Contrles Non

Applicables applic. 2 0 11 0 5 0 9 0 13 0 32 0 25 0 16 0 5 0 5 0 10 0 133 0

ISO 27002 11 domaines, 39 objectifs, 133 contrles 5.Politique de scurit 6.Organisation de la scurit 7.Gestion des biens 8.Scurit lie aux RH 9.Scurit physique et environnementale 10.Gestion de l'exploitation et des tlcommunications 11.Contrle d'accs 12.Acquisition, dvelop. et maintenance des systmes 13.Gestion des incidents 14.Gestion du plan de continuit de l'activit 15.Conformit

Cote 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0

% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%

Notes cibles

% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00% 0.00%

Cote ISO 27002

Note cible ISO 27002

TAT DE LA SCURIT
Audit de conformit ralis par : ______________________________ Date: ________________ Note:

ric Clairvoyant, conseiller en scurit droit d'auteur 2010

Scurit conforme aux meilleures pratiques (entre 2.0 et 4.0)

0.00%

0.00%

5.Politiq ue d e scurit
5.Politique de scurit 15.Conformit 6.Organisation de la scurit

15.Conformit

6.O rg anisation d e la scurit

5.0 4.0
14.Gestion du plan de continuit de l'activit

5 4
14.G estion d u plan d e continuit d e l'activit

3.0 2.0 1.0

0.0

7.Gestion des biens

3 2 1 0

7.G estion d es biens

0.0
8.Scurit lie aux RH

13.G estion d es incid ents

8.Scurit lie aux RH

13.Gestion des incidents

12.Acquisition, dvelop. et maintenance des systmes

12.Acq uisition, d velop. et maintenance d es systmes 9.Scurit physique et environnementale

9.Scurit physiq ue et environnementale

10.G estion d e l'exploitation et d es tlcommunications 11.Contrle d 'accs

10.Gestion de l'exploitation et des tlcommunications 11.Contrle d'accs

Source: Capability Maturity Model

Cotation des mesures de scurit

0 - Aucun Aucun processus/documentation en place 1 - initial Le processus est caractris par la prdominance d'interventions ponctuelles, voire chaotiques. Il est trs peu dfini et la russite dpend de l'effort individuel 2 - reproductible Une gestion lmentaire de la scurit est dfinie pour assurer le suivi des cots, des dlais et de la fonctionnalit. L'expertise ncessaire au processus est en place pour reproduire la mme action 3 - dfini Le processus de scurit est document, normalis et intgr dans le processus standard de l'organisation 4 - matris Des mesures dtailles sont prises en ce qui concerne le droulement du processus et la qualit gnre. Le processus et le niveau de qualit sont connus et contrls quantitativement 5 - optimisation Une amlioration continue du processus est mise en uvre par une rtroaction quantitative manant du processus lui-mme et par l'application d'ides et de technologies innovatrices

tat de la scurit
5.0

4.0

3.0

5.Politique de scurit 9.Scurit physique et environnementale 13.Gestion des incidents

6.Organisation de la scurit 10.Gestion de l'exploitation et des tlcommunications 14.Gestion du plan de continuit de l'activit

7.Gestion des biens 11.Contrle d'accs 15.Conformit

8.Scurit lie aux RH 12.Acquisition, dvelop. et maintenance des systmes

2.0

1.0

0.0

0.00.0 0.0

0.0

ric Clairvoyant, conseiller en scurit

Concepteur: ric Clairvoyant Conseiller snior en gouvernance, audit et scurit T.I. eclairvoyant@videotron.ca vs 3.0 - sept 2010

Contrle 5.1.1 5.1.2

Cote

Contrle 0.0 5.1.1 Document de politique de scurit de l'information 0.0 5.1.2 Rexamen de la politique de scurit de l'information

Contrle 5 Politique de scurit 5.1 Politique de scurit de l'information

0.0 0.0

2 Mesures 5.1.1 5.1.2

0.0 Un document de politique de scurit de linformation soit approuv par la direction, puis publi et diffus auprs de lensemble des salaris et des tiers concerns. Garantir la pertinence, ladquation et lefficacit de la politique de scurit de linformation, rexaminer la politique intervalles fixs pralablement ou en cas de changements majeurs.

5. Politique de scurit

5.1.1
5.0 4.0 3.0 2.0 1.0 0.0

5.1.2

ric Clairvoyant, conseiller en scurit

Contrle 6.1.1 6.1.2 6.1.3 6.1.4 6.1.5 6.1.6 6.1.7 6.1.8 6.2.1 6.2.2 6.2.3 11

Cote

Contrle 0.0 6.1.1 Engagement de la direction vis--vis de la scurit de l'information 0.0 6.1.2 Coordination de la scurit de l'information 0.0 6.1.3 Attribution des responsabilits en matire de scurit de linformation 0.0 6.1.4 Systme dautorisation concernant les moyens de traitement de linformation 0.0 6.1.5 Engagements de confidentialit 0.0 6.1.6 Relations avec les autorits 0.0 6.1.7 Relations avec des groupes de spcialistes 0.0 6.1.8 Revue indpendante de la scurit de linformation 0.0 6.2.1 Identification des risques provenant des tiers 0.0 6.2.2 La scurit et les clients 0.0 6.2.3 La scurit dans les accords conclus avec des tiers

