Modèle d'auditISO/IEC 27017:2015 Sécurité des informations dans les cloud service
La norme ISO/IEC 27017 est une norme internationalement reconnue pour la sécurisation des clouds services et s'adresse à tous les fournisseurs de clouds services. Elle soutient ainsi la mise en œuvre de mesures de sécurité de l'information spécifiques au cloud. La norme est coordonnée avec les recommandations de mise en œuvre de l'ISO/CEI 27002 et s'intègre donc parfaitement dans un système de management de la sécurité informatique conforme à l'ISO/CEI 27001.
1. Introduction
1.1. Je dispose d'une version officielle de la norme ISO/IEC 27017:2015 ?
2. Définir une politique de sécurité de l'information
2.1. L'organisation a-t-elle défini une politique de sécurité de l'information ?
2.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.3. Des contrôles de sécurité de l'information sont-ils gérés ?
2.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.5. Les risques liés à la sécurité de l'information sont-ils identifiés et gérés ?
2.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.7. Des procédures de gestion des incidents sont-elles mises en place ?
2.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.9. Des informations sur la sécurité sont-elles fournies à l'utilisateur ?
2.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.11. Des procédures de sécurité et de contrôle des accès sont-elles mises en œuvre ?
2.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.13. Des procédures de sauvegarde et de restauration sont-elles mises en place ?
2.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.15. Les contrôles de sécurité sont-ils évalués et testés ?
2.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.17. Des contrôles d'audit et de journalisation sont-ils mis en place ?
2.18. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.19. Les contrôles sont-ils documentés et maintenus ?
2.20. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.21. Les changements liés à la sécurité de l'information sont-ils surveillés et gérés ?
2.22. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.23. Des informations sur les contrôles de sécurité sont-elles fournies aux clients ?
2.24. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
2.25. Des relations avec les fournisseurs de services sont-elles établies ?
2.26. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3. Développer et gérer des contrôles de sécurité de l'information
3.1. Les politiques et procédures de sécurité de l'information sont-elles clairement définies et documentées ?
3.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.3. Des contrôles d'accès aux données et des mécanismes de sécurité des réseaux et des systèmes sont-ils mis en place ?
3.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.5. Des contrôles physiques sont-ils mis en place pour protéger les données ?
3.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.7. Des mécanismes de sauvegarde des données sont-ils mis en place ?
3.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.9. Des mesures sont-elles prises pour détecter et gérer les incidents de sécurité ?
3.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
3.11. Les vulnérabilités de la sécurité de l'information sont-elles régulièrement évaluées et traitées ?
3.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4. Identifier et gérer les risques liés à la sécurité de l'information
4.1. Les risques liés à la sécurité de l'information sont-ils identifiés et évalués ?
4.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.3. Des mesures sont-elles prises pour gérer les risques ?
4.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.5. Des contrôles d'accès aux informations sont-ils mis en place ?
4.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.7. Des tests de sécurité sont-ils réalisés ?
4.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.9. Les incidents sont-ils traités ?
4.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.11. Des contrôles de sécurité physiques et techniques sont-ils mis en place ?
4.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.13. Les activités sont-elles surveillées et rapportées ?
4.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.15. Des politiques et des procédures sont-elles définies pour gérer les risques ?
4.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
4.17. Des mesures sont-elles mises en place pour assurer la sécurité des informations ?
4.18. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5. Développer et mettre en œuvre des procédures de gestion des incidents
5.1. Les incidents sont-ils surveillés et détectés ?
5.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.3. Les preuves sont-elles recueillies et analysées ?
5.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.5. La cause et la portée des incidents sont-elles déterminées ?
5.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.7. Des procédures de notification des incidents sont-elles définies ?
5.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.9. Des procédures de gestion des incidents sont-elles établies ?
5.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.11. Des plans d'action sont-ils développés pour corriger les vulnérabilités et les défaillances identifiées ?
5.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
5.13. Des mesures sont-elles mises en place pour prévenir les incidents ?
5.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6. Fournir des informations sur la sécurité à l'utilisateur
6.1. Les informations sur les politiques et procédures de sécurité sont-elles fournies aux utilisateurs ?
6.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.3. Des informations sur les contrôles d'accès aux informations sont-elles fournies ?
6.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.5. Des tests de sécurité sont-ils effectués ?
6.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.7. La gestion des incidents est-elle documentée ?
6.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.9. Des contrôles de sécurité physiques et techniques sont-ils mis en place ?
6.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.11. Des activités sont-elles surveillées et rapportées ?
6.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.13. Les pratiques de sécurité sont-elles documentées et communiquées ?
6.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
6.15. Des moyens sont-ils fournis pour signaler les incidents ou les abus ?
6.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7. Mettre en œuvre des procédures de sécurité et de contrôle des accès
7.1. Les comptes d'accès sont-ils créés et gérés uniquement par les personnes autorisées ?
7.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.3. Les procédures d'authentification sont-elles définies et documentées ?
