Modèle d'auditISO/IEC 27005:2022 Sécurité de l'information, cybersécurité et protection
SécuritéGouvernance
L'audit ISO 27005:2022 est un processus d'évaluation et de contrôle visant à évaluer la conformité à la norme. Il comprend des enquêtes sur les différentes activités de gestion de la sécurité de l'information, telles que le développement de la politique de sécurité de l'information, l'identification et l'évaluation des risques, la mise en place des mesures de sécurité, la surveillance et l'évaluation des mesures de sécurité et l'évaluation de la continuité des services. Il permet également d'examiner le niveau de maturité des activités de gestion de la sécurité de l'information et évaluera les procédures et les contrôles mis en œuvre pour s'assurer qu'ils sont conformes à la norme.
Sources : Site web de l'ISO : https://www.iso.org/standard/70721.html
« ISO 27005:2022: le cadre de gestion du risque de sécurité de l'information, par N. Foux », publié par ISO, 2019.
« ISO 27005 : un guide de mise en œuvre de la gestion des risques de sécurité
1. Contexte de l'organisation
1.1. 1.1.1. L'organisation a-t-elle identifié toutes les parties prenantes internes et externes impliquées dans la gestion des risques ?
1.2. 1.1.2. Les intérêts des parties prenantes liés à la gestion des risques sont-ils pris en compte dans les activités de l'organisation ?
1.3. 1.1.3. Existe-t-il des mécanismes de communication et de collaboration avec les parties prenantes pour évaluer leurs besoins et attentes en matière de gestion des risques ?
1.4. 1.2.1. Le domaine d'application de l'analyse des risques est-il clairement défini et documenté ?
1.5. 1.2.2. Les limites et les frontières du domaine d'application sont-elles communiquées à toutes les parties concernées ?
1.6. 1.2.3. L'organisation tient-elle compte des évolutions et des changements pouvant affecter le domaine d'application de l'analyse des risques ?
1.7. 1.3.1. L'organisation a-t-elle établi des politiques formelles de gestion des risques ?
1.8. 1.3.1.1. Les politiques de gestion des risques sont-elles alignées sur les objectifs stratégiques de l'organisation ?
1.9. 1.3.2. Les contraintes spécifiques liées à la gestion des risques, telles que les exigences légales et réglementaires, sont-elles identifiées et prises en compte dans les activités de l'organisation ?
1.10. 1.4.1. L'organisation dispose-t-elle d'une politique de gestion de l'information incluant la gestion des risques liés à l'information ?
1.11. 1.4.2. Les rôles et responsabilités liés à la gestion de l'information sont-ils définis et communiqués au sein de l'organisation ?
1.12. 1.4.3. L'organisation met-elle en place des mesures de protection de l'information en fonction de son importance et des risques associés ?
1.13. 1.5.1. L'organisation a-t-elle adopté une méthodologie d'analyse des risques conforme à la norme ISO 27005 ?
1.14. 1.5.2. La méthodologie d'analyse des risques est-elle documentée et accessible à toutes les parties concernées ?
1.15. 1.5.3. Les critères de risque utilisés dans l'analyse des risques sont-ils appropriés et alignés sur les besoins de l'organisation ?
2. Leadership et engagement
2.1. 2.1.1. La direction de l'organisation démontre-t-elle un engagement actif envers la gestion des risques ?
2.2. 2.1.2. La direction soutient-elle activement les initiatives de gestion des risques au sein de l'organisation ?
2.3. 2.1.3. Existe-t-il des preuves tangibles de l'engagement de la direction en matière de gestion des risques, telles que des ressources allouées et des décisions stratégiques ?
2.4. 2.2.1. Les responsabilités liées à la gestion des risques sont-elles clairement définies et communiquées au sein de l'organisation ?
2.5. 2.2.2. Les personnes responsables de la gestion des risques possèdent-elles les compétences et l'autorité nécessaires pour remplir leurs fonctions ?
2.6. 2.2.3. Existe-t-il des mécanismes de responsabilisation pour s'assurer que les responsabilités liées à la gestion des risques sont effectivement assumées ?