Contrle 6 Organisation de la scurit de l'information 6.1 Organisation interne 6.2 Tiers

0.0 0.0 0.0

0.0

6.1.1 Mesures 6.1.2 6.1.3 6.1.4 6.1.5 6.1.6 6.1.7 6.1.8 6.2.1 6.2.2 6.2.3

La direction soutienne activement la politique de scurit au sein de lorganisme au moyen de directives claires, dun engagement franc, dattribution de fonctions explicites et dune reconnaissance des responsabilits lies la scurit de linformation. Les activits relatives la scurit de linformation soient coordonnes par des intervenants ayant des fonctions et des rles appropris reprsentatifs des diffrentes parties de lorganisme. Dfinir clairement toutes les responsabilits en matire de scurit de linformation. Dfinir et de mettre en oeuvre un systme de gestion des autorisations pour chaque nouveau moyen de traitement de linformation. Identifier et de rexaminer rgulirement les exigences en matire dengagements de confidentialit ou de non-divulgation, conformment aux besoins de lorganisme. Mettre en place des relations appropries avec les autorits comptentes. Entretenir des contacts appropris avec des groupes de spcialistes, des forums spcialiss dans la scurit et des associations professionnelles. Procder des revues rgulires et indpendantes de lapproche retenue par lorganisme pour grer et mettre en oeuvre sa scurit ( savoir le suivi des objectifs de scurit, les politiques, les procdures et les processus relatifs la scurit de linformation); de telles revues sont galement ncessaires lorsque des changements importants sont intervenus dans la mise en oeuvre de la scurit. Identifier les risques pesant sur linformation et les moyens de traitement de lorganisme qui dcoulent dactivits impliquant des tiers, et de mettre en oeuvre des mesures appropries avant daccorder des accs. Tous les besoins de scurit doivent tre traits avant daccorder aux clients laccs linformation ou aux biens de lorganisme. Les accords conclus avec des tiers qui portent sur laccs, le traitement, la communication ou la gestion de linformation, ou des moyens de traitement de linformation de lorganisme, ou qui portent sur lajout de produits ou de services aux moyens de traitement de linformation,couvrent lensemble des exigences applicables en matire de scurit.
6. Organisation de la scurit de l'information

6.1.1 6.2.3 6.2.2

5.0 4.0 3.0 2.0 1.0 0.0

6.1.2 6.1.3

6.2.1

6.1.4

6.1.8 6.1.7 6.1.6

6.1.5

ric Clairvoyant, conseiller en scurit

it. s accs.

Contrle 7.1.1 7.1.2 7.1.3 7.2.1 7.2.2 5

Cote

Contrle 0.0 7.1.1 Inventaire des biens 0.0 7.1.2 Proprit des biens 0.0 7.1.3 Utilisation correcte des biens 0.0 7.2.1 Lignes directrices pour la classification 0.0 7.2.2 Marquage et manipulation de linformation

Contrle 7 Gestion des biens 7.1 Responsabilits relatives aux biens 7.2 Classification des informations

0.0 0.0 0.0

0.0

Mesures

7.1.1 7.1.2 7.1.3 7.2.1 7.2.2

Identifier clairement tous les biens, de raliser et de grer un inventaire de tous les biens importants. Attribuer la proprit de chaque information et moyens de traitement de linformation une partie dfinie de lorganisme. Identifier, de documenter et de mettre en oeuvre des rgles permettant lutilisation correcte de linformation et des biens associs aux moyens de traitement de linformation. Classer les informations en termes de valeur, dexigences lgales, de sensibilit et de criticit. laborer et de mettre en oeuvre un ensemble appropri de procdures pour le marquage et la manipulation de linformation, conformment au plan de classification adopt par lorganisme.

7. Gestion des biens

7.1.1
5.0 4.0 3.0 2.0 1.0 0.0

7.1.2

7.1.3

7.2.1

7.2.2 5

ric Clairvoyant, conseiller en scurit

Contrle 8.1.1 8.1.2 8.1.3 8.2.1 8.2.2 8.2.3 8.3.1 8.3.2 8.3.3 9 Mesures 8.1.1 8.1.2 8.1.3 8.2.1 8.2.2 8.2.3 8.3.1 8.3.2 8.3.3

Cote

Contrle 0.0 8.1.1 Rles et responsabilits 0.0 8.1.2 Slection 0.0 8.1.3 Conditions dembauche 0.0 8.2.1 Responsabilits de la direction 0.0 8.2.2 Sensibilisation, qualification et formations en matire de scurit de linformation 0.0 8.2.3 Processus disciplinaire 0.0 8.3.1 Responsabilits en fin de contrat 0.0 8.3.2 Restitution des biens 0.0 8.3.3 Retrait des droits daccs

Contrle 8 Scurit lie aux ressources humaines 8.1 Avant le recrutement 8.2 Pendant la dure du contrat 8.3 Fin ou modification de contrat

