Modèle d'auditObjectifs et contrôles de référence - ISO 27 001

Un ensemble de politiques de sécurité de l'information doit être défini, approuvé par la direction, publié et communiqué aux employés et aux parties externes concernées.

Les politiques de sécurité de l'information sont réexaminées à intervalles planifiés ou en cas de changements importants, afin de s'assurer qu'elles restent adaptées, adéquates et efficaces.

Toutes les responsabilités en matière de sécurité de l'information doivent être définies et attribuées.

Les fonctions et les domaines de responsabilité contradictoires doivent être séparés afin de réduire les possibilités de modification ou d'utilisation non autorisée ou involontaire des actifs de l'organisation.

Des contacts appropriés avec les autorités compétentes doivent être maintenus.

Les contacts appropriés avec des groupes d'intérêt spéciaux ou d'autres forums et associations professionnelles spécialisés dans la sécurité doivent être maintenus.

La sécurité de l'information doit être prise en compte dans la gestion des projets, quel que soit le type de projet.

Une politique et des mesures de sécurité et de soutien doivent être adoptées pour gérer les risques introduits par l'utilisation de dispositifs mobiles.

Une politique et des mesures de sécurité complémentaires doivent être mises en œuvre pour protéger les informations consultées, traitées ou stockées sur les sites de télétravail.

Les vérifications des antécédents de tous les candidats à l'embauche doivent être effectuées conformément aux lois, aux règlements et doivent être proportionnelles aux exigences de l'entreprise, à la classification des informations auxquelles il faut accéder et aux risques perçus.

Les accords contractuels avec les employés et les contractants doivent préciser leurs responsabilités et celles de l'organisation en matière de sécurité de l'information.

La direction doit exiger de tous les employés et sous-traitants qu'ils appliquent la sécurité de l'information conformément aux politiques et procédures établies par l'organisation.

Tous les employés de l'organisation et, le cas échéant, les sous-traitants, doivent recevoir une sensibilisation et une formation appropriées ainsi que des mises à jour régulières des politiques et procédures de l'organisation, en fonction de leur fonction.

Un processus disciplinaire formel et communiqué doit être mis en place pour prendre des mesures à l'encontre des employés qui ont commis une violation de la sécurité des informations.

Les responsabilités et les devoirs en matière de sécurité de l'information qui restent valables après une cessation ou un changement d'emploi doivent être définis, communiqués à l'employé ou au contractant et appliqués.

Les actifs associés aux informations et aux installations de traitement de l'information doivent être identifiés et un inventaire de ces actifs doit être établi et maintenu.

Les actifs maintenus dans l'inventaire doivent être détenus.

Règles d'utilisation acceptable de l'information et des biens associés à l'information et à l'information.

Tous les employés et les utilisateurs externes doivent restituer tous les biens de l'organisation en leur possession à la fin de leur emploi, de leur contrat ou de leur accord.

Les informations doivent être classées en fonction des exigences légales, de leur valeur, de leur criticité et de leur sensibilité à une divulgation ou à une modification non autorisée.

Un ensemble approprié de procédures pour l'étiquetage des informations doit être développé et mis en œuvre conformément au plan de classification des informations adopté par l'organisme.

Des procédures de manipulation des actifs doivent être élaborées et mises en œuvre conformément au plan de classification de l'information adopté par l'organisme.

Des procédures doivent être mises en œuvre pour la gestion des supports amovibles, conformément au plan de classification adopté par l'organisme.

Les supports doivent être éliminés de manière sécurisée lorsqu'ils ne sont plus nécessaires, en utilisant des procédures formelles.

Les supports contenant des informations doivent être protégés contre tout accès non autorisé, toute utilisation abusive ou toute corruption pendant le transport.

Une politique de contrôle d'accès doit être établie, documentée et révisée en fonction des exigences de l'entreprise et de la sécurité de l'information.

Les utilisateurs ne doivent avoir accès qu'au réseau et aux services du réseau qu'ils ont été spécifiquement autorisés à utiliser.

Un processus formel d'enregistrement et de désenregistrement des utilisateurs doit être mis en œuvre pour permettre l'attribution de droits d'accès.

Un processus formel de fourniture d'accès aux utilisateurs doit être mis en œuvre pour attribuer ou révoquer les droits d'accès de tous les types d'utilisateurs à tous les systèmes et services.