2.7. 2.3.1. La direction communique-t-elle régulièrement et efficacement sur les enjeux de gestion des risques au sein de l'organisation ?
2.8. 2.3.2. Existe-t-il des canaux de communication formels pour diffuser les informations sur les risques et les mesures prises pour les gérer ?
2.9. 2.3.3. Y a-t-il des initiatives de sensibilisation et de formation visant à développer une culture de gestion des risques au sein de l'organisation ?
2.10. 2.4.1. La gestion des risques est-elle prise en compte lors de l'élaboration des plans stratégiques et opérationnels de l'organisation ?
2.11. 2.4.2. Les risques identifiés sont-ils évalués et pris en compte lors des prises de décisions importantes au sein de l'organisation ?
2.12. 2.4.3. Les résultats de l'analyse des risques sont-ils utilisés pour orienter les actions et les priorités de l'organisation ?
2.13. 2.5.1. L'organisation encourage-t-elle l'identification et l'évaluation régulières des risques pour permettre une amélioration continue de la gestion des risques ?
2.14. 2.5.2. Des mécanismes sont-ils en place pour recueillir les retours d'expérience et les leçons apprises liées à la gestion des risques ?
2.15. 2.5.3. La direction favorise-t-elle l'innovation et l'adaptabilité face aux évolutions des risques et des contextes de l'organisation ?
3. Planification
3.1. 3.1.1. L'organisation a-t-elle mis en place un processus systématique pour identifier et évaluer les risques associés à la sécurité de l'information ?
3.2. 3.1.2. Les risques identifiés sont-ils documentés de manière claire et précise, en incluant leur probabilité, leur impact et leur niveau de criticité ?
3.3. 3.1.3. La méthodologie utilisée pour évaluer les risques est-elle alignée sur les meilleures pratiques et les exigences de la norme ISO 27005 ?
3.4. 3.2.1. L'organisation a-t-elle défini des objectifs clairs et spécifiques en matière de gestion des risques ?
3.5. 3.2.1.1. Les objectifs de gestion des risques sont-ils alignés sur la stratégie globale de l'organisation et ses objectifs opérationnels ?
3.6. 3.2.2. Existe-t-il des indicateurs de performance permettant de mesurer la réalisation des objectifs de gestion des risques ?
3.7. 3.3. L'organisation a-t-elle élaboré un plan détaillé pour traiter les risques identifiés, en spécifiant les mesures de traitement appropriées ?
3.8. 3.3.1. Le plan de traitement des risques inclut-il des mesures de prévention, de réduction, de transfert ou d'acceptation des risques ?
3.9. 3.3.2. Le plan de traitement des risques est-il périodiquement révisé et mis à jour en fonction des changements de contexte et de l'évolution des risques ?
3.10. 3.4.1. L'organisation a-t-elle alloué des ressources adéquates, y compris des compétences et des budgets, pour mettre en œuvre le plan de traitement des risques ?
3.11. 3.4.2. Les responsabilités liées à la gestion des risques sont-elles clairement attribuées et les parties prenantes concernées disposent-elles des ressources nécessaires pour les remplir ?
3.12. 3.4.3. Les ressources sont-elles régulièrement évaluées et ajustées en fonction des besoins de gestion des risques de l'organisation ?
3.13. 3.5.1. Les résultats de l'identification, de l'évaluation et du traitement des risques sont-ils documentés de manière claire et accessible à toutes les parties concernées ?
3.14. 3.5.2. Existe-t-il des mécanismes de communication efficace pour partager les informations sur les risques et les actions entreprises pour les gérer ?
3.15. 3.5.3. Les décisions et les mesures prises dans le cadre de la planification des risques sont-elles communiquées de manière appropriée aux parties prenantes concernées ?
4. Support
4.1. 4.1.1. L'organisation dispose-t-elle du personnel qualifié et formé pour la gestion des risques liés à la sécurité de l'information ?
4.2. 4.1.2. Les responsabilités et les rôles relatifs à la gestion des risques sont-ils clairement définis et communiqués à tous les membres du personnel concernés ?
4.3. 4.1.3. Existe-t-il des mécanismes de formation et de sensibilisation réguliers pour maintenir les compétences du personnel en matière de gestion des risques ?