0.0 0.0 0.0 0.0

0.0 Dfinir et de documenter les rles et responsabilits en matire de scurit des salaris, contractants et utilisateurs tiers, conformment la politique de scurit de linformation de lorganisme. Quil sagisse de postulants, de contractants ou dutilisateurs tiers, que les vrifications des informations concernant tous les candidats soient ralises conformment aux lois, aux rglements et ltique et quelles soient proportionnelles aux exigences mtier, la classification des informations accessibles et aux risques identifis. Dans le cadre de leurs obligations contractuelles, que les salaris, contractants et utilisateurs tiers se mettent daccord sur les modalits du contrat dembauche les liants et le signe. Que ce contrat dfinit les responsabilits de lorganisme et de lautre partie quant la scurit de linformation. La direction demande aux salaris, contractants et utilisateurs tiers dappliquer les rgles de scurit conformment aux politiques et procdures tablies de lorganisme. Lensemble des salaris dun organisme et, le cas chant, les contractants et utilisateurs tiers suivent une formation adapte sur la sensibilisation et reoivent rgulirement les mises jour des politiques et procdures de lorganisme, pertinentes pour leurs fonctions. laborer un processus disciplinaire formel pour les salaris ayant enfreint les rgles de scurit. Les responsabilits relatives aux fins ou aux modifications de contrats soient clairement dfinies et attribues. Tous les salaris, contractants et utilisateurs tiers restituent la totalit des biens de lorganisme quils ont en leur possession la fin de leur priode demploi, contrat ou accord. Les droits daccs de lensemble des salaris, contractants et utilisateurs tiers linformation et aux moyens de traitement de linformation soient supprims la fin de leur priode demploi, ou modifis en cas de modification du contrat ou de laccord.

8. Scurit lie aux ressources humaines

8.1.1 8.3.3
5.0 4.0 3.0 2.0

8.1.2

8.3.2

1.0 0.0

8.1.3

8.3.1

8.2.1

8.2.3

8.2.2

ric Clairvoyant, conseiller en scurit

trat

Contrle 9.1.1 9.1.2 9.1.3 9.1.4 9.1.5 9.1.6 9.2.1 9.2.2 9.2.3 9.2.4 9.2.5 9.2.6 9.2.7 13 9.1.1 Mesures 9.1.2 9.1.3 9.1.4 9.1.5 9.1.6 9.2.1 9.2.2 9.2.3 9.2.4 9.2.5 9.2.6 9.2.7

Cote

Contrle 0.0 9.1.1 Primtre de scurit physique 0.0 9.1.2 Contrles physiques des accs 0.0 9.1.3 Scurisation des bureaux, des salles et des quipements 0.0 9.1.4 Protection contre les menaces extrieures et environnementales 0.0 9.1.5 Travail dans les zones scurises 0.0 9.1.6 Zones daccs public, de livraison et de chargement 0.0 9.2.1 Choix de lemplacement et protection du matriel 0.0 9.2.2 Services gnraux 0.0 9.2.3 Scurit du cblage 0.0 9.2.4 Maintenance du matriel 0.0 9.2.5 Scurit du matriel hors des locaux 0.0 9.2.6 Mise au rebut ou recyclage scuris(e) du matriel 0.0 9.2.7 Sortie dun bien

Contrle 9 Scurit physique et environnementale 9.1 Zones scurises 9.2 Scurit du matriel

0.0 0.0 0.0

0.0 Protger les zones contenant des informations et des moyens de traitement de linformation par des primtres de scurit (obstacles tels que des murs, des portes avec un contrle daccs par cartes, ou des bureaux de rception avec personnel daccueil). Protger les zones scurises par des contrles lentre adquats pour sassurer que seul le personnel habilit soit admis. Concevoir et dappliquer des mesures de scurit physique pour les bureaux, les salles et les quipements. Concevoir et dappliquer des mesures de protection physique contre les dommages causs par les incendies, les inondations, les tremblements de terre, les explosions, les troubles civils et autres formes de catastrophes naturelles ou de sinistres provoqus par lhomme. Concevoir et dappliquer des mesures de protection physique et des directives pour le travail en zone scurise. Contrler les points daccs tels que les zones de livraison/chargement et les autres points par lesquels des personnes non habilites peuvent pntrer dans les locaux. galement disoler les points daccs, si possible, des moyens de traitement de linformation, de faon viter les accs non autoriss. Situer et de protger le matriel de manire rduire les risques de menaces et de dangers environnementaux et les possibilits daccs non autoris. Protger le matriel des coupures de courant et autres perturbations dues une dfaillance des services gnraux. Protger les cbles lectriques ou de tlcommunications transportant des donnes contre toute interception ou dommage. Entretenir le matriel correctement pour garantir sa disponibilit permanente et son intgrit. Appliquer la scurit au matriel utilis hors des locaux de lorganisme en tenant compte des diffrents risques associs au travail hors site. Vrifier tout le matriel contenant des supports de stockage soient vrifies pour sassurer que toute donne sensible a bien t supprime et que tout logiciel sous licence a bien t dsinstall ou cras de faon scurise, avant sa mise au rebut. Ne pas sortir un matriel, des informations ou des logiciels des locaux de lorganisme sans autorisation pralable.