L'attribution et l'utilisation des droits d'accès privilégiés doivent être limitées et contrôlées.

L'attribution d'informations secrètes d'authentification doit être contrôlée par un processus de gestion formel.

Les propriétaires des actifs doivent examiner les droits d'accès des utilisateurs à intervalles réguliers.

Les droits d'accès de tous les employés et utilisateurs externes aux informations et aux installations de traitement de l'information doivent être supprimés à la fin de leur emploi, de leur contrat ou de leur accord, ou ajustés en cas de changement.

Les utilisateurs doivent être tenus de respecter les pratiques de l'organisation en matière d'utilisation des informations d'authentification secrètes.

L'accès aux fonctions des systèmes d'information et des applications doit être restreint conformément à la politique de contrôle d'accès.

Lorsque la politique de contrôle d'accès l'exige, l'accès aux systèmes et aux applications doit être contrôlé par une procédure de connexion sécurisée.

Les systèmes de gestion des mots de passe doivent être interactifs et doivent garantir la qualité des mots de passe.

L'utilisation de programmes utilitaires susceptibles d'outrepasser les contrôles du système et des applications doit être limitée et étroitement contrôlée.

L'accès au code source des programmes doit être restreint.

Une politique sur l'utilisation des contrôles cryptographiques pour la protection des informations doit être élaborée et mise en œuvre.

Une politique relative à l'utilisation, à la protection et à la durée de vie des clés cryptographiques doit être élaborée et mise en œuvre tout au long de leur cycle de vie.

Des périmètres de sécurité doivent être définis et utilisés pour protéger les zones qui contiennent des informations sensibles ou critiques et des installations de traitement de l'information.

Les zones sécurisées doivent être protégées par des contrôles d'entrée appropriés afin de garantir que seul le personnel autorisé puisse y accéder.

Sécuriser les bureaux, salles et installations

La protection physique contre les catastrophes naturelles, les attaques malveillantes ou les accidents doit être conçue et appliquée.

Les procédures de travail dans les zones sécurisées doivent être conçues et appliquées.

L'équipement doit être situé et protégé de manière à réduire les risques de menaces et de dangers environnementaux, ainsi que les possibilités d'accès non autorisé.

L'équipement doit être protégé contre les pannes de courant et autres ruptures d'alimentation causées par des défaillances des services publics de soutien.

Le câblage d'alimentation et de télécommunications transportant des données ou prenant en charge des services d'information doit être protégé contre l'interception, les interférences ou les dommages.

Les équipements doivent être correctement entretenus pour garantir leur disponibilité et leur intégrité.

Les équipements, informations ou logiciels ne doivent pas être emportés hors du site sans autorisation préalable.

La sécurité doit être appliquée aux biens hors site en tenant compte des différents risques liés au travail en dehors des locaux de l'organisation.

Tous les équipements contenant des supports de stockage doivent être vérifiés pour s'assurer que les données sensibles et les logiciels sous licence ont été supprimés ou écrasés de manière sécurisée avant leur élimination ou leur réutilisation.

Les utilisateurs doivent s'assurer que les équipements non surveillés disposent d'une protection appropriée.

Une politique de bureau clair pour les documents et les supports de stockage amovibles et une politique d'écran clair pour les installations de traitement de l'information doivent être adoptées.

Les procédures d'exploitation doivent être documentées et mises à la disposition de tous les utilisateurs qui en ont besoin.

Les modifications apportées à l'organisation, aux processus opérationnels, aux installations et aux systèmes de traitement de l'information qui ont une incidence sur la sécurité de l'information doivent être contrôlées.

L'utilisation des ressources doit être surveillée, réglée et des projections doivent être faites sur les besoins futurs en matière de capacité afin de garantir les performances requises du system.

Les environnements de développement, de test et d'exploitation doivent être séparés afin de réduire les risques d'accès ou de modifications non autorisés de l'environnement d'exploitation.

Des contrôles de détection, de prévention et de récupération pour se protéger contre les logiciels malveillants doivent être mis en œuvre, associés à une sensibilisation appropriée des utilisateurs.

Des copies de sauvegarde des informations, des logiciels et des images système doivent être effectuées et testées régulièrement, conformément à une politique de sauvegarde convenue.