4.4. 4.2.1. L'organisation dispose-t-elle des infrastructures nécessaires pour soutenir efficacement la gestion des risques liés à la sécurité de l'information ?
4.5. 4.2.2. Les systèmes informatiques, les réseaux et les outils utilisés pour la gestion des risques sont-ils sécurisés et conformes aux normes et aux meilleures pratiques en matière de sécurité de l'information ?
4.6. 4.2.3. Les sauvegardes et les mesures de continuité des activités sont-elles en place pour assurer la disponibilité et l'intégrité des informations critiques en cas d'incident ou de sinistre ?
4.7. 4.3.1. L'organisation dispose-t-elle de procédures documentées pour la gestion des risques, y compris l'identification, l'évaluation et le traitement des risques ?
4.8. 4.3.2. Les enregistrements relatifs aux activités de gestion des risques sont-ils conservés de manière appropriée et sécurisée ?
4.9. 4.3.3. Existe-t-il des mécanismes de contrôle pour assurer l'exactitude, l'intégrité et la disponibilité des documents et des enregistrements liés à la gestion des risques ?
4.10. 4.4.1. Les informations relatives aux risques et aux mesures de gestion sont-elles communiquées de manière appropriée à toutes les parties prenantes internes concernées ?
4.11. 4.4.2. Existe-t-il des canaux de communication réguliers pour permettre aux employés de signaler les incidents ou les vulnérabilités liés à la sécurité de l'information ?
4.12. 4.4.3. L'organisation communique-t-elle efficacement avec les parties prenantes externes, telles que les clients, les fournisseurs ou les autorités réglementaires, concernant les risques et les mesures prises pour les gérer ?
4.13. 4.5.1. Existe-t-il une politique et des procédures claires pour la gestion des documents liés à la sécurité de l'information ?
4.14. 4.5.2. Les documents relatifs à la gestion des risques sont-ils contrôlés, révisés et approuvés de manière régulière ?
4.15. 4.5.3. Les informations sensibles ou confidentielles sont-elles protégées de manière adéquate, notamment par des mesures de classification, de protection et de destruction appropriées ?
5. Opérations
5.1. 5.1.1. L'organisation a-t-elle identifié et classifié tous ses actifs d'information critiques ?
5.2. 5.1.2. Des procédures sont-elles en place pour la protection, l'accès et la gestion des actifs d'information ?
5.3. 5.1.3. Existe-t-il des mécanismes de suivi et de contrôle pour assurer la disponibilité et l'intégrité des actifs d'information ?
5.4. 5.2.1. L'organisation a-t-elle mis en place des mesures de sécurité physique pour protéger les installations, les équipements et les ressources informatiques sensibles ?
5.5. 5.2.2. Des procédures sont-elles en place pour prévenir, détecter et répondre aux incidents de sécurité physique ?
5.6. 5.2.3. L'environnement de travail est-il sécurisé pour prévenir les accès non autorisés aux informations sensibles ?
5.7. 5.3.1. Des procédures sont-elles en place pour gérer les opérations liées à la sécurité de l'information, telles que la gestion des correctifs, les sauvegardes et la gestion des incidents ?
5.8. 5.3.2. Existe-t-il des mécanismes de surveillance et de contrôle pour détecter et prévenir les activités suspectes ou malveillantes ?
5.9. 5.3.3. Les communications liées à la sécurité de l'information sont-elles sécurisées et contrôlées pour éviter les fuites ou les manipulations d'informations sensibles ?
5.10. 5.4.1. L'organisation a-t-elle mis en place des mécanismes de contrôle d'accès pour limiter l'accès aux informations sensibles uniquement aux personnes autorisées ?
5.11. 5.4.2. Existe-t-il des politiques et des procédures pour la gestion des identités, des droits d'accès et des privilèges des utilisateurs ?
5.12. 5.4.3. Des mécanismes de surveillance et de journalisation sont-ils utilisés pour enregistrer les activités d'accès aux informations sensibles ?
5.13. 5.5.1. Des procédures sont-elles en place pour la détection, la réponse et la résolution des incidents de sécurité liés à l'information ?