9. Scurit physique et environnementale

9.2.7 9.2.6

9.1.1
5.0 4.0 3.0 2.0

9.1.2 9.1.3

9.2.5 9.2.4 9.2.3 9.2.2

1.0 0.0

9.1.4 9.1.5 9.1.6

9.2.1

ric Clairvoyant, conseiller en scurit

Contrle 10.1.1 10.1.2 10.1.3 10.1.4 10.2.1 10.2.2 10.2.3 10.3.1 10.3.2 10.4.1 10.4.2 10.5.1 10.6.1 10.6.2 10.7.1 10.7.2 10.7.3 10.7.4 10.8.1 10.8.2 10.8.3 10.8.4 10.8.5 10.9.1 10.9.2 10.9.3 10.10.1 10.10.2 10.10.3 10.10.4 10.10.5 10.10.6 32 Mesures 10.1.1 10.1.2 10.1.3 10.1.4 10.2.1 10.2.2 10.2.3 10.3.1 10.3.2 10.4.1 10.4.2 10.5.1 10.6.1 10.6.2 10.7.1 10.7.2

Cote

Contrle 0.0 10.1.1 Procdures dexploitation documentes 0.0 10.1.2 Gestion des modifications 0.0 10.1.3 Sparation des tches 0.0 10.1.4 Sparation des quipements de dveloppement, de test et dexploitation 0.0 10.2.1 Prestation de service 0.0 10.2.2 Surveillance et rexamen des services tiers 0.0 10.2.3 Gestion des modifications dans les services tiers 0.0 10.3.1 Dimensionnement 0.0 10.3.2 Acceptation du systme 0.0 10.4.1 Mesures contre les codes malveillants 0.0 10.4.2 Mesures contre le code mobile 0.0 10.5.1 Sauvegarde des informations 0.0 10.6.1 Mesures sur les rseaux 0.0 10.6.2 Scurit des services rseau 0.0 10.7.1 Gestion des supports amovibles 0.0 10.7.2 Mise au rebut des supports 0.0 10.7.3 Procdures de manipulation des informations 0.0 10.7.4 Scurit de la documentation systme 0.0 10.8.1 Politiques et procdures dchange des informations 0.0 10.8.2 Accords dchange 0.0 10.8.3 Supports physiques en transit 0.0 10.8.4 Messagerie lectronique 0.0 10.8.5 Systmes dinformation dentreprise 0.0 10.9.1 Commerce lectronique 0.0 10.9,.2 Transactions en ligne 0.0 10.9.3 Informations disposition du public 0.0 10.10.1 Rapport daudit 0.0 10.10.2 Surveillance de lexploitation du systme 0.0 10.10.3 Protection des informations journalises 0.0 10.10.4 Journal administrateur et journal des oprations 0.0 10.10.5 Rapports de dfaut 0.0 10.10.6 Synchronisation des horloges 0.0

Contrle 10 Gestion de lexploitation et des tlcommunications 10.1 Procdures et responsabilits lies lexploitation 10.2 Gestion de la prestation de service par un tiers 10.3 Planification et acceptation du systme 10.4 Protection contre les codes malveillants et mobiles 10.5 Sauvegarde 10.6 Gestion de la scurit des rseaux 10.7 Manipulation des supports 10.8 change des informations 10.9 Services de commerce lectronique 10.10 Surveillance

0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0

Les procdures dexploitation soient documentes, tenues jour et disponibles pour tous les utilisateurs concerns. Contrler les changements apports aux systmes et moyens de traitement de linformation. Sparer les tches et les domaines de responsabilit pour rduire les occasions de modification ou de mauvais usage non autoris(e) ou involontaire des biens de lorganisme. Sparer les quipements de dveloppement, de test et dexploitation pour rduire les risques daccs ou de changements non autoriss dans le systme en exploitation. Sassurer que les mesures de scurit, les dfinitions du service et les niveaux de prestation prvus dans laccord de prestation de service tiers sont mis en oeuvre, appliqus et tenus jour par le tiers. Les services, rapports et enregistrements fournis par les tiers soient rgulirement contrls et rexamins, et que des audits soient rgulirement raliss. Grer les changements effectus dans la prestation de service, comprenant le maintien et lamlioration des politiques, procdures et mesures existant en matire de scurit de linformation, en tenant compte de la criticit des systmes et processus de gestion concerns et de la rvaluation du risque. Surveiller et dajuster au plus prs lutilisation des ressources et faire des projections sur les dimensionnements futurs pour assurer les performances requises pour le systme. Fixer les critres dacceptation pour les nouveaux systmes dinformation, les nouvelles versions et les mises niveau, et de raliser les tests adapts du (des) systme(s) au moment du dveloppement et pralablement leur acceptation. Mettre en oeuvre des mesures de dtection, de prvention et de rcupration pour se protger des codes malveillants ainsi que des procdures appropries de sensibilisation des utilisateurs. Lorsque lutilisation de code mobile est autorise, que la configuration garantisse que le code mobile fonctionne selon une politique de scurit clairement dfinie et dempcher tout code mobile non autoris de sexcuter. Raliser des copies de sauvegarde des informations et logiciels et de les soumettre rgulirement essai conformment la politique de sauvegarde convenue. Grer et de contrler les rseaux de manire adquate pour quils soient protgs des menaces et de maintenir la scurit des systmes et des applications utilisant le rseau, notamment les informations en transit. Pour tous les services rseau, didentifier les fonctions rseau, les niveaux de service et les exigences de gestion, et de les intgrer dans tout accord sur les services rseau, quils soient fournis en interne ou en externe. Mettre en place des procdures pour la gestion des supports amovibles. Mettre au rebut de faon sre les supports qui ne servent plus, en suivant des procdures formelles.

