Dclaration d'Applicabilit (DdA) [ Copyright - http://www.itpedia.

fr ] Lgende ( contrles et motifs de slection pour les contrles) EL: Exigences lgales, OC: Obligations Contractuelles, EB/BP: Exigences Business/Best Practices adoptes, RER: resultats de l'valuation des risques, DCM: dans une certaine mesure Controles actuels Remarques (Justification d'exclusion) Contrles et motifs de slectionn EL OC EB/BP RER

ISO 27001:2005 Controles Clause Politique de scurit Section 5.1 5.1.1 5.1.2 Control Objective/Control Politique de scurit de l'information Politique de scurit de l'information Revue de la poltique de scurit

n n

n n

n n

6.1 Organisation Interne Engagement de la direction Coordination de la Scurit de l'information Rpartition des responsabilits en matire de scurit des 6.1.3 informations 6.1.1 6.1.2 Organisation de la Scurit de l'Information 6.1.4 6.1.5 6.1.6 6.1.7 6.1.8 Processus d'autorisation pour les traitemets d'information

Accords de confidentialit Contacts avec le management Contacts avec les groupes d'intrets spciaux Examen indpendant de la scurit de l'information 6.2 Scurit des tiers (External Parties) 6.2.1 Identification des risques reposant sur un tiers 6.2.2 Gestion de la Scurit dans les contrats clients 6.2.3 Gestion de la Scurit dans les contrats fournisseurs 7.1 Responsabilit des actifs Inventaire des actifs Propritaires des actifs Usage des actifs 7.2 Classement des informations 7.2.1 Lignes directrice du classement 7.2.2 Identification et gestion de l'information 7.1.1 7.1.2 7.1.3 8.1.1 8.1.2 8.1.3 8.1 Avant l'embauche Roles et Responsabilits Evaluation des candidats Conditions d'emplois 8.2 Au cours Responsabilits du management Sensibilisation, ducation et formation la scurit de l'information Processus disciplinaire 8.3 Dmission ou changement d'emploi Responsabilits de la fin de contrat Restitution des biens appartenant l'entreprise Suppression des habilitations 9.1 Zones scurises Primtre de scurit physique

Gestion des actifs

8.2.1 Securit des 8.2.2 Ressources Humaines 8.2.3 8.3.1 8.3.2 8.3.3

9.1.1

Contle existant

Scurit environnementale et physique

Dclaration d'Applicabilit (DdA) [ Copyright - http://www.itpedia.fr ] Lgende ( contrles et motifs de slection pour les contrles) EL: Exigences lgales, OC: Obligations Contractuelles, EB/BP: Exigences Business/Best Practices adoptes, RER: resultats de l'valuation des risques, DCM: dans une certaine mesure Controles actuels Remarques (Justification d'exclusion) Contrles et motifs de slectionn EL OC EB/BP RER n n n n

ISO 27001:2005 Controles Clause Politique de scurit Section 9.1.2 9.1.3 Control Objective/Control Contrles physiques l'entre

n n n n n n n n n n

Contle existant Contle existant Contle existant Contle existant Contle existant Contle Contle Contle Contle Contle existant existant existant existant existant

Scurit environnementale et physique

Scurit des bureaux et des installations Protection contre les menaces externes et 9.1.4 environnementtles 9.1.5 Travail en zone scuris 9.1.6 Axxs public, zone de livraison et de chargement 9.2 Equipements de scurit 9.2.1 Equipements de protection 9.2.2 Support utilities 9.2.3 Scurit des cablages 9.2.4 Maintenance des matriels 9.2.5 Scurit des matriels hors site Garantir le recyclage, l'limination ou rutilisation du 9.2.6 matriel 9.2.7 Suppression de la proprit 10.1 10.1.1 10.1.2 10.1.3 10.1.4 10.2 10.2.1 10.2.2 10.2.3 10.3 10.3.1 10.3.2 10.4 10.4.1 10.4.2 10.5 10.5.1 10.6 10.6.1 10.6.2 10.7 10.7.1 10.7.2 10.7.3 10.7.4 10.8

n n n

n n n n n

Contrle existant.

