Iso

© UTC - Master Qualité - www.utc.fr/master-qualite Fichier : 445540928.
xlsx
Onglet : Mode Emploi
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013 Enregistrement qualité : A4 100% vertical
Autodiagnostic selon la norme ISO 27001:2013

"Technologies de l'information - Techniques de sécurité - Systèmes de
management de la sécurité de l'information - Exigences", édition Afnor,
www.afnor.org, décembre 2013
Attention : Seules les cases blanches écrites en bleu peuvent être modifiées par l’utilisateur. Cela concerne toutes les parties de l’outil
Etablissement : Nom de l'établissement / entreprise / organisation...
Responsable du SMSI : NOM et Prénom du Responsable DSI
Contact du Responsable du SMSI : email : Tél :
Mode d'emploi
OBJECTIF:
Cet outil permet aux différents utilisateurs, et en particulier aux directeurs des systèmes d'informations, d'évaluer la conformité de le système de
management de la sécurité de l'information selon les exigences de la norme ISO 27001:2013. Il sert aussi de tableau de bord pour votre système
d'informations avec lequel vous pouvez commenter et évaluer la progression de votre SMSI. Ainsi, il vous donnera plus de visibilité afin d'élaborer
des actions d'amélioration continue.
(NB : Cet outil ne garantit pas une certification)
PRESENTATION DES ELEMENTS:

La grille se présente sous format Excel constitué de neufs (9) onglets :
- Mode d'emploi :
* Explicite le fonctionnement de l'outil et les critères d'évaluation définis
- Exigences :
* Des critères d'évaluation par article et sous article sont définis
* Des commentaires explicitent les critères aux utilisateur
- Mesures de l'annexe A:
* Des critères d'évaluation par articles et sous article sont définis
* Des commentaires explicitent les critères aux utilisateur
* Des conseils de bonnes pratiques pour réaliser les mesures de l'annexe
- Résultats et Actions :
* Tous les résultats sont réunis sur cet onglet avec une cartographie globale du SMSI
- Résultats par article :
* Taux de CONFORMITÉ sous forme radar
* Les plans d'action prioritaires à mettre en œuvre et à déployer (Quoi, Qui, Quand...)
- Résultats de l'annexe A:
* Tous les résultats sont réunis sur cet onglet avec une cartographie globale des bonnes pratiques de l'annexe A
-Conseils :
* Expliquent globalement l'objet de chaque article de la norme
- Plans d'action détaillés
* Suivre et tracer les plans d'action définis
- Déclaration de conformité
* Usage de l'ISO 27001 pour déclarer ses résultats s'ils sont considérés comme probants et communicables
Niveaux de VÉRACITÉ quant à la RÉALISATION LIBELLÉS des niveaux de CONFORMITÉ

des actions associées aux exigences de la norme des ARTICLES de la norme
Libellés explicites Choix de Taux de Taux moyen Taux moyen Niveaux de Libellés explicites
des niveaux de VÉRACITÉ VÉRACITÉ VÉRACITÉ Minimal Maximal CONFORMITÉ des niveaux de CONFORMITÉ
Niveau 1 : L'action n'est Conformité de niveau 1 : Il est

pas réalisée ou alors de Faux 0% 0% 9% Insuffisant nécessaire de formaliser les
manière très aléatoire. activités réalisées.
Conformité de niveau 2 : Il est

Niveau 2 : L'action est
Plutôt nécessaire de pérenniser la
réalisée quelques fois de 30% 10% 49% Informel
Faux bonne exécution des
manière informelle.
activités.
Conformité de niveau 3 : Il est

Niveau 3 : L'action est
Plutôt Vrai 70% 50% 89% Convaincant nécessaire de tracer et
formalisée et réalisée.
d'améliorer les activités.
Niveau 4 : L'action est Conformité de niveau 4 :

formalisée, réalisée, Vrai 100% 90% 100% Conforme BRAVO ! Maintenez et
tracée et améliorée. communiquez vos résultats.
Version de janvier 2016 ©2015 : Master 2 Qualité et Performance dans les Organisations page n° 1/36
© UTC - Master Qualité - www.utc.fr/master-qualite Fichier : 445540928.xlsx
Onglet : Mode Emploi
NB : Vous pouvez modifier les limites minimales ci-dessus des intervalles de conformité
UTC - Master Qualité - www.utc.fr/master-qualite Onglet : Exigences Fichier : 445540928.xlsx
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013

Impression sur pages A4 100% en format horizontal
Autodiagnostic sur les exigences de l'ISO 27001:2013

Date de l'autodiagnostic : Signature du responsable
de l'autodiagnostic :
NOM et Prénom
Responsable de l'autodiagnostic :
Tél : @:
L'équipe d'autodiagnostic : Noms et Prénoms des participants
Libellés Modes de preuve

Réf. Critères d'exigence des articles de la norme Evaluations Taux %
des évaluations et commentaires
Conformité de niveau 3 : Il est nécessaire de tracer et

Art. 4 Contexte de l'organisme Convaincant 60%
Compréhension de l'organisme et de son Conformité de niveau 2 : Il est nécessaire de pérenniser la

4.1 Informel 33%
contexte bonne exécution des activités.
Les enjeux internes et externes sont déterminés
Niveau 1 : L'action n'est pas réalisée
cr 1 relativement à la finalité et l'orientation stratégique Faux 0% ###
ou alors de manière très aléatoire.
de l'organisme
Les informations relatives aux enjeux externes et Niveau 2 : L'action est réalisée
cr 2 Plutôt Faux 30% ###
internes sont surveillées et revues périodiquement quelques fois de manière informelle.
Les facteurs d'influence sur l'efficacité du

Niveau 3 : L'action est formalisée et
cr 3 Système de Management de la Sécurité de Plutôt Vrai 70% ###
réalisée.
l'Information (SMSI) sont identifiés
Compréhension des besoins et des attentes des Conformité de niveau 3 : Il est nécessaire de tracer et
4.2 Convaincant 50%
parties intéressées d'améliorer les activités.
Les parties intéressées pertinentes sont Niveau 3 : L'action est formalisée et
cr 4 Plutôt Vrai 70% ###
identifiées dans la cadre du SMSI réalisée.
Les exigences des parties intéressées ainsi que
Niveau 2 : L'action est réalisée
cr 5 celles légales et réglementaires sont prises en Plutôt Faux 30% ###
quelques fois de manière informelle.
considération dans le SMSI
Détermination du domaine d'application du

4.3 système de management de la sécurité de Convaincant 88%
l'information
Le domaine d'application du SMSI est établi en Niveau 3 : L'action est formalisée et

déterminant ses limites et son applicabilité réalisée.
Le domaine d'application du SMSI prend en

Niveau 4 : L'action est formalisée,
cr 7 compte les enjeux externes et internes auquel il Vrai 100% ###
réalisée, tracée et améliorée.
est fait référence en 4.1

cr 8 compte les exigences auquel il est fait référence Plutôt Vrai 70% ###
réalisée.
en 4.1 et 4.2

compte les interfaces et les dépendances
cr 9 existantes entre les activités réalisées par Vrai 100% ###
l'organisation et celles réalisées par d'autres
organisations
Le domaine d'application doit être disponible sous Niveau 4 : L'action est formalisée,
cr 10 Vrai 100% ###
forme d'information documentée réalisée, tracée et améliorée.
Système de Management de la Sécurité de Conformité de niveau 3 : Il est nécessaire de tracer et

4.4 Convaincant 70%
l'Information d'améliorer les activités.
Le SMSI est établi, mis en oeuvre, tenu à jour et Niveau 3 : L'action est formalisée et
amélioré en continu réalisée.