10.7.3 10.7.4 10.8.1 10.8.2 10.8.3 10.8.4 10.8.5 10.9.1 10.9.2 10.9.3 10.10.1 10.10.2 10.10.3 10.10.4 10.10.5 10.10.6

tablir des procdures de manipulation et de stockage des informations pour protger ces informations dune divulgation non autorise ou dun mauvais usage. Protger la documentation systme contre les accs non autoriss. Mettre en place des politiques, procdures et mesures dchange formelles pour protger les changes dinformations transitant par tous types dquipements de tlcommunication. Conclure des accords pour lchange dinformations et de logiciels entre lorganisme et la partie externe. Protger les supports contenant des informations contre les accs non autoriss, le mauvais usage ou laltration lors du transport hors des limites physiques de lorganisme. Protger de manire adquate les informations transitant par la messagerie lectronique. laborer et de mettre en oeuvre des politiques et procdures pour protger linformation lie linterconnexion de systmes dinformations dentreprise. Protger linformation transitant par le commerce lectronique transmise sur les rseaux publics contre les activits frauduleuses, les litiges sur les contrats et la divulgation et la modification non autorises. Protger les informations transitant par les transactions en ligne pour empcher la transmission incomplte, les erreurs dacheminement, la modification non autorise, la divulgation non autorise, la duplication non autorise du message ou la rmission. Protger lintgrit des informations mises disposition sur un systme accessible au public pour empcher toute modification non autorise. Les rapports daudit, qui enregistrent les activits des utilisateurs, les exceptions et les vnements lis la scurit soient produits et conservs pendant une priode pralablement dfinie afin de faciliter les investigations ultrieures et la surveillance du contrle daccs. tablir des procdures permettant de surveiller lutilisation des moyens de traitement de linformation et de rexaminer priodiquement les rsultats des activits de surveillance. Protger les quipements de journalisation et les informations journalises contre le sabotage et les accs non autoriss. Journaliser les activits de ladministrateur systme et de loprateur systme. Journaliser et danalyser les ventuels dfauts et de prendre les mesures appropries. Synchroniser les horloges des diffrents systmes de traitement de linformation dun organisme ou dun domaine de scurit laide dune source de temps prcise et pralablement dfinie.
10. G estion d e lexploitation et d es tlcommunications

10.1.1 10.10.510.10.6 10.1.2 10.1.3 10.10.4 10.1.4 5.0 10.10.3 10.2.1 4.0 10.10.2 10.2.2 3.0 10.10.1 10.2.3 2.0 10.9.3 10.9.2 10.9.1 10.8.5 10.8.4 10.8.3 10.8.2
1.0 0.0

10.3.1 10.3.2 10.4.1 10.4.2

10.5.1 10.6.1 10.6.2 10.8.1 10.7.1 10.7.4 10.7.2 10.7.3

ric Clairvoyant, conseiller en scurit

mpte

Contrle 11.1.1 11.2.1 11.2.2 11.2.3 11.2.4 11.3.1 11.3.2 11.3.3 11.4.1 11.4.2 11.4.3 11.4.4 11.4.5 11.4.6 11.4.7 11.5.1 11.5.2 11.5.3 11.5.4 11.5.5 11.5.6 11.6.1 11.6.2 11.7.1 11.7.2 25 Mesures 11.1.1 11.2.1 11.2.2 11.2.3 11.2.4 11.3.1 11.3.2 11.3.3 11.4.1 11.4.2 11.4.3 11.4.4 11.4.5 11.4.6 11.4.7 11.5.1 11.5.2 11.5.3 11.5.4 11.5.5 11.5.6 11.6.1

Cote

Contrle 0.0 11.1.1 Politique de contrle daccs 0.0 11.2.1 Enregistrement des utilisateurs 0.0 11.2.2 Gestion des privilges 0.0 11.2.3 Gestion du mot de passe utilisateur 0.0 11.2.4 Rexamen des droits daccs utilisateurs 0.0 11.3.1 Utilisation du mot de passe 0.0 11.3.2 Matriel utilisateur laiss sans surveillance 0.0 11.3.3 Politique du bureau propre et de lcran vide 0.0 11.4.1 Politique relative lutilisation des services en rseau 0.0 11.4.2 Authentification de lutilisateur pour les connexions externes 0.0 11.4.3 Identification des matriels en rseau 0.0 11.4.4 Protection des ports de diagnostic et de configuration distance 0.0 11.4.5 Cloisonnement des rseaux 0.0 11.4.6 Mesure relative la connexion rseau 0.0 11.4.7 Contrle du routage rseau 0.0 11.5.1 Ouverture de sessions scurises 0.0 11.5.2 Identification et authentification de lutilisateur 0.0 11.5.3 Systme de gestion des mots de passe 0.0 11.5.4 Emploi des utilitaires systme 0.0 11.5.5 Dconnexion automatique des sessions inactives 0.0 11.5.6 Limitation du temps de connexion 0.0 11.6.1 Restriction daccs linformation 0.0 11.6.2 Isolement des systmes sensibles 0.0 11.7.1 Informatique mobile et tlcommunications 0.0 11.7.2 Tltravail