7.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.5. Les mots de passe sont-ils changés à des intervalles spécifiques ?
7.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.7. Les comptes d'accès sont-ils suspendus ou désactivés lorsqu'ils ne sont plus nécessaires ?
7.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.9. Les procédures d'accès à distance sont-elles surveillées et contrôlées ?
7.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.11. Des contrôles d'accès sont-ils mis en place pour empêcher les actions non autorisées ?
7.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.13. Les informations sur les politiques et procédures de sécurité sont-elles fournies aux utilisateurs ?
7.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.15. Des procédures sont-elles suivies pour vérifier et attester les autorisations d'accès ?
7.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.17. Les autorisations d'accès sont-elles révoquées dès que l'utilisateur n'en a plus besoin ?
7.18. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
7.19. Des procédures sont-elles mises en place pour contrôler et surveiller les accès aux données sensibles ?
7.20. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8. Développer et mettre en œuvre des procédures de sauvegarde et de restauration
8.1. Les procédures de sauvegarde et de restauration sont-elles documentées et mises en œuvre ?
8.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.3. Des sauvegardes sont-elles effectuées à des intervalles spécifiques ?
8.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.5. Des tests de sauvegarde sont-ils effectués pour s'assurer que les données peuvent être restaurées ?
8.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.7. Les sauvegardes sont-elles stockées sur des supports physiques sécurisés ?
8.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.9. Les sauvegardes sont-elles cryptées pour protéger leur confidentialité ?
8.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.11. Des sauvegardes sont-elles réalisées pour tous les systèmes critiques ?
8.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.13. Des outils sont-ils utilisés pour surveiller l'état des sauvegardes ?
8.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.15. Des procédures sont-elles mises en place pour récupérer les données endommagées ?
8.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.17. Des procédures sont-elles mises en place pour gérer les médias de sauvegarde ?
8.18. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
8.19. Des procédures sont-elles mises en place pour assurer la sécurité des médias de sauvegarde ?
8.20. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
9. Évaluer et tester les contrôles de sécurité
9.1. Des tests sont-ils effectués pour vérifier la mise en œuvre des contrôles de sécurité ?
9.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
9.3. Des tests d'intrusion sont-ils effectués pour évaluer la vulnérabilité des systèmes ?
9.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
9.5. Des tests d'audit sont-ils effectués pour vérifier la conformité aux politiques et procédures de sécurité ?
9.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
9.7. Des tests de vulnérabilité sont-ils effectués pour détecter les failles de sécurité ?
9.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
9.9. Des tests de pénétration sont-ils effectués pour vérifier la sécurité des systèmes ?
9.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
9.11. Des tests sont-ils effectués pour vérifier la sécurité des systèmes des partenaires et fournisseurs ?
9.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
9.13. Des tests sont-ils effectués pour vérifier la sécurité des systèmes de sauvegarde et de restauration ?
9.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
9.15. Des tests sont-ils effectués pour vérifier la sécurité des systèmes à distance ?
9.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
9.17. Des tests sont-ils effectués pour vérifier la sécurité des systèmes mobiles ?
9.18. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
9.19. Des tests sont-ils effectués pour vérifier la sécurité des systèmes à base de données ?
9.20. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
10. Mettre en œuvre des contrôles d'audit et de journalisation
10.1. Les activités des utilisateurs sont-elles auditées et journalisées ?
10.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
10.3. Des contrôles d'audit sont-ils mis en place pour surveiller l'accès au système ?
10.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
10.5. Des contrôles d'audit sont-ils mis en place pour surveiller l'utilisation des données ?
10.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
10.7. Des contrôles d'audit sont-ils mis en place pour surveiller les modifications aux systèmes ?
10.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
10.9. Des contrôles d'audit sont-ils mis en place pour surveiller les tentatives de connexion non autorisées ?
10.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
10.11. Des contrôles d'audit sont-ils mis en place pour surveiller les tentatives d'accès non autorisées ?
10.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
10.13. Des contrôles d'audit sont-ils mis en place pour surveiller les actions non autorisées ?
10.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
10.15. Les informations auditables sont-elles sauvegardées et stockées de manière sûre ?
10.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
10.17. Les informations auditables sont-elles accessibles aux autorités compétentes ?
10.18. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
10.19. Les procédures d'audit et de journalisation sont-elles documentées et mises en œuvre ?
10.20. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
11. S'assurer que les contrôles sont documentés et maintenus
11.1. Les contrôles de sécurité sont-ils documentés et maintenus ?
11.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
11.3. Les procédures de sécurité sont-elles documentées et mises à jour régulièrement ?
11.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
11.5. Les politiques et procédures de sécurité sont-elles accessibles aux utilisateurs ?
11.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
11.7. Les mises à jour des contrôles de sécurité sont-elles effectuées en réponse aux modifications apportées aux systèmes ?