Art. 5 Leadership Convaincant 61%

5.1 Leadership et engagement Convaincant 67%
La direction assume la responsabilité de la

politique et des objectifs du SMSI, son intégration Niveau 3 : L'action est formalisée et
avec les processus métier et l'information réalisée.
nécessaire à la bonne implication du personnel

La direction assure que les ressources

nécessaires pour le bon fonctionnement du SMSI Niveau 4 : L'action est formalisée,
cr 13 Vrai 100% ###
sont disponibles et que celui-ci produit les réalisée, tracée et améliorée.
résultats escomptés
La direction communique sur l'importance de

cr 14 disposer d'un SMSI efficace et de son amélioration Plutôt Faux 30% ###
continue
La direction oriente et soutient toutes les

cr 15 personnes pouvant contribuer à l'efficacité du Plutôt Vrai 70% ###
réalisée.
SMSI
5.2 Politique Convaincant 60%
La politique de sécurité de l'information est adaptée

cr 16 à la mission de l'organisme en incluant des Plutôt Faux 30% ###
objectifs de sécurité de l'information
La direction améliore sa politique de sécurité de

cr 17 l'information en satisfaisant les exigences Plutôt Vrai 70% ###
réalisée.
relatives à la sécurité de l'information
La politique de sécurité de l'information est

cr 18 disponible et tenue à jour sous forme d'une Plutôt Vrai 70% ###
réalisée.
information documentée
La politique de sécurité de l'information est Niveau 4 : L'action est formalisée,

cr 19 Vrai 100% ###
communiquée au sein de l'organisme réalisée, tracée et améliorée.
La politique de sécurité de l'information est mise à Niveau 2 : L'action est réalisée

la disposition des parties intéressées quelques fois de manière informelle.
Rôles, responsabilités et autorités au sein de Conformité de niveau 3 : Il est nécessaire de tracer et

5.3 Convaincant 56%
l'organisme d'améliorer les activités.
La direction s'assure que les responsabilités et
cr 21 les rôles au sein du SMSI sont attribués et Plutôt Vrai 70% ###
réalisée.
communiqués
Les responsabilités et autorités s'assurant que le
cr 22 SMSI est conforme à la norme ISO 27001 sont Plutôt Vrai 70% ###
réalisée.
désignées par la direction
Les responsabilités et autorités évaluent et
cr 23 reportent à la direction les performances du Plutôt Faux 30% ###
SMSI
Art. 6 Planification Convaincant 50%
Conformité de niveau 2 : Il est nécessaire de pérenniser la

6.1 Actions liées aux risques et opportunités Informel 49%
bonne exécution des activités.
Les risques et opportunités sont pris en compte

pour améliorer la performance du SMSI en lien Niveau 3 : L'action est formalisée et
avec les enjeux à relever et les exigences à réalisée.
satisfaire
L'organisme planifie et met en oeuvre les actions Niveau 3 : L'action est formalisée et
face aux risques et opportunités sélectionnés réalisée.
La manière d'intégrer et de mettre en œuvre les Niveau 2 : L'action est réalisée

actions au sein du SMSI est planifiée quelques fois de manière informelle.
L'évaluation de l'efficacité de ces actions au sein Niveau 2 : L'action est réalisée

des processus du SMSI est planifiée quelques fois de manière informelle.
Un processus d'application des risques relatifs à la

sécurité de l'information a été établi incluant des Niveau 3 : L'action est formalisée et
critères d'acceptation et d'appréciation des réalisée.
risques
Le processus d'application des risques s'assure

cr 29 que la répétition des appréciations des risques Plutôt Vrai 70% ###
réalisée.
produits des résultats cohérents
Le processus d'application des risques identifie et Niveau 2 : L'action est réalisée

analyse les risques de sécurité de l'information quelques fois de manière informelle.
L'organisation conserve les informations

cr 31 documentées sur le processus d'appréciation des Plutôt Faux 30% ###
risques de sécurité de l'information

L'organisation a défini et appliqué un processus de

traitement des risques de sécurité de l'information Niveau 3 : L'action est formalisée et
en déterminant et comparant les mesures mises réalisée.
en œuvre avec l'annexe A
L'organisme a produit une déclaration

cr 33 d'applicabilité pour justifier les exclusions et Plutôt Faux 30% ###
inclusions à l'annexe A
Un plan de traitement des risques relatifs à la Niveau 2 : L'action est réalisée

sécurité de a été créé quelques fois de manière informelle.
Les propriétaires des risques ont revu et Niveau 2 : L'action est réalisée
approuvé le plan quelques fois de manière informelle.
Les risques résiduels relatifs à la sécurité de

cr 36 l'information ont été autorisés par les Vrai 100% ###
propriétaires des risques
Les informations documentés sur le processus

cr 37 de traitement des risques de l'information sont Plutôt Faux 30% ###
conservées
Objectifs sécurité et planification pour les Conformité de niveau 3 : Il est nécessaire de tracer et
6.2 Convaincant 52%
atteindre d'améliorer les activités.
Des objectifs de sécurité de l'information sont

cr 38 établis aux fonctions, niveaux et processus Plutôt Faux 30% ###
nécessaires au bon fonctionnement du SMSI
Les objectifs de sécurité de l'information sont

cr 39 pertinents, mesurables et cohérents avec la Vrai 100% ###
politique sécurité de l'information
Les objectifs de sécurité de l'information sont Niveau 3 : L'action est formalisée et

surveillés, tenus à jour et communiqués réalisée.
Les informations documentées sur les objectifs Niveau 2 : L'action est réalisée
qualité sont tenues à jour quelques fois de manière informelle.
Pour atteindre les objectifs de sécurité de

l'information, l'organisme détermine le
cr 42 responsable, les actions, les ressources, les Plutôt Faux 30% ###
échéances et les modalités d'évaluation des
résultats

Art. 7 Support Convaincant 60%

7.1 Ressources Informel 30%
L’organisation a déterminé et fourni les

ressources requises pour l’établissement, la mise Niveau 2 : L'action est réalisée
en œuvre, la tenue et l’amélioration continue du quelques fois de manière informelle.
SMSI

7.2 Compétences Convaincant 67%
Les compétences nécessaires des personnes dont
cr 44 le travail a une incidence sur les performances du Plutôt Vrai 70% ###
réalisée.
SI sont déterminées
Les compétences du personnel sont évaluées sur
cr 45 la base d'une formation ou d'une expérience Plutôt Vrai 70% ###
réalisée.
appropriée
L'organisme met en place et évalue l'efficacité des
actions pour acquérir ou renforcer les Niveau 4 : L'action est formalisée,
cr 46 Vrai 100% ###
compétences nécessaires au bon fonctionnement réalisée, tracée et améliorée.
du SMSI
Les informations documentées sur les Niveau 2 : L'action est réalisée

compétences du personnel sont conservées quelques fois de manière informelle.

7.3 Sensibilisation Convaincant 66%

L'organisme s'assure que le personnel est
cr 48 sensibilisé à la politique de sécurité de Plutôt Faux 30% ###
l'information
L'organisme s'assure que le personnel est

conscient de sa contribution à l'efficacité du SMSI Niveau 3 : L'action est formalisée et
ainsi qu'aux effets positifs d'une amélioration des réalisée.
performances de la sécurité de l'information
Le personnel est conscient des implications de

cr 50 toute non-conformité aux exigences requises par le Vrai 100% ###
SMSI
7.4 Communication Convaincant 77%
La pertinence des besoins de communication Niveau 3 : L'action est formalisée et
interne est déterminée réalisée.
La pertinence des besoins de communication Niveau 4 : L'action est formalisée,
cr 52 Vrai 100% ###
externe est déterminée réalisée, tracée et améliorée.
Les modalités de communication interne sont Niveau 3 : L'action est formalisée et
déterminées réalisée.
Les modalités de communication externe sont Niveau 3 : L'action est formalisée et
déterminées réalisée.
7.5 Informations documentées Convaincant 58%
Les informations documentées du SMSI
cr 55 comprennent celles exigées par l'ISO 27001 et Vrai 100% ###
celles nécessaires à son efficacité
Toute information documentée est identifiée,

cr 56 décrite et approuvée de manière compréhensible Plutôt Vrai 70% ###
réalisée.
dans un format et sur un support accessible
Le contenu des informations documentées est

cr 57 revu périodiquement en termes de pertinence et Plutôt Faux 30% ###
d'adéquation à l'usage
Les informations documentées sont utiles, Niveau 1 : L'action n'est pas réalisée
cr 58 Faux 0% ###
utilisables et utilisées ou alors de manière très aléatoire.
Les modifications des informations documentées Niveau 3 : L'action est formalisée et

sont maitrisées (contrôle des versions par exemple) réalisée.
La gestion des informations documentées est

cr 60 bien maîtrisée en termes de distribution, accès, Plutôt Vrai 70% ###
réalisée.
stockage, protection, conservation et élimination
Les informations documentées externes sont Niveau 3 : L'action est formalisée et

identifiées et maitrisées réalisée.
Art. 8 Fonctionnement Convaincant 60%

8.1 Planification et contrôle opérationnels Convaincant 62%
Les processus nécessaires à la satisfaction des

cr 62 exigences liés à la sécurité de l'information sont Plutôt Vrai 70% ###
réalisée.
planifiés, mis en œuvre et maîtrisés
Des plans pour atteindre les objectifs de sécurité de Niveau 3 : L'action est formalisée et
l'information définis en 6.2 sont mis en œuvre réalisée.
Les informations documentées sont conservées

cr 64 pour avoir l'assurance que les processus ont été Plutôt Vrai 70% ###
réalisée.
suivis comme prévu
L'organisation doit contrôler les modifications

prévues, analyser les conséquences des Niveau 2 : L'action est réalisée
modifications imprévues et, si nécessaire, mener quelques fois de manière informelle.
des actions pour limiter tout effet négatif

cr 66 Les processus externalisés sont maîtrisés Plutôt Vrai 70% ###
réalisée.
Appréciation des risques de sécurité de Conformité de niveau 3 : Il est nécessaire de tracer et

8.2 Convaincant 70%
l'information d'améliorer les activités.
Des appréciations de risques de sécurité de
l'information à des intervalles planifiés, quand des Niveau 3 : L'action est formalisée et
changements significatifs sont prévus ou ont lieu réalisée.
sont réalisés
Les informations documentées sur les résultats
cr 68 du traitement des risques de sécurité de Plutôt Vrai 70% ###
réalisée.
l'information sont conservées.
Traitement des risques de sécurité de Conformité de niveau 3 : Il est nécessaire de tracer et
8.3 Convaincant 50%
l'information d'améliorer les activités.