Contrle 11 Contrle daccs 11.1 Exigences mtier relatives au contrle daccs 11.2 Gestion de laccs utilisateur 11.3 Responsabilits utilisateurs 11.4 Contrle daccs au rseau 11.5 Contrle daccs au systme dexploitation 11.6 Contrle daccs aux applications et linformation 11.7 Informatique mobile et tltravail

0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0

0.0 tablir, de documenter et de rexaminer une politique de contrle daccs sur la base des exigences dexploitation et de scurit. Dfinir une procdure formelle denregistrement et de dsinscription des utilisateurs destine accorder et supprimer laccs tous les systmes et services dinformation. Restreindre et de contrler lattribution et lutilisation des privilges. Lattribution de mots de passe soit ralise dans le cadre dun processus formel. La direction revoie les droits daccs utilisateurs intervalles rguliers par le biais dun processus formel. Demander aux utilisateurs de respecter les bonnes pratiques de scurit lors de la slection et de lutilisation de mots de passe. Les utilisateurs sassurent que tout matriel laiss sans surveillance est dot dun dispositif de protection appropri. Adopter une politique du bureau propre pour les documents papier et les supports de stockage amovibles, et une politique de lcran vide pour les moyens de traitement de linformation. Les utilisateurs aient uniquement accs aux services pour lesquels ils ont spcifiquement reu une autorisation. Utiliser des mthodes dauthentification appropries pour contrler laccs dutilisateurs distants. Considrer lidentification automatique de matriels comme un moyen dauthentification des connexions partir de lieux et matriels spcifiques. Contrler laccs physique et logique aux ports de diagnostic et de configuration distance. Les groupes de services dinformation, dutilisateurs et de systmes dinformation soient spars sur le rseau. Pour les rseaux partags, en particulier les rseaux qui stendent au-del des limites de lorganisme, restreindre la capacit de connexion rseau des utilisateurs, conformment la politique de contrle daccs et les exigences relatives aux applications de gestion. Mettre en oeuvre des mesures du routage des rseaux afin dviter que les connexions rseau et les flux dinformations ne portent atteinte la politique de contrle daccs des applications de gestion. Laccs aux systmes dexploitation soit soumis une procdure scurise douverture de session. Attribuer chaque utilisateur un identifiant unique et exclusif et de choisir une technique dauthentification permettant de vrifier lidentit dclare par lutilisateur. Les systmes qui grent les mots de passe soient interactifs et fournissent des mots de passe de qualit. Limiter et de contrler troitement lemploi des programmes utilitaires permettant de contourner les mesures dun systme ou dune application. Les sessions inactives soient dconnectes aprs une priode dinactivit dfinie. Restreindre les temps de connexion afin dapporter un niveau de scurit supplmentaire aux applications haut risque. Pour les utilisateurs et le personnel charg de lassistance technique, restreindre laccs aux informations et aux fonctions applicatives conformment la politique de contrle daccs.

11.6.2 11.7.1 11.7.2

Les systmes sensibles disposent dun environnement informatique ddi (isol). Mettre en place une procdure formelle et des mesures de scurit appropries pour assurer une protection contre le risque li lutilisation dappareils informatiques et de communication mobiles. laborer et de mettre en oeuvre une politique, des procdures et des programmes oprationnels spcifiques au tltravail.

11. Contrle daccs

11.7.1 11.6.2 11.6.1 11.5.6 11.5.5 11.5.4 11.5.3 11.5.2 11.5.1

11.1.1 11.7.2 11.2.1

5.0 4.0 3.0 2.0 1.0 0.0

11.2.2 11.2.3 11.2.4 11.3.1 11.3.2 11.3.3 11.4.1 11.4.2 11.4.3

11.4.7 11.4.4 11.4.6 11.4.5

ric Clairvoyant, conseiller en scurit

Contrle 12.1.1 12.2.1 12.2.2 12.2.3 12.2.4 12.3.1 12.3.2 12.4.1 12.4.2 12.4.3 12.5.1 12.5.2 12.5.3 12.5.4 12.5.5 12.6.1 16 Mesures 12.1.1 12.2.1 12.2.2 12.2.3 12.2.4 12.3.1 12.3.2 12.4.1 12.4.2 12.4.3 12.5.1 12.5.2 12.5.3 12.5.4 12.5.5 12.6.1

