage et manipulation de l’information
8 Sécurité liée aux ressources humaines       
    8.1 Avant le recrutement   
        8.1.1 Rôles et responsabilités
        8.1.2 Sélection
        8.1.3 Conditions d’embauche
    8.2 Pendant la durée du contrat   
        8.2.1 Responsabilités de la direction
        8.2.2 Sensibilisation, qualification et formations en matière de sécurité de l’information
        8.2.3 Processus disciplinaire
    8.3 Fin ou modification de contrat   
        8.3.1 Responsabilités en fin de contrat
        8.3.2 Restitution des biens
        8.3.3 Retrait des droits d’accès
9 Sécurité physique et environnementale       
    9.1 Zones sécurisées   
        9.1.1 Périmètre de sécurité physique
        9.1.2 Contrôles physiques des accès
        9.1.3 Sécurisation des bureaux, des salles et des équipements
        9.1.4 Protection contre les menaces extérieures et environnementales
        9.1.5 Travail dans les zones sécurisées
        9.1.6 Zones d’accès public, de livraison et de chargement
    9.2 Sécurité du matériel   
        9.2.1 Choix de l’emplacement et protection du matériel
        9.2.2 Services généraux
        9.2.3 Sécurité du câblage
        9.2.4 Maintenance du matériel
        9.2.5 Sécurité du matériel hors des locaux
        9.2.6 Mise au rebut ou recyclage sécurisé(e) du matériel
        9.2.7 Sortie d’un bien
10 Gestion de l’exploitation et des télécommunications       
    10.1 Procédures et responsabilités liées à l’exploitation   
        10.1.1 Procédures d’exploitation documentées
        10.1.2 Gestion des modifications
        10.1.3 Séparation des tâches
        10.1.4 Séparation des équipements de développement, de test et d’exploitation
    10.2 Gestion de la prestation de service par un tiers   
        10.2.1 Prestation de service
        10.2.2 Surveillance et réexamen des services tiers
        10.2.3 Gestion des modifications dans les services tiers
    10.3 Planification et acceptation du système   
        10.3.1 Dimensionnement
        10.3.2 Acceptation du système
    10.4 Protection contre les codes malveillant et mobile   
        10.4.1 Mesures contre les codes malveillants
        10.4.2 Mesures contre le code mobile
    10.5 Sauvegarde   
        10.5.1 Sauvegarde des informations
    10.6 Gestion de la sécurité des réseaux   
        10.6.1 Mesures sur les réseaux
        10.6.2 Sécurité des services réseau
    10.7 Manipulation des supports   
        10.7.1 Gestion des supports amovibles
        10.7.2 Mise au rebut des supports
        10.7.3 Procédures de manipulation des informations
        10.7.4 Sécurité de la documentation système
    10.8 Échange des informations   
        10.8.1 Politiques et procédures d’échange des informations
        10.8.2 Accords d’échange
        10.8.3 Supports physiques en transit
        10.8.4 Messagerie électronique
        10.8.5 Systèmes d’information d’entreprise
    10.9 Services de commerce électronique   
        10.9.1 Commerce électronique
        10.9.2 Transactions en ligne
        10.9.3 Informations à disposition du public
    10.10 Surveillance   
        10.10.1 Rapport d’audit
        10.10.2 Surveillance de l’exploitation du système
        10.10.3 Protection des informations journalisées
        10.10.4 Journal administrateur et journal des opérations
        10.10.5 Rapports de défaut
        10.10.6 Synchronisation des horloges
11 Contrôle d’accès       
    11.1 Exigences métier relatives au contrôle d’accès   
        11.1.1 Politique de contrôle d’accès
    11.2 Gestion de l’accès utilisateur   
        11.2.1 Enregistrement des utilisateurs
        11.2.2 Gestion des privilèges
        11.2.3 Gestion du mot de passe utilisateur
        11.2.4 Réexamen des droits d’accès utilisateurs
    11.3 Responsabilités utilisateurs   
        11.3.1 Utilisation du mot de passe
        11.3.2 Matériel utilisateur laissé sans surveillance
        11.3.3 Politique du bureau propre et de l’écran vide
    11.4 Contrôle d’accès au réseau   
        11.4.1 Politique relative à l’utilisation des services en réseau
        11.4.2 Authentification de l’utilisateur pour les connexions externes
        11.4.3 Identification des matériels en réseau
        11.4.4 Protection des ports de diagnostic et de configuration à distance