5.14. 5.5.2. L'organisation dispose-t-elle d'un plan de gestion des incidents de sécurité, incluant les étapes à suivre et les responsabilités assignées ?
5.15. 5.5.3. Des mécanismes de suivi et d'apprentissage sont-ils utilisés pour améliorer la réponse aux incidents et prévenir les futurs incidents similaires ?
6. Évaluation de la performance
6.1. 6.1.1. L'organisation surveille-t-elle et mesure-t-elle régulièrement la performance de sa gestion des risques liés à la sécurité de l'information ?
6.2. 6.1.2. Utilise-t-elle des indicateurs clés de performance (KPI) pour évaluer l'efficacité des mesures de gestion des risques ?
6.3. 6.1.3. Les résultats de surveillance et de mesure sont-ils documentés, analysés et utilisés pour améliorer la performance de la gestion des risques ?
6.4. 6.2. L'organisation réalise-t-elle régulièrement des audits internes pour évaluer la conformité aux politiques et procédures de gestion des risques ?
6.5. 6.2.1. Comment les résultats des audits internes sont-ils utilisés pour identifier les écarts de conformité et mettre en place des actions correctives ?
6.6. 6.2.2. Les responsabilités et l'indépendance des auditeurs internes sont-elles clairement définies pour assurer l'objectivité des audits ?
6.7. 6.3.1. L'organisation effectue-t-elle régulièrement la revue de direction de sa gestion des risques liés à la sécurité de l'information ?
6.8. 6.3.2. Les parties prenantes sont-elles impliquées dans la revue de direction et consultées de manière appropriée ?
6.9. 6.3.3. Les résultats de la revue de direction sont-ils utilisés pour prendre des décisions et améliorer la performance de la gestion des risques ?
6.10. 6.4.1. L'organisation identifie-t-elle régulièrement les opportunités d'amélioration de sa gestion des risques liés à la sécurité de l'information ?
6.11. 6.4.2. Existent-ils des mécanismes de collecte et d'évaluation des suggestions d'amélioration provenant du personnel et des parties prenantes externes ?
6.12. 6.4.3. Les actions d'amélioration sont-elles planifiées, mises en œuvre et évaluées pour assurer une amélioration continue de la performance de la gestion des risques ?
6.13. 6.5.1. L'organisation s'assure-t-elle de sa conformité aux lois, réglementations et autres obligations pertinentes en matière de sécurité de l'information ?
6.14. 6.5.2. Des mécanismes sont-ils en place pour suivre les évolutions des exigences légales et réglementaires et mettre à jour les mesures de gestion des risques en conséquence ?
6.15. 6.5.3. Les écarts de conformité identifiés sont-ils gérés et corrigés de manière appropriée ?
7. Amélioration
7.1. 7.1.1. L'organisation a-t-elle établi des processus formalisés pour l'amélioration continue de sa gestion des risques liés à la sécurité de l'information ?
7.2. 7.1.2. Les processus d'amélioration sont-ils documentés et régulièrement mis à jour pour refléter les changements et les besoins de l'organisation ?
7.3. 7.2.1. L'organisation a-t-elle mis en place des mécanismes pour identifier, évaluer et traiter les non-conformités et les incidents liés à la sécurité de l'information ?
7.4. 7.2.2. Les actions correctives sont-elles planifiées, mises en œuvre et suivies pour remédier aux non-conformités identifiées ?
7.5. 7.3.1. L'organisation a-t-elle des mécanismes pour identifier et traiter les risques potentiels avant qu'ils ne se matérialisent en incidents de sécurité de l'information ?
7.6. 7.3.2. Les actions préventives sont-elles planifiées, mises en œuvre et suivies pour réduire les risques identifiés ?
7.7. 7.4. Existe-t-il des mécanismes de collecte et de documentation des bonnes pratiques, des erreurs passées et des solutions innovantes ?
7.8. 7.5. Les résultats de mesure sont-ils utilisés pour prendre des décisions informées et orienter les efforts d'amélioration continue ?
Créé le:2023-07-27T13:05:51.9449626
Mis à jour le :2023-07-27T13:07:25.5361306
Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Auteur :
Nombre d'utilisations :16