11.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
11.9. Les changements aux contrôles de sécurité sont-ils examinés et approuvés par les autorités compétentes ?
11.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
11.11. Des procédures sont-elles mises en place pour contrôler et surveiller les modifications aux contrôles de sécurité ?
11.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
11.13. Des procédures sont-elles mises en place pour vérifier et attester les modifications aux contrôles de sécurité ?
11.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
11.15. Des contrôles sont-ils mis en place pour s'assurer que les modifications aux contrôles de sécurité sont mises en œuvre correctement ?
11.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
11.17. La conformité aux contrôles de sécurité est-elle vérifiée et attestée par des autorités compétentes ?
11.18. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
11.19. Les informations sur les contrôles de sécurité sont-elles mises à jour et accessibles aux utilisateurs ?
11.20. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
12. Surveiller et gérer les changements liés à la sécurité de l'information
12.1. Des procédures sont-elles mises en place pour surveiller et gérer les changements liés à la sécurité de l'information ?
12.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
12.3. Des contrôles sont-ils mis en place pour s'assurer que les modifications aux contrôles de sécurité ne compromettent pas la sécurité de l'information ?
12.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
12.5. Des procédures sont-elles mises en place pour vérifier et attester les modifications aux contrôles de sécurité ?
12.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
12.7. Des contrôles sont-ils mis en place pour s'assurer que les modifications aux systèmes ne compromettent pas la sécurité de l'information ?
12.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
12.9. Des procédures sont-elles mises en place pour vérifier et attester les modifications aux systèmes ?
12.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
12.11. Les modifications aux systèmes sont-elles mises en œuvre conformément à des politiques et procédures acceptables ?
12.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
12.13. Des contrôles sont-ils mis en place pour s'assurer que les mises à jour des systèmes ne compromettent pas la sécurité de l'information ?
12.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
12.15. Des tests sont-ils effectués pour s'assurer que les modifications aux systèmes sont appliquées correctement ?
12.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
12.17. Les changements aux systèmes sont-ils examinés et approuvés par les autorités compétentes ?
12.18. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
12.19. Les informations sur les modifications aux systèmes sont-elles accessibles aux utilisateurs ?
12.20. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
13. Fournir des informations sur les contrôles de sécurité aux clients
13.1. Les informations sur les contrôles de sécurité sont-elles fournies aux clients ?
13.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
13.3. Les informations sur les contrôles de sécurité sont-elles fournies aux clients dans le cadre des contrats et des accords ?
13.4. Les informations sur les contrôles de sécurité sont-elles fournies aux clients pour des fins de traçabilité et de vérification ?
13.5. Les informations sur les contrôles de sécurité sont-elles fournies à des fins d'audit et de certification ?
13.6. Les informations sur les contrôles de sécurité sont-elles fournies en réponse à des demandes spécifiques ?
13.7. Les informations sur les contrôles de sécurité sont-elles fournies en réponse aux plaintes des clients ?
13.8. Les informations sur les contrôles de sécurité sont-elles fournies en cas de violation des données ?
14. Établir des relations avec les fournisseurs de services
14.1. Des procédures sont-elles mises en place pour sélectionner et évaluer les fournisseurs de services ?
14.2. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
14.3. Des contrats sont-ils conclus avec les fournisseurs de services pour garantir la sécurité des données ?
14.4. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
14.5. Des procédures sont-elles mises en place pour surveiller les activités des fournisseurs de services ?
14.6. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
14.7. Des contrôles sont-ils mis en place pour s'assurer que les fournisseurs de services respectent leurs obligations ?
14.8. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
14.9. Des tests sont-ils effectués pour s'assurer que les services fournis par les fournisseurs sont conformes aux exigences de sécurité ?
14.10. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
14.11. Des contrôles sont-ils mis en place pour s'assurer que les fournisseurs de services respectent les politiques et procédures de sécurité ?
14.12. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
14.13. Les informations sur les fournisseurs de services sont-elles mises à jour et accessibles aux utilisateurs ?
14.14. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
14.15. Des contrôles sont-ils mis en place pour s'assurer que les fournisseurs de services n'accèdent pas aux données sensibles ?
14.16. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
14.17. Des contrôles sont-ils mis en place pour s'assurer que les fournisseurs de services ne modifient pas les systèmes sans autorisation ?
14.18. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
14.19. Des contrôles sont-ils mis en place pour s'assurer que les fournisseurs de services ne divulguent pas les informations sensibles ?
14.20. Si vous avez répondu « Non », pour quelle(s) raison(s) ?
Créé le:18/02/2025
Mis à jour le :01/00/1970
Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Auteur :
Nombre d'utilisations :10