        11.4.5 Cloisonnement des réseaux
        11.4.6 Mesure relative à la connexion réseau
        11.4.7 Contrôle du routage réseau
    11.5 Contrôle d’accès au système d’exploitation   
        11.5.1 Ouverture de sessions sécurisées
        11.5.2 Identification et authentification de l’utilisateur
        11.5.3 Système de gestion des mots de passe
        11.5.4 Emploi des utilitaires système
        11.5.5 Déconnexion automatique des sessions inactives
        11.5.6 Limitation du temps de connexion
    11.6 Contrôle d’accès aux applications et à l’information   
        11.6.1 Restriction d’accès à l’information
        11.6.2 Isolement des systèmes sensibles
    11.7 Informatique mobile et télétravail   
        11.7.1 Informatique mobile et télécommunications
        11.7.2 Télétravail
12 Acquisition, développement et maintenance des systèmes d’information       
    12.1 Exigences de sécurité applicables aux systèmes d’information   
        12.1.1 Analyse et spécification des exigences de sécurité
    12.2 Bon fonctionnement des applications   
        12.2.1 Validation des données d’entrée
        12.2.2 Mesure relative au traitement interne
        12.2.3 Intégrité des messages
        12.2.4 Validation des données de sortie
    12.3 Mesures cryptographiques   
        12.3.1 Politique d’utilisation des mesures cryptographiques
        12.3.2 Gestion des clés
    12.4 Sécurité des fichiers système   
        12.4.1 Mesure relative aux logiciels en exploitation
        12.4.2 Protection des données système d’essai
        12.4.3 Contrôle d’accès au code source du programme
    12.5 Sécurité en matière de développement et d’assistance technique   
        12.5.1 Procédures de contrôle des modifications
        12.5.2 Réexamen technique des applications après modification du système d’exploitation
        12.5.3 Restrictions relatives à la modification des progiciels
        12.5.4 Fuite d’informations
        12.5.5 Externalisation du développement logiciel
    12.6 Gestion des vulnérabilités techniques   
        12.6.1 Mesure relative aux vulnérabilités techniques
13 Gestion des incidents liés à la sécurité de l’information       
    13.1 Signalement des événements et des failles liés à la sécurité de l’information   
        13.1.1 Signalement des événements liés à la sécurité de l’information
        13.1.2 Signalement des failles de sécurité
    13.2 Gestion des améliorations et incidents liés à la sécurité de l’information   
        13.2.1 Responsabilités et procédures
        13.2.2 Exploitation des incidents liés à la sécurité de l’information déjà survenus
        13.2.3 Collecte de preuves
14 Gestion du plan de continuité de l’activité       
    14.1 Aspects de la sécurité de l’information en matière de gestion de la continuité de l’activité   
        14.1.1 Intégration de la sécurité de l’information dans le processus de PCA
    14.1.2 Continuité de l’activité et appréciation du risque   
        14.1.3 Élaboration et mise en oeuvre des PCA intégrant la sécurité de l'information
        14.1.4 Cadre de la planification de la continuité de l’activité
        14.1.5 Mise à l’essai, gestion et appréciation constante des plans de continuité de l’activité
15 Conformité       
    15.1 Conformité avec les exigences légales   
        15.1.1 Identification de la législation en vigueur
        15.1.2 Droits de propriété intellectuelle
        15.1.3 Protection des enregistrements de l’organisme
        15.1.4 Protection des données et confidentialité des informations relatives à la vie privée
        15.1.5 Mesure préventive à l’égard du mauvais usage des moyens de traitement de l’information
        15.1.6 Réglementation relative aux mesures cryptographiques
    15.2 Conformité avec les politiques et normes de sécurité et conformité technique   
        15.2.1 Conformité avec les politiques et les normes de sécurité
        15.2.2 Vérification de la conformité technique
    15.3 Prises en compte de l’audit du système d’information   
        15.3.1 Contrôles de l’audit du système d’information
        15.3.2 Protection des outils d’audit du système d’information

(*) Nous tenons à inclure l'analyse de risque (chapitre 4) dans la liste, bien que n'étant pas un contrôle au sens anglo-saxon, c'est un processus de sécurité indispensable à nos yeux.