Le plan de traitement des risques de sécurité de Niveau 3 : L'action est formalisée et
l'information est mis en œuvre réalisée.
Les informations documentées sur les résultats
cr 70 de traitement des risques de sécurité de Plutôt Faux 30% ###
l'information sont conservées
Art. 9 Évaluation des performances Convaincant 50%

9.1 Surveillance, mesure, analyse et évaluation Informel 41%
Les performances de sécurité de l'information Niveau 2 : L'action est réalisée

ainsi que l'efficacité du SMSI sont évaluées quelques fois de manière informelle.
Ce qui est nécessaire de surveiller et de mesurer Niveau 2 : L'action est réalisée

est déterminé quelques fois de manière informelle.
Les méthodes de surveillance, de mesurage,

cr 73 d'analyse et d'évaluation, pour assurer la validité Plutôt Faux 30% ###
des résultats sont déterminées
L'organisme détermine quand la surveillance et Niveau 3 : L'action est formalisée et

les mesures doivent être effectuées réalisée.
L'organisme détermine qui doit effectuer la Niveau 3 : L'action est formalisée et

surveillance et les mesures réalisée.
L'organisme détermine quand les résulats de la
Choix de
cr 76 surveillance et des mesures doivent-être Libellé du critère quand il sera choisi ###
VÉRACITÉ
analysées et évaluées
L'organisme détermine qui doit analyser et Niveau 3 : L'action est formalisée et
évaluer les résultats réalisée.
Les informations documentées appropriées
cr 78 comme preuves des résultats de la surveillance et Plutôt Faux 30% ###
des mesures sont conservées
9.2 Audit interne Convaincant 74%
Les audits internes sont planifiés, établis et mis Niveau 4 : L'action est formalisée,
cr 79 Vrai 100% ###
en œuvre à des intervalles déterminés réalisée, tracée et améliorée.
Les critères et le périmètre de chaque audit sont Niveau 3 : L'action est formalisée et
définis réalisée.
Les auditeurs sont sélectionnés en s'assurant de Niveau 4 : L'action est formalisée,

cr 81 Vrai 100% ###
l'objectivité et de l'impartialité du processus d'audit. réalisée, tracée et améliorée.
Les résultats des audits sont communiqués à la Niveau 3 : L'action est formalisée et
direction concernée réalisée.
Des informations documentées sont conservées

cr 83 comme preuves de la mise en œuvre du Plutôt Faux 30% ###
programme d'audit et de ses résultats.

9.3 Revue de direction Informel 35%
La revue du SMSI est réalisée à des intervalles

cr 84 planifiés pour s'assurer de son efficacité et Plutôt Faux 30% ###
adéquation avec la stratégie de l'organisme
La revue de direction prend en compte l'état

cr 85 d'avancement des actions décidées à l'issue des Plutôt Vrai 70% ###
réalisée.
revues de direction précédentes
La revue de direction prend en compte les
cr 86 modifications des enjeux externes et internes Plutôt Faux 30% ###
pertinents pour le SMSI
La revue de direction prend en compte les retours Niveau 2 : L'action est réalisée
sur les performances de sécurité de l'information quelques fois de manière informelle.
La revue de direction prend en compte les retours Niveau 1 : L'action n'est pas réalisée
cr 88 Faux 0% ###
d'informations des parties intéressées ou alors de manière très aléatoire.
La revue de direction prend en compte les

cr 89 résultats de l'appréciation des risques et l'état Plutôt Vrai 70% ###
réalisée.
d'avancement du plan de traitement des risques
La revue de direction prend en compte les Niveau 2 : L'action est réalisée

opportunités d'amélioration continue quelques fois de manière informelle.
La revue de direction fournit des décisions et

actions sur les opportunités d’amélioration, le Niveau 2 : L'action est réalisée
besoin de modifier le SMSI et le besoin en quelques fois de manière informelle.
ressources

Les éléments de sortie des revues de direction

cr 92 sont conservés sous forme d'informations Plutôt Faux 30% ###
documentées.

Art. 10 Amélioration Convaincant 83%

10.1 Non-conformité et action corrective Convaincant 67%
L’organisme réagit à chaque non-conformité pour
cr 93 la corriger, la maîtriser et prendre en charge les Vrai 100% ###
conséquences
L’organisme évalue la nécessité de traiter les Niveau 2 : L'action est réalisée

causes des non-conformités quelques fois de manière informelle.
L’organisme met en œuvre toutes les actions Niveau 3 : L'action est formalisée et
correctives requises réalisée.
L'organisation révise l'efficacité de toute action Niveau 4 : L'action est formalisée,
cr 95 Vrai 100% ###
corrective mise en œuvre réalisée, tracée et améliorée.
cr 96 L'organisme modifie, si nécessaire, le SMSI Vrai 100% ###
Les actions correctives sont à la mesure des effets Niveau 1 : L'action n'est pas réalisée
cr 97 Faux 0% ###
des non-conformités ou alors de manière très aléatoire.
L'organisation doit conserver des informations

documentées comme preuves de la nature des Niveau 3 : L'action est formalisée et
non-conformités et de toute action subséquente et réalisée.
des résultats de toute action corrective
Conformité de niveau 4 : BRAVO ! Maintenez et

10.2 Amélioration continue Conforme 100%
communiquez vos résultats.
L’organisme s’engage à améliorer en continu la Niveau 4 : L'action est formalisée,

cr 99 Vrai 100% ###
pertinence, l'adéquation et la performance du SMSI réalisée, tracée et améliorée.
Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013 Impression sur pages A4 100% en format horizontal

Signature du responsable de l'autodiagnostic :
Date de l'autodiagnostic :
NOM et Prénom
Responsable de l'autodiagnostic :
Tél : @:
L'équipe d'autodiagnostic : Noms et Prénoms des participants
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
Conformité de niveau 3 : Il est nécessaire de tracer

Taux et niveaux de respect des exigences 61.7% Convaincant
et d'améliorer les activités.