Cote

Contrle 0.0 12.1.1 Analyse et spcification des exigences de scurit 0.0 12.2.1 Validation des donnes dentre 0.0 12.2.2 Mesure relative au traitement interne 0.0 12.2.3 Intgrit des messages 0.0 12.2.4 Validation des donnes de sortie 0.0 12.3.1 Politique dutilisation des mesures cryptographiques 0.0 12.3.2 Gestion des cls 0.0 12.4.1 Mesure relative aux logiciels en exploitation 0.0 12.4.2 Protection des donnes systme dessai 0.0 12.4.3 Contrle daccs au code source du programme 0.0 12.5.1 Procdures de contrle des modifications 0.0 12.5.2 Rexamen technique des applications aprs modification du systme dexploitation 0.0 12.5.3 Restrictions relatives la modification des progiciels 0.0 12.5.4 Fuite dinformations 0.0 12.5.5 Externalisation du dveloppement logiciel 0.0 12.6.1 Mesure relative aux vulnrabilits techniques

Contrle 12 Acquisition, dveloppement et maintenance des systmes dinformation 12.1 Exigences de scurit applicables aux systmes dinformation 12.2 Bon fonctionnement des applications 12.3 Mesures cryptographiques 12.4 Scurit des fichiers systme 12.5 Scurit en matire de dveloppement et dassistance technique 12.6 Gestion des vulnrabilits techniques

0.0 0.0 0.0 0.0 0.0 0.0 0.0

0.0 Les exigences mtier relatives aux nouveaux systmes dinformation ou que les amliorations apportes aux systmes dinformation existants spcifient les exigences de scurit. Valider les donnes entres dans les applications afin de vrifier si elles sont correctes et appropries. Inclure des mesures de validation dans les applications afin de dtecter les ventuelles altrations de linformation dues des erreurs de traitement ou des actes dlibrs. Identifier les exigences relatives lauthentification et la protection de lintgrit des messages. galement didentifier et de mettre en oeuvre les mesures appropries. Valider les donnes de sortie dune application pour vrifier que le traitement des informations stockes est correct et adapt aux circonstances. laborer et de mettre en oeuvre une politique dutilisation des mesures cryptographiques en vue de protger linformation. Quune procdure de gestion des cls vienne lappui de la politique de lorganisme en matire de chiffrement. Mettre des procdures en place pour contrler linstallation du logiciel sur les systmes en exploitation. Les donnes dessai soient slectionnes avec soin, protges et contrles. Restreindre laccs au code source du programme. Contrler la mise en oeuvre des modifications par le biais de procdures formelles. Lorsque des modifications sont apportes aux systmes dexploitation, rexaminer et de soumettre essai les applications critiques de gestion afin de vrifier labsence de tout effet indsirable sur lactivit ou sur la scurit. Ne pas encourager la modification des progiciels et de se limiter aux changements ncessaires. galement dexercer un contrle strict sur ces modifications. Empcher toute possibilit de fuite dinformations. Lorganisme encadre et contrle le dveloppement logiciel externalis. tre inform en temps voulu de toute vulnrabilit technique des systmes dinformation en exploitation, dvaluer lexposition de lorganisme audites vulnrabilits et dentreprendre les actions appropries pour traiter le risque associ.

12. Acquisition, dveloppement et maintenance des systmes dinformation

12.6.1 12.5.5 12.5.4

12.1.1
5.0 4.0 3.0 2.0 1.0

12.2.1 12.2.2

12.2.3

12.5.3

0.0

12.2.4

12.5.2

12.3.1

12.5.1 12.4.3 12.4.2 12.4.1

12.3.2

12.4.2

ric Clairvoyant, conseiller en scurit

Contrle 13.1.1 13.1.2 13.2.1 13.2.2 13.2.3 5

Cote

Contrle 0.0 13.1.1 Signalement des vnements lis la scurit de linformation 0.0 13.1.2 Signalement des failles de scurit 0.0 13.2.1 Responsabilits et procdures 0.0 13.2.2 Exploitation des incidents lis la scurit de linformation dj survenus 0.0 13.2.3 Collecte de preuves

Contrle 13 Gestion des incidents lis la scurit de linformation 13.1 Signalement des vnements et des failles lis la scurit de linformation 13.2 Gestion des amliorations et incidents lis la scurit de linformation

0.0 0.0 0.0

0.0

Mesures

13.1.1 13.1.2 13.2.1 13.2.2 13.2.3

Signaler, dans les meilleurs dlais, les vnements lis la scurit de linformation, par les voies hirarchiques appropries. Demander tous les salaris, contractants et utilisateurs tiers des systmes et services dinformation de noter et de signaler toute faille de scurit observe ou souponne dans les systmes ou services. tablir des responsabilits et des procdures permettant de garantir une rponse rapide, efficace et pertinente en cas dincident li la scurit de linformation. Mettre en place des mcanismes permettant de quantifier et surveiller les diffrents types dincidents lis la scurit de linformation ainsi que leur volume et les cots associs. Lorsquune action en justice civile ou pnale est engage contre une personne physique ou un organisme, la suite dun incident li la scurit de linformation, recueillir, conserver et prsenter les informations conformment aux dispositions lgales relatives la prsentation de preuves rgissant la ou les juridiction(s) comptente(s).