Communications et gestion des oprations

Procdures oprationnelles et responsabilits Procdures oprationnelles documentes Gestion des changements Sparation des fonctions Sparation du dveloppement et des oprations des installations Gestion des livraisons fournisseurs Gestion des livraisons Surveillance et revue des services de tiers Gestion des changements des services de tiers Systme de planification et de validation Gestion de la capacit Validation des systmes Protection contre les code malin et malicieu Controles contre les codes malins Controles contre les codes malicieux Sauvegarde Sauvegarde des informations Gestion de la scurit des rseaux Contrle des reseaux Securit des services rseaux Gestion des mdias Gestion des mdias Gestion du cycle de vie des mdias Procdures de traitement de l'information Scurit du systme documentaire Echanges d'information

Dclaration d'Applicabilit (DdA) [ Copyright - http://www.itpedia.fr ] Lgende ( contrles et motifs de slection pour les contrles) Communications et EL: Exigences lgales, OC: Obligations Contractuelles, EB/BP: Exigences Business/Best Practices adoptes, RER: resultats de l'valuation des risques, DCM: dans une certaine mesure gestion des oprations Contrles et motifs de Controles Remarques (Justification ISO 27001:2005 Controles slectionn actuels d'exclusion) EL OC EB/BP RER Section Control Objective/Control Clause 10.8.1 Politiques et procdure d'change de l'Information Politique de scurit 10.8.2 Accords d'changes 10.8.3 Mdias physiques mobiles 10.8.4 Messagerie electronique 10.8.5 Systmes d'information mtiers 10.9 Services de commerce electronique 10.9.1 Commerce electronique 10.9.2 Transactions en-ligne 10.9.3 Information accessible au public 10.10 Surveillance 10.10.1 Audit des logs 10.10.2 Surveillance de l'utilisation du systmes 10.10.3 Protection des logs 10.10.4 Administrateur et oprateurs logs 10.10.5 Erreurs de login 10.10.6 Synchronisation de l'heure 11.1 11.1.1 11.2 11.2.1 11.2.2 11.2.3 11.2.4 11.3 11.3.1 11.3.2 11.3.3 11.4 11.4.1 Exigences business pour les habilitations Politique de contrle d'accs Gestion des accs utilisateurs Enregistrement des utilisateurs Niveaux de privilges Gestion des mots de passe utilisateur Revue des droits d'accs Responsabilits des utilisateurs Utilisation des mots de passe Equipements utilisateurs non supports Clear Desk and Clear Screen Policy Controles d'accs au rseau Politique d'utilisation des services rseaux Authentification des utilisateurs pour les applications & 11.4.2 connexions externes 11.4.3 Identification des quipements sur le rseau 11.4.4 Diagnostique distance 11.4.5 Sgrgation dans les rseaux 11.4.6 Contrle des connexions rseau 11.4.7 Contrle du routage rseau 11.5 Contrle d'acces des systmes d'exploitation 11.5.1 Procdures de connexions scurises 11.5.2 Identification et authentification utilisateur 11.5.3 Systme de gestion des mots de passe 11.5.4 Utilisation d'utilitaires systmes 11.5.5 Time-out de session 11.5.6 Limitation de la dure de session 11.6 Controles d'accs aux applications

Contrle d'accs

Contrle d'accs

Dclaration d'Applicabilit (DdA) [ Copyright - http://www.itpedia.fr ] Lgende ( contrles et motifs de slection pour les contrles) EL: Exigences lgales, OC: Obligations Contractuelles, EB/BP: Exigences Business/Best Practices adoptes, RER: resultats de l'valuation des risques, DCM: dans une certaine mesure Controles actuels Remarques (Justification d'exclusion) Contrles et motifs de slectionn EL OC EB/BP RER

ISO 27001:2005 Controles Clause Politique de scurit Section 11.6.1 11.6.2 11.7 11.7.1 11.7.2 Control Objective/Control Restriction d'acces aux information Isolation des systmes Orinateurs portables et tltravail Orinateurs portables et communications Tltravail