A.5 Politiques de sécurité de l’information 50% Convaincant et d'améliorer les activités. Guides des bonnes pratiques selon ISO 27002
A.5.1 Orientations de la direction en matière de sécurité de l’information Convaincant 50% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités. Nb critères
Mesure 1
Il convient que l’organisme définisse la stratégie, les règlementations, les législations et les contrats &
Un ensemble de politiques de sécurité de l’information est défini, approuvé par la direction, Niveau 3 : L'action est formalisée et l’environnement convenable pour l’identification des menaces SSI
1 Plutôt Vrai 70%
diffusé et communiqué aux salariés et aux tiers concernés réalisée. La politique de la sécurité du SI comporte ;
Une définition claire de la sécurité du SI ainsi que les objectifs principaux pour mieux gérer les activités SSI.
L’attribution des responsabilités
Les processus de traitement des dérogations et des exceptions
Les politiques de sécurité de l’information sont revues à intervalles programmés ou en cas Mesure 2
Niveau 2 : L'action est réalisée quelques Il convient que chaque politique soit affectée à un responsable qui accepte de développer, évaluer et revoir cette
2 de changements majeurs pour garantir leur pertinence, leur adéquation et leur effectivité Plutôt Faux 30% fois de manière informelle.
dans le temps politique.
A
S
ro
t
u
Conformité de niveau 2 : Il est nécessaire de
A.6 Organisation de la sécurité de l’information 27% Informel pérenniser la bonne exécution des activités.
i
s
-c
Conformité de niveau 2 : Il est nécessaire de pérenniser la bonne exécution des l
A
A.6.1 Organisation interne Informel 40%
activités. re
t
Niveau 2 : L'action est réalisée quelques i
3 Toutes les responsabilités en matière de sécurité de l’information sont définies et attribuées Plutôt Faux 30% fois de manière informelle.
On vise à établir un cadre de gestion pour piloter la mise en œuvre et le fonctionnement de la SSI au sein de c
l’organisme. l
Les tâches et les domaines de responsabilité incompatibles sont cloisonnés pour limiter les Mesure 3 & 4 e
Niveau 2 : L'action est réalisée quelques Il convient à préciser les domaines de responsabilités ; Identifier et déterminer les actifs et les processus de sécurité ;
4 possibilités de modification ou de mauvais usage, non autorisé(e) ou involontaire, des actifs Plutôt Faux 30% fois de manière informelle.
de l’organisation d’affecter ces actifs à son entité responsable & de définir et documenter les différents niveaux d’autorisation.
Mesure 5
Il est nécessaire aussi que les responsables soient compétents et capables d’assurer des suivis efficaces de cette
Niveau 3 : L'action est formalisée et opération.
5 Des relations appropriées avec les autorités compétentes sont entretenues Plutôt Vrai 70% réalisée. Mesure 6
Il convient aussi à organiser et documenter les activités de coordination et de supervision relatives aux questions de
sécurités en rapport avec les fournisseurs.
Ils convient d'envisager une inscription à des groupes d’intérêts ou à des forums spécialisés afin de mieux connaitre
Des relations appropriées avec des groupes d’intérêt, des forums spécialisés dans la Niveau 3 : L'action est formalisée et les bonnes pratiques, s’assurer sur la mise à jour de l’environnement de la sécurité de l’information, avoir accès à des
6 Plutôt Vrai 70% réalisée. conseils et des supports de la part des spécialistes et de partager et échanger des informations sur les nouvelles
sécurité et des associations professionnelles sont entretenues
technologies disponibles.
Mesure 7
Il convient que les méthodes de gestion de projet en vigueur imposent l’intégration des objectifs de la sécurité de S
l’information avec les objectifs du projet, une appréciation des risques effectuée dès le début du projet et que la o
La sécurité de l’information est considérée dans la gestion de projet, quel que soit le type de Niveau 1 : L'action n'est pas réalisée ou sécurité de l’information soit intégrée à toutes les phases du projet.
7 Faux 0% alors de manière très aléatoire. u
projet concerné
s
-
Conformité de niveau 2 : Il est nécessaire de pérenniser la bonne exécution des A
A.6.2 Appareils mobiles et télétravail Informel 15%
activités. r
Mesure 8 t
Il convient que la politique en matière d’appareils mobiles envisage : i
L’enregistrement des appareils mobiles c
Les exigences liées à la protection physique l
Les restrictions liées à l’installation de logiciels e
Les exigences liées aux versions logicielles des appareils mobiles
Les restrictions liées aux connexions à des services d’information
Une politique et des mesures de sécurité complémentaires sont adoptées pour gérer les Niveau 1 : L'action n'est pas réalisée ou
8 Faux 0% Les contrôles d’accès
risques découlant de l’utilisation des appareils mobiles alors de manière très aléatoire.
Les techniques cryptographiques
La protection contre les logiciels malveillants
La désactivation de l’effacement des données ou le verrouillage à distance
Les sauvegardes
L’utilisation des services web et des applications web.
Une politique et des mesures de sécurité complémentaires sont mises en œuvre pour Mesure 9
protéger les informations consultées, traitées ou stockées sur des sites de télétravail Il convient d’envisager les aspects suivants : le niveau de sécurité physique sur les sites de télétravail,
l’environnement physique, les exigences en matière des communications, la fourniture de l’accès à un bureau virtuel,
Niveau 2 : L'action est réalisée quelques les menaces des accès non autorisés, l’utilisation et la configuration des réseaux domestiques, les politiques et
9 Plutôt Faux 30% fois de manière informelle. procédures mise au point pour prévenir tout litige relatif aux droit de propriété intellectuelle, l’accès au matériel détenu
à titre privé par des salariés et des utilisateurs tiers ainsi que les exigences relatives à la protection antivirus et au pare-
feu.
A
S
r
o
t
Conformité de niveau 2 : Il est nécessaire de u
A.7 Sécurité des ressources humaines 46% Informel pérenniser la bonne exécution des activités.
i
s
c
-l
A
e
A.7.1 Avant l'embauche Convaincant 50% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
t
On vise à s’assurer que les salariés et les contractants comprennent leurs responsabilités et qu’ils soient compétents i
pour mieux gérer la sécurité de l’information.
Des vérifications sont effectuées sur tous les candidats à l’embauche conformément aux c
Niveau 2 : L'action est réalisée quelques Mesure 10
10 lois, aux règlements et à l’éthique et sont proportionnées aux exigences métier, à la Plutôt Faux 30% l
fois de manière informelle. Ils convient que les informations concernant les candidats soient vérifiées conformément aux lois, aux règlements et à
classification des informations accessibles et aux risques identifiés e
l’éthique et cohérentes avec les exigences métier.
Mesure 11
Il convient que les accords contractuels conclus avec les salariés et les contractants déterminent leurs responsabilités
et celles de l’organisation en matière de sécurité de l’information.
Il convient que les obligations contractuelles mettent en évidence les politiques de sécurité de l’information de
Les accords contractuels entre les salariés et les sous-traitants sont précisés leurs Niveau 3 : L'action est formalisée et
11 Plutôt Vrai 70% l’organisation.
responsabilités et celles de l’organisation en matière de sécurité de l’information. réalisée. S
Il convient d’informer clairement les candidats sur les rôles et les responsabilités lors du processus de préembauche.
o
u
s
-
A
A.7.2 Pendant la durée du contrat Conforme 90% Conformité de niveau 4 : BRAVO ! Maintenez et communiquez vos résultats.
r
t
Mesure 12 i
La direction doit s’assurer que les candidats et les contractants sont correctement informés sur leurs fonctions et c
leurs responsabilités, et qu’ils ont pris connaissance des lignes directrices spécifiant les attentes en matière de sécurité
l
de l’information.
La direction demande à tous les salariés et sous-traitants d’appliquer les règles de sécurité e
Niveau 3 : L'action est formalisée et Les contractants sont incités aussi à appliquer les politiques de sécurité de l’information de l’organisation et
12 de l’information conformément aux politiques et aux procédures en vigueur dans Plutôt Vrai 70% réalisée.
l’organisation acquièrent le niveau nécessaire de sensibilisation.
Il est nécessaire aussi qu’ils respectent les conditions de leur embauche, maintenir leur savoir-faire
Et qu’ils ont accès à un moyen de communication anonyme.
Mesure 13
Il convient que l’apprentissage et les formations à la sécurité de l’information couvrent les aspects suivants ;
La démonstration de l’engagement de la direction en matière de sécurité SI.
La nécessité de se familiariser avec les règles et les obligations applicables
L’ensemble des salariés de l’organisation et, quand cela est pertinent, des sous-traitants, L’imputabilité à chacun de ses actions et de son inaction
Niveau 4 : L'action est formalisée, réalisée,
13 bénificent d’une sensibilisation et de formations adaptées et recevent régulièrement les Vrai 100% tracée et améliorée. Les procédures élémentaires en matière de sécurité de l’information