13. Gestion des incidents lis la scurit de linformation

13.1.1 5.0 4.0 3.0 2.0 1.0 5 0.0 13.2.1 13.1.2

13.2.2 13.2.3

ric Clairvoyant, conseiller en scurit

Contrle 14.1.1 14.1.2 14.1.3 14.1.4 14.1.5 5

Cote

Contrle 0.0 14.1.1 Intgration de la scurit de linformation dans le processus de gestion du plan de continuit de lactivit 0.0 14.1.2 Continuit de lactivit et apprciation du risque 0.0 14.1.3 laboration et mise en uvre des plans de continuit intgrant la scurit de linformation 0.0 14.1.4 Cadre de la planification de la continuit de lactivit 0.0 14.1.5 Mise lessai, gestion et apprciation constante des plans de continuit de lactivit

Contrle 14 Gestion du plan de continuit de lactivit 14.1 Aspects de la scurit de linformation en matire de gestion de la continuit de lactivit

0.0

Mesures

14.1.1 14.1.2 14.1.3 14.1.4 14.1.5

laborer et de grer un processus de continuit de lactivit dans lensemble de lorganisme qui satisfait aux exigences en matire de scurit de linformation requises pour la continuit de lactivit de lorganisme. Identifier les vnements pouvant tre lorigine dinterruptions des processus mtier tout comme la probabilit et limpact de telles interruptions et leurs consquences pour la scurit de linformation. laborer et de mettre en oeuvre des plans destins maintenir ou restaurer lexploitation et assurer la disponibilit des informations au niveau et dans les dlais requis suite une interruption ou une panne affectant les processus mtier cruciaux. Grer un cadre unique pour les plans de continuit de lactivit afin de garantir la cohrence de lensemble des plans, de satisfaire de manire constante aux exigences en matire de scurit de linformation et didentifier les priorits en matire de mise lessai et de maintenance. Soumettre essai et de mettre jour rgulirement les plans de continuit de lactivit afin de sassurer quils sont actualiss et efficaces.

14. Gestion du plan de continuit de lactivit

14.1.1
5.0 4.0 3.0 2.0 1.0 0.0

14.1.2

14.1.3

14.1.5

14.1.4

ric Clairvoyant, conseiller en scurit

0.0 0.0

Contrle 15.1.1 15.1.2 15.1.3 15.1.4 15.1.5 15.1.6 15.2.1 15.2.2 15.3.1 15.3.2 10

Cote

Contrle 0.0 15.1.1 Identification de la lgislation en vigueur 0.0 15.1.2 Droits de proprit intellectuelle 0.0 15.1.3 Protection des enregistrements de lorganisme 0.0 15.1.4 Protection des donnes et confidentialit des informations relatives la vie prive 0.0 15.1.5 Mesure prventive lgard du mauvais usage des moyens de traitement de linformation 0.0 15.1.6 Rglementation relative aux mesures cryptographiques 0.0 15.2.1 Conformit avec les politiques et les normes de scurit 0.0 15.2.2 Vrification de la conformit technique 0.0 15.3.1 Contrles de laudit du systme dinformation 0.0 15.3.2 Protection des outils daudit du systme dinformation

Contrle 15 Conformit 15.1 Conformit avec les exigences lgales 15.2 Conformit avec les politiques et normes de scurit et conformit technique

0.0 0.0 0.0

0.0

Mesures

15.1.1 15.1.2 15.1.3 15.1.4 15.1.5 15.1.6 15.2.1 15.2.2 15.3.1 15.3.2

Pour chaque systme dinformation et pour lorganisme, dfinir, documenter et mettre jour explicitement toutes les exigences lgales, rglementaires et contractuelles en vigueur, ainsi que la procdure utilise par lorganisme pour satisfaire ces exigences. Mettre en oeuvre des procdures appropries visant garantir la conformit avec les exigences lgales, rglementaires et contractuelles concernant lutilisation du matriel pouvant tre soumis des droits de proprit intellectuelle et lutilisation des logiciels propritaires. Protger les enregistrements importants de la perte, destruction et falsification conformment aux exigences lgales, rglementaires et aux exigences mtier. Garantir la protection et la confidentialit des donnes telles que lexigent la lgislation ou les rglementations applicables, et les clauses contractuelles le cas chant. Dissuader les utilisateurs de toute utilisation de moyens de traitement de linformation des fins illgales. Prendre des mesures cryptographiques conformment aux accords, lois et rglementations applicables. Les responsables sassurent de lexcution correcte de lensemble des procdures de scurit places sous leur responsabilit en vue de garantir leur conformit avec les politiques et normes de scurit. Vrifier rgulirement la conformit des systmes dinformation avec les normes relatives la mise en oeuvre de la scurit. Les exigences daudit et les activits impliquant des contrles des systmes en exploitation soient planifies de manire prcise et quelles soient le rsultat dun accord afin de rduire le plus possible le risque de perturbations des processus mtier. Protger laccs aux outils daudit du systme dinformation afin dempcher tous mauvais usage ou compromission ventuels.

15. Conformit

15.1.1 15.3.2
5.0 4.0 3.0

15.1.2

15.3.1

2.0 1.0 0.0

15.1.3

15.2.2

15.1.4

15.2.1 15.1.6

15.1.5

ric Clairvoyant, conseiller en scurit