Aquisition, dveloppement et maintenance des systmes

12.1 12.1.1 12.2 12.2.1 12.2.2 12.2.3 12.2.4 12.3 12.3.1 12.3.2 12.4 12.4.1 12.4.2 12.4.3

Exigence scurit des systmes d'information Analyse et spcification des exigences de scurit Traitements internes aux applications Validation des donnes d'entres Contrles internes de traitement Intgrit du message Validation des donnes de sorties Controles cryptographiques Politique d'utilisation des Controles cryptographiques Gestion des cls Scurit des fichiers systmes Contrle des systmes d'exploitation Systme de protection des donnes de test Contrle d'accs la bibliotheque des programmes originaux

12.5 Scurit des dveloppements et des processus de support 12.5.1 12.5.2 Procdures de contrle des changements Revue technique des applications aprs un changement sur le systme d'exploitation 12.5.3 Restrictions sur les modifications de logiciel 12.5.4 Fuites d'information 12.5.5 Dveloppement de logiciels outsourc 12.6 Gestion des vulnrabilits techniques 12.6.1 Contrle des vulnrabilits techniques 13.1 13.1.1 13.1.2 Gestion des incidents 13.2 de Scurit 13.2.1 13.2.2 13.2.3

Rapports sur les venements de scurit Reporting des venements de Scurit Reporting des failles de scurit Gestion des incidents de Scurit et Amliorations Responsabilits et Procdures Apprendre des incidents de scurit Collecte des preuves

14.1 Aspects scuritaires dans la continuit d'activit Les aspects scuritaires sont-ils inclus dans les processu de 14.1.1 continuit d'activit Gestion de la continuit

Dclaration d'Applicabilit (DdA) [ Copyright - http://www.itpedia.fr ] Lgende ( contrles et motifs de slection pour les contrles) EL: Exigences lgales, OC: Obligations Contractuelles, EB/BP: Exigences Business/Best Practices adoptes, RER: resultats de l'valuation des risques, DCM: dans une certaine mesure Controles actuels Remarques (Justification d'exclusion) Contrles et motifs de slectionn EL OC EB/BP RER

ISO 27001:2005 Controles Clause Politiquede la Gestion de scurit continuit Section 14.1.2 14.1.3 14.1.4 14.1.5 Control Objective/Control Continuit d'activit et valuation des risques Dvelopper et implmenter des plans de continuit incluant la scurit de l'information Primtre de l'activit de continuit business Tester, maintenir et revaluer les plans de continuitTesting, maintaining and re-assessing business continuity plans

15.1 15.1.1 15.1.2 15.1.3

Conformit

Respect de la rglementation Identification of applicable legislations Doits de proprit intelectuelle Protection des enregistrements de l'entreprise Protection des donnes et proprit des donnes 15.1.4 personnelles 15.1.5 Prvention de la mauvaise utilisation des donnes Rglement de contrle cryptographique 15.1.6 15.2 Compatibilit avec la politique de scurit et les normes 15.2.1 Compatibilit avec la politique de scurit 15.2.2 Vrification de la compatibilit technique 15.3 Audit dy Systme d'information 15.3.1 Audit de contrle du systme d'information 15.3.2 Protection de outils d'audit

Copyright :

http://www.itpedia.fr

Date de mise jour: 2010 Avril

s une certaine mesure

Remarques (Aperu de la mise en uvre)

Date de mise jour: 2010 Avril

s une certaine mesure

Remarques (Aperu de la mise en uvre)

Implement swipe card on all data centers and established visitor control logs

Policy created

Formalized PM mechanism Implemented procedure

Date de mise jour: 2010 Avril

s une certaine mesure

Remarques (Aperu de la mise en uvre)

Date de mise jour: 2010 Avril

s une certaine mesure

Remarques (Aperu de la mise en uvre)

Date de mise jour: 2010 Avril

s une certaine mesure

Remarques (Aperu de la mise en uvre)