mises à jour des politiques et procédures de l’organisation s’appliquant à leurs fonctions Les point d’accès et des ressources disponibles pour plus d’informations et de conseils sur la sécurité de l’information.
Mesure 14
Il convient qu’il existe un processus disciplinaire formel garantissant un traitement correct et juste des salariés S
Un processus disciplinaire formel et existant est connu de tous pour prendre des mesures à Niveau 4 : L'action est formalisée, réalisée, suspectés d’avoir enfreint les règles de sécurité & que ce processus fournisse des réponses graduées prenant en o
14 Vrai 100% tracée et améliorée.
l’encontre des salariés ayant enfreint les règles liées à la sécurité de l’information considération différents facteurs comme la nature et la gravité de la violation et l’impact sur les activités de u
l’organisation. s
-
A
A.7.3 Rupture, terme ou modification du contrat de travail Insuffisant 0% Conformité de niveau 1 : Il est nécessaire de formaliser les activités réalisées.
r
t
Mesure 15
i
Il convient de que ;
c
Les responsabilités liées aux fins de contrats incluent les exigences permanentes liées à la sécurité et les
l
responsabilités légales ainsi que le cas échéant, les responsabilités figurant dans tout engagement de confidentialité et
e
Les responsabilités et les missions liées à la sécurité de l’information qui restent valables à dans les conditions d’embauche.
Niveau 1 : L'action n'est pas réalisée ou Les responsabilités et les missions encore valables au-delà de la rupture ou du terme du contrat de travail figurent
15 l’issue de la rupture, du terme ou de la modification du contrat de travail, sont définies, Faux 0% alors de manière très aléatoire.
communiquées au salarié ou au sous-traitant, et appliquées dans les conditions du contrat du salarié ou du contractant.
L’organisation doit gérer les changements de poste ou de responsabilités comme un terme mis au poste ou aux
responsabilités en question ainsi que de déterminer les nouvelles responsabilités ou les nouvelles fonctions.
A
S
r
o
t
u
A.8 Gestion des actifs 69% Convaincant et d'améliorer les activités.
is
c
-
lA
A.8.1 Responsabilités relatives aux actifs Convaincant 52% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités. e
r
Mesure 16 t
Il convient que ; i
Les actifs associés à l’information et aux moyens de traitement de l’information sont L’organisation identifie les actifs pertinents dans le cycle de vie de l’information et documente leur importance. c
Niveau 1 : L'action n'est pas réalisée ou
16 Faux 0% alors de manière très aléatoire. L’inventaire des actifs soit précis, à jour, cohérent et en adéquation avec les autres inventaires. l
identifiés et un inventaire de ces actifs est dressé et tenu à jour.
L’organisation attribue à chaque actif un propriétaire et d’identifier la classification. e
Mesure 17
Il convient que le propriétaire de l’actif ;
S’assure que les actifs sont inventoriés.
Niveau 3 : L'action est formalisée et S’assurer que les actifs sont correctement classés et protégés
17 Les actifs figurant à l’inventaire sont attribués à un propriétaire Plutôt Vrai 70% réalisée.
Définisse et revoit périodiquement les classifications
S’assure que les manipulations de suppression ou de destruction des actifs sont réalisées correctement.
Mesure 18
Les règles d’utilisation correcte de l’information, les actifs associés à l’information et les Niveau 3 : L'action est formalisée et Les salariés et les utilisateurs tiers qui ont accès aux actifs de l’organisation doivent être conscients des exigences de
18 Plutôt Vrai 70% sécurité de l’information. Et qu’ils soient responsables de l’utilisation qu’ils font de toutes les ressources.
moyens de traitement de l’information sont identifiés, documentés et mis en œuvre réalisée.
Mesure 19
Il convient que le processus de fin de mission ou d’emploi inclus la restriction de tous les actifs physiques et
électroniques crées.
Tous les salariés et les utilisateurs tiers restituent la totalité des actifs de l’organisation qu’ils Niveau 3 : L'action est formalisée et Le salarié ou l’utilisateur tiers doivent transférer les connaissances importantes au administration. S
19 Plutôt Vrai 70% réalisée.
ont en leur possession au terme de la période d’emploi, du contrat ou de l’accord L’organisation doit vérifier que le salarié quittant son poste ne possède pas de données importantes pendant la période o
de préavis. u
s
-
A
A.8.2 Classification de l'information Conforme 90% Conformité de niveau 4 : BRAVO ! Maintenez et communiquez vos résultats.
r
t
Mesure 20
i
Il convient que la classification de l’information et les mesures de protection tiennent compte des besoins de
c
l’organisation en terme de partage ou de limitation de l’information. Et que le propriétaire des actifs liés à l’information
l
soit responsable de cette classification. e
Les informations sont classifiées en termes d’exigences légales, de valeur, de caractère Niveau 3 : L'action est formalisée et Il convient aussi de prendre en considération des critères de revues et des conventions de classification, d’attribuer à
20 Plutôt Vrai 70% réalisée. chaque niveau un nom significatif et logique ainsi que d’assurer que le même plan soit appliqué dans toute
critique et de sensibilité au regard d’une divulgation ou modification non autorisée
l’organisation.
Finalement, il convient que la classification soit intégrée aux processus de l’organisation.
Mesure 21
Les procédures de marquage de l’information doivent s’appliquer à l’information et aux actifs associés présentés sous
Un ensemble approprié de procédures pour le marquage de l’information est élaboré et mis Niveau 4 : L'action est formalisée, réalisée, format physique ou électronique.
21 Vrai 100% tracée et améliorée. Les données délivrées par des systèmes contenant de l’information classée comme sensible ou critique doivent porter
en œuvre conformément au plan de classification adopté par l’organisation
des marquages appropriés.
Mesure 22
Il convient que ;
à chaque niveau de classification, les accès soient restreint pour renforcer les exigences de protection.
Des procédures de traitement de l’information sont élaborées et mises en œuvre Niveau 4 : L'action est formalisée, réalisée, Des enregistrements formels des personnes autorisées à recevoir des actifs, soient tenu à jour.
22 Vrai 100% tracée et améliorée. Des copies temporelles ou permanentes de l’information soient protégées. S
conformément au plan de classification de l’information adopté par l’organisation
Des actifs de l’information soient stockés selon les spécifications du fabriquant. o
Toutes copies de support soient marquées par le nom de la personne autorisée à les recevoir. u
s
-
A
A.8.3 Manipulation des supports Convaincant 66% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
t
Mesure 23 i
Pour la gestion des supports amovibles, il convient ;
c
De rendre impossible toute récupération du contenu d’un support réutilisable devant être retiré de l’organisation si le
l
contenu n’est pas indispensable. e
Exiger une autorisation pour le retrait de supports de l’organisation et de garder des enregistrements de ces retraits
pour assurer la traçabilité.
De stocker tous les supports dans un environnement sûr.
Des procédures de gestion des supports amovibles sont mises en œuvre conformément au Niveau 2 : L'action est réalisée quelques Utiliser des techniques de cryptographie pour protéger les données impliquant la confidentialité ou l’intégrité.
23 Plutôt Faux 30%
plan de classification adopté par l’organisation fois de manière informelle. Transférer les données dans un support neuf afin de limiter les risques liés à la dégradation des supports.
De stocker des diverses copies de données de valeur sur des supports séparés pour réduire le risque
d’endommagement ou de perte. Ainsi que d’envisager de tenir un registre de supports amovibles.
De n’activer les lectures de supports que si les activités sont nécessaires.
De contrôler le transfert de l’information sur les supports amovibles si leurs utilisations sont nécessaires.
Mesure 24
Les supports qui ne sont plus nécessaires sont mis au rebut de manière sécurisée en suivant Niveau 3 : L'action est formalisée et Il convient que les procédures de mise au rebut sécurisée des supports contenant de l’information confidentielle
des procédures formelles soient proportionnelles à la sensibilité de cette information.
Mesure 25
Il convient que ;
Le transporteur soit fiable
Les supports contenant de l’information sont protégés contre les accès non autorisés, les Niveau 4 : L'action est formalisée, réalisée, Etablir une liste des coursiers autorisés
25 Vrai 100% tracée et améliorée. Mettre au point des procédures de contrôle de l’identification des coursiers.
erreurs d’utilisation et l’altération lors du transport
L’emballage choisi soit suffisant pour protéger le contenu.
De conserver les journaux identifiant le contenu du support.
A
S
ro
tu
A.9 Contrôle d’accès 72% Convaincant et d'améliorer les activités.
is
c
-
Conformité de niveau 2 : Il est nécessaire de pérenniser la bonne exécution des lA
A.9.1 Exigences métier en matière de contrôle d’accès Informel 30% e
activités. r
Mesure 26 t
Il convient que ; i
Tenir compte des exigences en matière de sécurité de l’information. c