Event logs recording user activities, exceptions, faults and information security events shall be produced, kept and regularly  reviewed.

Les installations et les informations de connexion doivent être protégées contre la falsification et l'accès non autorisé.

Les activités de l'administrateur et de l'opérateur du système doivent être consignées, et les journaux doivent être protégés et régulièrement examinés.

Les horloges de tous les systèmes de traitement de l'information pertinents au sein d'une organisation ou d'un domaine de sécurité doivent être synchronisées avec une source de temps de référence unique.

Des procédures doivent être mises en œuvre pour contrôler l'installation de logiciels sur les systèmes opérationnels.

Les informations sur les vulnérabilités techniques des systèmes d'information utilisés doivent être obtenues en temps utile, l'exposition de l'organisme à ces vulnérabilités doit être évaluée et des mesures appropriées doivent être prises pour traiter le risque associé.

Des règles régissant l'installation de logiciels par les utilisateurs doivent être établies et mises en œuvre.

Les exigences et les activités d'audit impliquant la vérification des systèmes opérationnels doivent être soigneusement planifiées et convenues afin de minimiser les perturbations des processus opérationnels.

Les réseaux doivent être gérés et contrôlés afin de protéger les informations contenues dans les systèmes et les applications.

Les mécanismes de sécurité, les niveaux de service et les exigences de gestion de tous les services de réseau doivent être identifiés et inclus dans les accords de services de réseau, que ces services soient fournis en interne ou externalisés.

Les groupes de services d'information, les utilisateurs et les systèmes d'information doivent être séparés sur les réseaux.

Des politiques, procédures et contrôles de transfert formels doivent être mis en place pour protéger le transfert d'informations par l'utilisation de tous les types de moyens de communication.

Les accords doivent porter sur le transfert sécurisé des informations professionnelles entre l'organisation et les parties externes.

Les informations impliquées dans la messagerie électronique doivent être protégées de manière appropriée.

Les exigences relatives aux accords de confidentialité ou de non-divulgation reflétant les besoins de l'organisme en matière de protection des informations doivent être identifiées, régulièrement revues et documentées.

Les exigences liées à la sécurité de l'information doivent être incluses dans les exigences relatives aux nouveaux systèmes d'information ou aux améliorations des systèmes d'information existants.

Les informations impliquées dans les services d'application passant par les réseaux publics doivent être protégées contre les activités frauduleuses, les ruptures de contrat et les divulgations et modifications non autorisées.

Les informations impliquées dans les transactions de services d'application doivent être protégées afin d'éviter une transmission incomplète, un mauvais acheminement, une altération non autorisée des messages, une divulgation non autorisée, une duplication non autorisée des messages ou une relecture.

Des règles pour le développement de logiciels et de systèmes doivent être établies et appliquées aux développements au sein de l'organisation.

Les modifications apportées aux systèmes au cours du cycle de développement doivent être contrôlées par l'utilisation de procédures formelles de contrôle des modifications

Lorsque les plates-formes d'exploitation sont modifiées, les applications critiques doivent être revues et testées pour s'assurer qu'il n'y a pas d'impact négatif sur les opérations ou la sécurité de l'organisation.

Les modifications des progiciels doivent être découragées, limitées aux changements nécessaires et toutes les modifications doivent être strictement contrôlées.

Les principes d'ingénierie des systèmes sécurisés doivent être établis, documentés, maintenus et appliqués à tous les efforts de mise en œuvre des systèmes d'information.

Les organismes doivent établir et protéger de manière appropriée des environnements de développement sécurisés pour les efforts de développement et d'intégration des systèmes qui couvrent l'ensemble du cycle de vie du développement des systèmes.

L'organisme doit superviser et surveiller l'activité de développement de systèmes externalisés.

Le test de la fonctionnalité de sécurité doit être effectué pendant le développement.

Des programmes de tests d'acceptation et les critères correspondants à ce test doivent être établis pour les nouveaux systèmes d'information, les mises à jours et les nouvelles versions.

Les données d'essai doivent être sélectionnées avec soin, protégées et contrôlées.

Les exigences de sécurité de l'information visant à atténuer les risques associés à l'accès des fournisseurs aux actifs de l'organisme doivent être convenues avec le fournisseur et documentées.