Controles de l'ISO 27001:2013 :

5         Security Policies
5.1       Management direction for information security
5.1.1    Policies for information security
5.1.2    Review of the policies for information security
6         Organisation of information security
6.1       Internal organisation
6.1.1    Information security roles and responsibilities
6.1.2    Contact with authorities
6.1.3    Contact with special interest groups
6.1.4    Information security in project management
6.1.5    Segregation of duties
6.2       Mobile devices and teleworking
6.2.1    Mobile device policy
6.2.2    Teleworking
7         Human resource security
7.1       Prior to employment
7.1.1    Screening
7.1.2    Terms and conditions of employment
7.2       During employment
7.2.2    Information security awareness, education and training
7.3       Termination and change of employment
8         Asset management
8.1.1    Inventory of assets
8.1.3    Acceptable use of assets
8.2.1    Classification of information
8.2.2    Labeling of information
8.2.3    Handling of assets
8.2.4    Return of assets
8.3       Media handling
8.3.1    Management of removable media
8.3.2    Disposal of media
8.3.3    Physical media transfer
9         Access control
9.1       Business requirements of access control
9.1.1    Access control policy
9.1.2    Policy on the use of network services
9.2       User access management
9.2.1    User registration and de-registration
9.2.2    Privilege management
9.2.3    Management of secret authentication information of users
9.2.4    Review of user access rights
9.2.5    Removal or adjustment of access rights
9.3       User responsibilities
9.3.1    Use of secret authentication information
9.4       System and application access control
9.4.1    Information access restriction
9.4.2    Secure log-on procedures
9.4.3    Password management system
9.4.4    Use of privileged utility programs
9.4.5    Access control to program source code
10        Cryptography
10.1      Cryptographic controls
10.1.1    Policy on the use of cryptographic controls
10.1.2    Key management
11        Physical and environmental security
11.1      Secure areas
11.1.1    Physical security perimeter
11.1.2    Physical entry controls
11.1.3    Securing office, room and facilities
11.1.4    Protecting against external end environmental threats
11.1.5    Working in secure areas
11.1.6    Delivery and loading areas
11.2      Equipment
11.2.1    Equipment siting and protection
11.2.2    Supporting utilities
11.2.3    Cabling security
11.2.4    Equipment maintenance
11.2.5    Removal of assets
11.2.6    Security of equipment and assets off-premises
11.2.7    Security disposal or re-use of equipment
11.2.8    Unattended user equipment
11.2.9    Clear desk and clear screen policy
12        Operations security
12.1      Operational procedures and responsibilities
12.1.1    Documented operating procedures
12.1.2    Change management
12.1.3    Capacity management
12.1.4    Separation of development, testing and operational environments
12.2      Protection from malware
12.2.1    Controls against malware
12.3      Backup
12.3.1    Information backup
12.4      Logging & monitoring
12.4.1    Event logging
12.4.2    Protection of log information
12.4.3    Administrator and operator logs
12.4.4    Clock synchronisaton
12.5      Control of operational software
12.5.1    Installation of software on operational systems
12.6      Technical vulnerability management
12.6.1    Management of technical vulnerabilities
12.6.2    Restrictions on software installation
12.7      Information systems audit considerations
12.7.1    Information systems audit controls
13        Communications security
13.1      Network security management
13.1.1    Network controls
13.1.2    Security of network services
13.1.3    Segregation in networks
13.2      Information transfer
13.2.1    Information transfer policies and procedures
13.2.2    Agreements on information transfer
13.2.3    Electronic messaging
13.2.4    Confidentiality or non-disclosure agreements
14        System acquisition, development and maintenance
14.1      Security requirements of information systems
14.1.1    Security requirements analysis and specification
14.1.2    Securing applications services on public networks
14.1.3    Protecting application services transactions
14.2      Security in development and support processes
14.2.1    Secure development policy
14.2.2    Change control procedures
14.2.3    Technical review of applications after operating platform changes
14.2.4    Restrictions on changes to software packages
14.2.5    System development procedures
14.2.6    Secure development environment
14.2.7    Outsourced development
14.2.8    System security testing
14.2.9    System acceptance testing
14.3      Test data
14.3.1    Protection of test data
15        Supplier relationships
15.1      Security in supplier relationships
15.1.1    Information security policy for supplier relationships
15.1.2    Addressing security within supplier agreements
15.1.3    ICT supply chain
15.2      Supplier service delivery management
15.2.1    Monitoring and review of supplier services
15.2.2    Managing changes to supplier services
16        Information security incident management
16.1      Management of information security incidents and improvements
16.1.1    Responsibilities and procedures
16.1.2    Reporting information security events
16.1.3    Reporting information security weaknesses
16.1.4    Assessment and decision of information security events
16.1.5    Response to information security incidents
16.1.6    Learning from information security incidents
16.1.7    Collection of evidence
17        Information security aspects of business continuity management
17.1      Information security continuity
17.1.1    Planning information security continuity
17.1.2    Implementing information security continuity
17.1.3    Verify, review and evaluate information security continuity
17.2      Redundancies
17.2.1    Availability of information processing facilities
18        Compliance
18.1      Information security reviews
18.1.1    Independent review of information security
18.1.2    Compliance with security policies and standards
18.1.3    Technical compliance inspection
18.2      Compliance with legal and contractual requirements
18.2.1    Identification of applicable legislation and contractual requirements
18.2.2    Intellectual property rights (IPR)
18.2.3    Protection of documented information
18.2.4    Privacy and protection of personally identifiable information
18.2.5    Regulation of cryptographic controls



Dernière mise à jour : ( 28-12-2013 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.