Tenir compte de la politique relative à la diffusion de l’information et aux autorisations. l
La politique de classification et celle des droits d’accès doivent être cohérentes. e
Tenir compte des législations et des obligations contractuelles applicables relatives à la limitation de l’accès aux
Une politique de contrôle d’accès est établie, documentée et revue sur la base des Niveau 2 : L'action est réalisée quelques données et aux services.
26 Plutôt Faux 30% Tenir compte de l’environnement décentralisé lors de la gestion des droits d’accès.
exigences métier et de sécurité de l’information fois de manière informelle.
Tenir compte des exigences en matière d’autorisation formelle des requêtes d’accès et des revues régulières des droits
d’accès.
Tenir compte des fonctions avec accès privilégié et de l’archivage des enregistrements de tous les évènements
significatifs.
Mesure 27
Il convient de définir la politique d’utilisation des réseaux ; Elle couvre ;
Les réseaux et leurs services dont l’accès est autorisé
Les procédures d’autorisation d’accès aux personnes autorisées
Les utilisateurs ont uniquement accès au réseau et aux services réseau pour lesquels ils ont Niveau 2 : L'action est réalisée quelques Les procédures de mesure de gestion
27 Plutôt Faux 30% fois de manière informelle.
spécifiquement reçu une autorisation Les moyens d’accès aux réseaux
S
Les exigences d’authentifications de l’utilisateur
o
La surveillance de l’utilisation
u
s
-
A
A.9.2 Gestion d'accès utilisateur Convaincant 85% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
t
Mesure 28 i
Il convient ; c
Un processus formel d’enregistrement et de désinscription des utilisateurs est mis en œuvre Niveau 3 : L'action est formalisée et De ne pas autoriser l’utilisation d’identifiants communs que lorsque les aspects opérationnels l’exigent. l
28 Plutôt Vrai 70%
pour permettre l’attribution des droits d’accès réalisée. Supprimer ou bloquer immédiatement des identifiants des salariés qui ont quitté l’organisation. e
Détecter périodiquement les identifiants des utilisateurs redondants et qu’ ils ne sont pas attribués à d’autre utilisateurs.
Mesure 29
Il convient ;
Les utilisateurs doivent obtenir une autorisation d’utiliser le réseau de la part du propriétaire.
De vérifier que le niveau d’accès aux réseaux est conforme avec la politique SSI.
Un processus formel de distribution des accès aux utilisateurs sont mis en œuvre pour D’assurer que les droits d’accès ne sont pas activés tant que le processus d’autorisation n’est pas terminé.
29 attribuer et retirer des droits d’accès à tous types d’utilisateurs sur l’ensemble des services et Vrai 100% tracée et améliorée. Qu’un enregistrement des droits d’accès soit tenu à jour.
des systèmes D’adapter les droits d’accès pour les personnes qui ont changé de poste et de bloquer les identifiants de ceux qui ont
quitté l’organisation.
D’établir un revue régulier des droits d’accès
Mesure 30
Il convient :
D’identifier les privilèges d’accès associés à chaque système ou chaque processus.
D’attribuer des privilèges d’accès aux utilisateurs en suivant les impératifs liés à leur activité.
Que ces privilèges attribués sont enregistrés et mis à jour.
De définir les exigences en matière d’expiration des privilèges d’accès.
Niveau 4 : L'action est formalisée, réalisée, Que l’identifiant d’accès aux privilèges est différent de celui de l’employé pour les tâches ordinaires.
30 L’allocation et l’utilisation des droits d’accès à privilèges sont restreintes et contrôlées Vrai 100% tracée et améliorée. De suivre les compétences des utilisateurs bénéficiant de privilèges.
De tenir à jour des procédures pour empêcher l’utilisation non autorisée d’identifiants génériques d’administration.
Pour les identifiants génériques, l’organisation doit préserver la confidentialité des informations secrètes
d’authentification lorsque ces identifiants sont partagés.
Mesure 31
Il convient ;
Que les utilisateurs s’engagent pour ne pas divulguer leurs informations secrètes d’authentification personnelle.
Les Utilisateurs doivent définir par eux-mêmes leurs informations secrètes d’authentification.
D’établir une procédure d’identification les identités des personnes avant de lui attribuer des nouvelles informations
secrètes d’authentification.
L’attribution des informations secrètes d’authentification sont réalisée dans le cadre d’un Niveau 3 : L'action est formalisée et
De garantir la sécurité de communication des données d’authentification.
processus de gestion formel Que les informations secrètes d’authentification soient uniques pour chaque personne et qu’ils soient impossible de les
deviner et que les utilisateurs accusent réception de ces données.
Que ces informations par défaut définies par les constructeurs et éditeurs soient modifiées après l’installation des
systèmes ou logiciels.
Mesure 32
Il convient ;
De revoir les droits d’accès utilisateurs régulièrement et après avoir effectué des changements.
Niveau 4 : L'action est formalisée, réalisée, De revoir la réattribution des droits d’accès utilisateurs.
32 Les propriétaires d’actifs vérifient les droits d’accès des utilisateurs à intervalles réguliers Vrai 100% tracée et améliorée. De revoir régulièrement les autorisations liées à des droits d’accès privilégiés.
De journaliser périodiquement les modifications apportées aux comptes dotés de privilèges.
Mesure 33
Il convient d’assurer la suppression ou la restriction les droits d’accès à l’information et aux actifs associés aux
moyens de traitement de l’information avant la fin de la période d’emploi ou modification de contrat selon les critères
suivants ;
Les droits d’accès aux informations et aux moyens de traitement des informations de Cas de résiliation ou modification du contrat à l’initiative du salarié, de l’utilisateur tiers ou de la direction en
33 l’ensemble des salariés et utilisateurs tiers sont supprimés à la fin de leur période d’emploi, Plutôt Vrai 70% réalisée. mentionnant le motif.
ou adaptés en cas de modification du contrat ou de l’accord Selon les responsabilités du salarié de l’utilisateur tiers ou autres utilisateurs. S
La valeur des actifs accessibles. o
u
s
-
A
A.9.3 Responsabilités des utilisateurs Conforme 100% Conformité de niveau 4 : BRAVO ! Maintenez et communiquez vos résultats.
r
t
Mesure 34 i
Il convient que l’utilisateur ; c
Préserve la confidentialité de ces données. l
Ne pas conserver des enregistrements des informations secrètes d’authentification sauf si la méthode de stockage a e
été approuvée.
Changes ses informations d’authentification à chaque fois que quelque chose indique qu’elles pourraient être
Les utilisateurs suivent les pratiques de l’organisation pour l’utilisation des informations Niveau 4 : L'action est formalisée, réalisée, compromises.
secrètes d’authentification Bien choisi des mots de passe de qualité et d’une longueur minimale suffisante.
Ne jamais partager les informations secrètes d’une personne.
Protège ses mots de passes. S
Ne pas utiliser ses données d’authentification pour des activités extra-professionnelles. o
u
s
-
A
A.9.4 Contrôle de l’accès au système et à l’information Convaincant 74% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
t
Mesure 35
i
Il convient d’envisager de ; c
Créer des menus permettant de contrôler l’accès aux fonctions d’application système. l
Contrôler les données auxquelles peut accéder un utilisateur donné.
e
Contrôler les droits d’accès utilisateurs.
L’accès à l’information et aux fonctions d’application système sont restreint conformément à Niveau 2 : L'action est réalisée quelques
Contrôler les droits d’accès à d’autres applications.
la politique de contrôle d’accès Limiter les informations contenues dans les éléments de sortie.
Isoler les applications, les données des applications ou les systèmes sensibles par des contrôles d’accès physiques ou
logiques.
Mesure 36
Il convient ;
De choisir une technique d’authentification permettant de vérifier l’identité déclarée par l’utilisateur. Lorsque le niveau
d’authentification est élevé, il est recommandé d’utiliser des méthodes d’authentification autres que le mot de passe.
Lorsque la politique de contrôle d’accès l’exige, l’accès aux systèmes et aux applications Niveau 3 : L'action est formalisée et
36 Plutôt Vrai 70% Concevoir une procédure de connexion à un système ou application pour réduire le risque d’accès non autorisés.
sont contrôlé par une procédure de connexion sécurisée réalisée.
Mesure 37
Il convient ;
Que le système de gestion des mots de passe impose l’utilisation d’identifiants et de mots de passe individuels et
autorise cet utilisateur de choisir et modifier ses données en tenant compte d’une procédure de confirmation afin de
prendre en considération les erreurs de saisie.
Les systèmes qui gèrent les mots de passe sont interactifs et doivent garantir la qualité des Niveau 4 : L'action est formalisée, réalisée, Aussi ce système doit imposer un choix de mot de passe de qualité et de changer de mot de passe après la première
37 Vrai 100% tracée et améliorée. connexion puis des changements réguliers.
mots de passe
Il doit aussi tenir à jour un enregistrement des anciens mots de passe et de ne jamais afficher les mots de passe à
l’écran lors de leur saisie.