Toutes les exigences pertinentes en matière de sécurité des informations doivent être établies et convenues avec chaque fournisseur susceptible d'accéder aux informations de l'organisme, de les traiter, de les stocker, de les communiquer ou de fournir des composants d'infrastructure informatique pour ces informations.

Les accords avec les fournisseurs doivent inclure des exigences pour traiter les risques de sécurité de l'information associés aux services et à la chaîne d'approvisionnement des produits des technologies de l'information et des communications.

Les organisations doivent régulièrement surveiller, examiner et auditer la prestation de services des fournisseurs.

Les changements apportés à la fourniture de services par les fournisseurs, y compris le maintien et l'amélioration des politiques, procédures et contrôles de sécurité de l'information existants, doivent être gérés, en tenant compte de la criticité des informations, systèmes et processus commerciaux concernés et de la réévaluation des risques.

Les responsabilités et les procédures de gestion doivent être établies pour garantir une réponse rapide, efficace et ordonnée aux incidents de sécurité de l'information.

Les événements de sécurité de l'information doivent être signalés par les canaux de gestion appropriés aussi rapidement que possible.

Les employés et les sous-traitants utilisant les systèmes et services d'information de l'organisation doivent être tenus de noter et de signaler toute faiblesse observée ou suspectée en matière de sécurité de l'information dans les systèmes ou services.

Les événements de sécurité de l'information doivent être évalués et il doit être décidé s'ils doivent être classés comme des incidents de sécurité de l'information.

Les incidents de sécurité de l'information doivent être traités conformément aux procédures documentées.

Les connaissances acquises lors de l'analyse et de la résolution des incidents de sécurité de l'information doivent être utilisées pour réduire la probabilité ou l'impact de futurs incidents.

L'organisme doit définir et appliquer des procédures pour l'identification, la collecte, l'acquisition et la conservation des informations qui peuvent servir de preuves.

L'organisme doit déterminer ses exigences en matière de sécurité de l'information et la continuité de la gestion de la sécurité de l'information dans des situations défavorables, par exemple en cas de crise ou de catastrophe.

L'organisme doit établir, documenter, mettre en œuvre et maintenir des processus, des procédures et des contrôles pour assurer le niveau requis de continuité de la sécurité de l'information en cas de situation défavorable.

L'organisme doit vérifier les contrôles de continuité de la sécurité de l'information établis et mis en œuvre à intervalles réguliers afin de s'assurer qu'ils sont valides et efficaces lors de situations défavorables.

Les installations de traitement de l'information doivent être mises en œuvre avec une redondance suffisante pour répondre aux exigences de disponibilité.

Toutes les exigences législatives, statutaires, réglementaires et contractuelles pertinentes et l'approche de l'organisme pour répondre à ces exigences doivent être explicitement identifiées, documentées et tenues à jour pour chaque système d'information et l'organisme.

Des procédures appropriées doivent être mises en œuvre pour garantir le respect des exigences législatives, réglementaires et contractuelles relatives aux droits de propriété intellectuelle et à l'utilisation de logiciels propriétaires.

Les enregistrements doivent être protégés contre la perte, la destruction, la falsification, l'accès non autorisé et la diffusion non autorisée, conformément aux exigences législatives, réglementaires, contractuelles et commerciales.

La confidentialité et la protection des informations d'identification personnelle doivent être assurées conformément aux exigences de la législation et de la réglementation pertinentes, le cas échéant.

Les contrôles cryptographiques doivent être utilisés conformément à tous les accords, lois et règlements pertinents.

L'approche de l'organisme en matière de gestion de la sécurité de l'information et sa mise en œuvre (c'est-à-dire les objectifs de contrôle, les contrôles, les politiques, les processus et les procédures de sécurité de l'information) doivent faire l'objet d'une revue indépendante à intervalles planifiés ou lorsque des changements significatifs se produisent.

Les responsables doivent régulièrement examiner la conformité du traitement des informations et des procédures dans leur domaine de responsabilité avec les politiques et normes de sécurité appropriées et toute autre exigence de sécurité.

Les systèmes d'information doivent être régulièrement examinés pour vérifier leur conformité avec les politiques et les normes de sécurité de l'information de l'organisation.