Il doit aussi stocker les fichiers de mots de passe sous une forme protégée à d’autres emplacement que celui des
données d’application système.
Mesure 38
Il convient ;
De séparer les programmes unitaires des logiciels d’application et d’utiliser des procédures d’identification
d’authentification et d’autorisation spécifiques aux programmes unitaires.
De limiter l’emploi des programmes unitaires à un nombre minimal acceptable d’utilisateurs.
D’autoriser une utilisation AD HOC des programmes unitaires et de poser des limites à la disponibilité de ces
L’utilisation des programmes utilitaires permettant de contourner les mesures de sécurité Niveau 3 : L'action est formalisée et
programmes et de journaliser toutes utilisations de ces programmes.
d’un système ou d’une application sont limitée et étroitement contrôlée De définir et documenter les niveaux d’autorisation relatifs aux programmes utilitaires et de désinstaller ou désactiver
tous programmes utilitaires.
De ne pas mettre de programmes unitaires à la disposition des utilisateurs ayant accès à des applications relatives à
des systèmes pour lesquels la séparation des tâches est requise.
Mesure 39
Il convient ;
D’exercer un contrôle strict de l’accès au code source des programmes et aux éléments associés. Ce contrôle peut
prendre la forme d’un stockage centralisé du code, de préférence dans les bibliothèques de programmes sources.
39 L’accès au code source des programmes est restreint Vrai 100% tracée et améliorée. De prendre en compte les lignes directrices nécessaires pour contrôler l’accès aux bibliothèques de programmes
sources.
A
r
S
t
o
A.10 Cryptographie 50% Convaincant et d'améliorer les activités.
i
u
c
s
-l
e
A
A.10.1 Mesures cryptographiques Convaincant 50% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
t
Mesure 40
i
Il convient de ;
c
Prendre en compte l’approche de la direction en ce qui concerne l’utilisation de mesures cryptographiques au sein de
l
l’organisation.
e
Identifier le niveau de protection requis en tenant compte du type, de la puissance et de la qualité de l’algorithme de
Une politique d’utilisation des mesures cryptographiques en vue de protéger l’information est Niveau 4 : L'action est formalisée, réalisée, chiffrement requis.
40 Vrai 100%
élaborée et mise en œuvre tracée et améliorée. Utiliser une technique de chiffrement en vue de protéger les informations transportées sur des appareils amovibles ou
mobiles et de prendre en compte l’approche de gestion des clés.
Tenir compte des rôles et des responsabilités et les normes à adopter pour la mise en œuvre efficace. Ainsi que
l’incidence du chiffrement de l’information dans le cas des mesures reposant sur l’analyse de contenu.
Mesure 41
Il convient ;
Que la politique comporte des exigences de gestion des clés cryptographiques.
Une politique sur l’utilisation, la protection et la durée de vie des clés cryptographiques est Niveau 1 : L'action n'est pas réalisée ou
41 Faux 0% alors de manière très aléatoire.
De sélectionner les algorithmes de chiffrement, la longueur des clés et les pratiques d’utilisation conformément aux
élaborée et mise en œuvre tout au long de leur cycle de vie bonnes pratiques.
De protéger toutes les clés cryptographiques contre tout risque de perte ou de modification. A
S
r
o
t
u
A.11 Sécurité physique et environnementale 62% Convaincant et d'améliorer les activités.
i
s
-c
l
A
A.11.1 Zones sécurisées Convaincant 55% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
re
Mesure 42 t
Il convient ; i
De définir des périmètres de sécurité en fonctions des exigences relatives à la sécurité des actifs. c
Que le périmètre d’un bâtiment ou d’un site abritant des moyens de traitement d’information soit physiquement solide. l
De placer des responsables d’accueil dans ces bâtiments. e
Des périmètres de sécurité sont définis et utilisés pour protéger les zones contenant Niveau 3 : L'action est formalisée et S’il est nécessaire de placer des barrières pour empêcher les accès non autorisés et d’équiper d’une alarme
42 Plutôt Vrai 70%
l’information sensible ou critique et les moyens de traitement de l’information réalisée. l’ensemble des portes-coupe-feu du périmètre de sécurité.
D’installer des systèmes de détection des intrus et de séparer physiquement les moyens de traitement de l’information.
Mesure 43
Il convient ;
De consigner la date et l’heure d’arrivée et de départ des visiteurs et assurer leur encadrement.
Que l’accès aux zones de traitement des données confidentielles n’est autorisé qu’aux responsables.
Les zones sécurisées sont protégées par des contrôles adéquats à l’entrée pour s’assurer Niveau 2 : L'action est réalisée quelques Documenter et mettre à jour régulièrement le système de traçabilité électronique de tous les accès.
43 Plutôt Faux 30%
que seul le personnel autorisé est admis fois de manière informelle. Que les salariés portent des moyens d’identification visibles.
D’accorder un accès limité aux responsables d’assistance technique des tiers.
De mettre à jour régulièrement les droits d’accès aux zones sécurisées.
Mesure 44
Il convient ;
De choisir un emplacement non accessible au public en ce qui concerne les équipements-clés.
Des mesures de sécurité physique aux bureaux, aux salles et aux équipements sont Niveau 2 : L'action est réalisée quelques Que le bâtiment soit discret et donne le minimum d’indications sur les finalités de équipements.
44 Plutôt Faux 30% Que les équipements soient configurés de manière à empêcher la visibilité des informations confidentielles.
conçues et appliquées fois de manière informelle.
Que les répertoires et annuaires téléphoniques internes identifiant les emplacements des moyens de traitement de
l’information confidentielle ne soient pas accessibles sans autorisation.
Mesure 45
Il convient ;
Des mesures de protection physique contre les désastres naturels, les attaques Niveau 3 : L'action est formalisée et
De solliciter les conseils des spécialistes afin d’éviter les dommages causés par les incidents et les catastrophes
45 Plutôt Vrai 70%
malveillantes ou les accidents sont conçues et appliquées réalisée.
naturelles ou d’origine humaine.
Mesure 46
Il convient ;
D’informer le personnel de l’existence de zones sécurisées et d’éviter le travail non supervisé ou encadré dans ces
Niveau 2 : L'action est réalisée quelques zones.
46 Des procédures pour le travail dans les zones sécurisées sont conçues et appliquées. Plutôt Faux 30% fois de manière informelle. De verrouiller physiquement et de contrôler périodiquement les zones sécurisées.
D’interdire tout moyen photographique ou moyen d’enregistrement sauf autorisation.
Mesure 47
Il convient ;
Que l’accès aux zones de chargement ou de livraison n’est possible que pour les personnes autorisées et que ces
zones soient conçues de façon à empêcher l’accès à d’autres zones du bâtiment.
Les points d’accès tels que les zones de livraison et de chargement et les autres points par De sécuriser les portes extérieures de la zone de livraison lorsque les portes intérieures sont ouvertes.
lesquels des personnes non autorisées peuvent pénétrer dans les locaux sont contrôlés et, Niveau 4 : L'action est formalisée, réalisée, De vérifier la présence éventuelle de substances explosives ou chimiques avant qu’elles ne quittent la zone de
si possible, isolé des moyens de traitement de l'information, de facon a eviter les accès non livraison.
autorisés D’enregistrer régulièrement les actifs dès leur arrivée sur le site et de séparer les livraisons des expéditions. S
De vérifier la présence d’altérations survenues et prévenir immédiatement le personnel de sécurité de toute découverte o
de ce type. u
s
-
A
A.11.2 Matériels Convaincant 70% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
t
Mesure 48
i
Il convient ;
c
De déterminer un emplacement pour le matériel permettant de réduire au minimum les accès inutiles aux zones de
l
travail.
e
De positionner avec soin les moyens de traitement des informations.
De sécuriser les moyens de stockage et de protéger tous les éléments qui nécessitent une protection particulaire.
Les matériels sont localisés et protégés de manière à réduire les risques liés à des menaces Niveau 2 : L'action est réalisée quelques D’adopter des mesures visant de réduire au minimum les risques des menaces physiques.
48 Plutôt Faux 30% De fixer des directives sur le fait de manger, boire et fumer à proximité des moyens de traitement de l’information et de
et des dangers environnementaux et les possibilités d’accès non autorisé fois de manière informelle.
surveiller les conditions ambiantes comme la température et l’humidité.
De protéger les moyens de traitement des informations confidentielles.
D’équiper le bâtiment d’un paratonnerre et d’envisager des méthodes spéciales de protection pour le matériel.
Mesure 49
Il convient ;
Que les services généraux Soient conformes aux spécifications du fabriquant du matériel et aux exigences locales.
Les matériels sont protégés des coupures de courant et autres perturbations dues à une Niveau 4 : L'action est formalisée, réalisée,
49 Vrai 100% D’évaluer et examiner régulièrement ces services pour assurer leur bon fonctionnement.
défaillance des services généraux tracée et améliorée.
Que les services généraux soient équipés si nécessaire d’alarmes de détection de dysfonctionnement et qu’ils
disposent d’alimentations multiples s’il est nécessaire.
Mesure 50
Il convient de sécuriser le câblage ;
D’enterre les lignes électriques et les lignes de télécommunication branchées aux moyens de traitement de
Les câbles électriques ou de télécommunication transportant des données ou supportant les Niveau 4 : L'action est formalisée, réalisée, l’information.
50 Vrai 100%
services d’information sont protégés contre toute interception ou tout dommage tracée et améliorée. De séparer ces deux types de câblage afin d’éviter toute interférence.
Prendre en considération des mesures supplémentaires pour les systèmes sensibles ou critiques.
Mesure 51
Il convient ;
D’entretenir le matériel selon les spécifications indiquées et que cette opération soit réalisée par un seul personnel
Les matériels sont entretenus correctement pour garantir leur disponibilité permanente et Niveau 2 : L'action est réalisée quelques autorisé.
51 Plutôt Faux 30% fois de manière informelle. De documenter toutes les pannes rencontrées ou potentielles.
leur intégrité
De bien planifier les interventions sur le matériel et de respecter toutes les exigences de maintenance.
D’inspecter le matériel réparé avant de le remettre en marche.
Mesure 52
Il convient ;
D’identifier clairement les salariés et les tiers qui ont autorisé le retrait des actifs du site.
Les matériels, les informations ou les logiciels des locaux de l’organisation ne sortent pas Niveau 4 : L'action est formalisée, réalisée,
De fixer des limites dans le temps pour faire sortir ces actifs et leurs dates de retour.
52 Vrai 100%
sortir sans autorisation préalable tracée et améliorée.
D’enregistrer la sortie des actifs et leurs retours dans les locaux de l’organisation.
De documenter l’identité et la fonction de toute personne qui manipule les actifs.
Mesure 53
Il convient ;
De ne pas laisser le matériel et les supports de données sortis des locaux sans surveillance.
Des mesures de sécurité sont appliquées aux matériels utilisés hors des locaux de Niveau 3 : L'action est formalisée et D’observer les instructions du fabricant pour protéger le matériel.
l’organisation en tenant compte des différents risques associés au travail hors site De déterminer les mesures pour les remplacements de travail hors site.
Tenir à jour un journal de circulation du matériel entre les personnes ou entre tiers en dehors de l’organisation.
Mesure 54
Tous les composants des matériels contenant des supports de stockage sont vérifiés pour Il convient de réduire les supports physiques contenant des informations confidentielles ou protégés par le droit
s’assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a Niveau 3 : L'action est formalisée et d’auteur.
54 Plutôt Vrai 70%
bien été désinstallé ou écrasé de façon sécurisée, avant leur mise au rebut ou leur réalisée.
réutilisation
Mesure 55
Il convient ;
De fermer les sessions actives après avoir terminé le travail sauf si ces sessions sont sécurisées par un mécanisme de
Les utilisateurs s'assurent que les matériels non surveillés sont dotés d’une protection Niveau 2 : L'action est réalisée quelques verrouillage approprié.
55 Plutôt Faux 30% fois de manière informelle. De se déconnecter des applications ou du réseau lorsque les utilisateurs n’ont plus besoin.
appropriée
De protéger les ordinateurs ou les appareils mobiles par des mots de passe contre toutes utilisations non autorisées.
Mesure 56
Il convient ;
De mettre les informations sensibles ou critiques de l’organisation dans un coffre-fort ou toute autre meuble de
Une politique du bureau propre pour les documents papier et les supports de stockage sécurité.
56 amovibles, et une politique de l’écran verrouillé pour les moyens de traitement de Vrai 100% tracée et améliorée. De déconnecter ou verrouiller les ordinateurs lorsqu‘ils sont laissés sans surveillance.
l’information sont adoptées D’empêcher l’utilisation non autorisée des photocopieurs ou autre type d’appareils de reproduction et de retirer
immédiatement des imprimantes les documents contenant des informations sensibles.
A
S
ro
tu
A.12 Sécurité liée à l’exploitation 70% Convaincant et d'améliorer les activités.
is
c
-
lA
A.12.1 Procédures et responsabilités liées à l’exploitation Convaincant 60% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités. e
r
Mesure 57 t
Il convient ; i
De préciser l’installation et la configuration des systèmes et le traitent automatisé ou manuel ainsi que le sauvegarde c
de l’information. l
De prendre en compte les exigences de planification et les instructions pour gérer les erreurs ou les conditions e
exceptionnels.
Les procédures d’exploitation sont documentées et mises à disposition de tous les Niveau 3 : L'action est formalisée et De bien gérer les relations avec les assistants techniques et la hiérarchie ainsi que les instructions particulières sur la
utilisateurs concernés manipulation des supports.
De bien définir la procédure de redémarrage et de récupération de système à appliquer en cas de défaillance du
système.
D’assurer la gestion du système de traçabilité et de l’information des journaux système ainsi que la surveillance des
procédures.
Mesure 58
Il convient de prendre en compte ;
L’identification et la consignation des changements significatifs.
La planification des changements et de la phase de test ainsi que l’appréciation des incidences potentielles de ces
changements.
Les changements apportés à l’organisation, aux processus métier, aux systèmes et moyens
Niveau 3 : L'action est formalisée et La procédure d’autorisation formelle des changements proposés et la vérification des respects des exigences de
58 de traitement de l’information ayant une incidence sur la sécurité de l’information sont Plutôt Vrai 70% réalisée. sécurité de l’information.
contrôlés
La transmission des informations détaillées sur les changements apportés à toutes les personnes concernées et les
procédures de repli.
La mise en place maitrisée d’un processus de modification d’urgence.
Mesure 59
Il convient ;
De supprimer les données obsolètes.
L’utilisation des ressources sont surveillée et ajustée et des projections sur les Niveau 4 : L'action est formalisée, réalisée, De mettre hors service, d’applications, de systèmes, de bases de données ou d’environnements ;
59 Vrai 100% tracée et améliorée. Optimiser des traitements par lots et de planification
dimensionnements futurs sont effectuées pour garantir les performances exigées du système
Optimiser la logique des applications ou des requêtes de bases de données.
De refuser les services gourmands en ressources ou limitation de bande passante.
Mesure 60
Il convient ;
De définir et documenter les règles concernant le passage des logiciels
Exécuter les logiciels de développement et les logiciels d’exploitation sur des systèmes informatiques différents.
De tester les modifications apportées aux systèmes et aux applications en exploitation dans un environnement de test
ou de production avant l’application aux système en exploitation.
Les environnements de développement, de test et d’exploitation sont séparés pour réduire Niveau 1 : L'action n'est pas réalisée ou De ne pas procéder à des tests sur des systèmes d’exploitation en dehors de circonstances exceptionnelles.
60 Faux 0%
les risques d’accès ou de changements non autorisés dans l’environnement en exploitation alors de manière très aléatoire.
Pas d’accès aux compilateurs ou éditeurs à partir des systèmes en exploitation que si nécessaire.
Utiliser des profils utilisateurs différents pour les systèmes en exploitation et les systèmes de test. S
De ne pas copier des données sensibles dans l’environnement de test. o
u
s
-
A
A.12.2 Protection contre les logiciels malveillants Convaincant 70% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
Mesure 61 t
Il convient : i
D’établir une politique formelle prohibant l’utilisation des logiciels non autorisés. c
Etablir une procédure de contrôle pour empêcher ou détecter l’utilisation de logiciels non autorisés ou sites web l
connus pour leur malveillance. e
Mettre en œuvre une politique de protection contre les risques liés aux fichiers et logiciels issus des réseaux externes.
De réduire les vulnérabilités aux logiciels malveillants et mener des revues régulières des logiciels et de contenu des
Les environnements de développement, de test et d’exploitation sont séparés pour réduire Niveau 3 : L'action est formalisée et données des systèmes.
61 Plutôt Vrai 70%
les risques d’accès ou de changements non autorisés dans l’environnement en exploitation réalisée.
D’installer et mettre à jour les logiciels de détection et de réparation
Définir des procédures de responsabilité de protection du système et établir des plans de continuité des actions.
D’établir des procédures de vérification de l’information en rapport avec les logiciels malveillants et recueillir
S
régulièrement ces informations.
o
D’isoler les environnements au sein desquels les conséquences peuvent s’avérer désastreuses.
u
s
-
A
A.12.3 Sauvegarde Convaincant 70% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
Mesure 62 t
Il convient ; i
De produire des enregistrements exacts et complets des copies de sauvegarde effectuées et des procédures de c
restauration documentées. l
Que l’étendue des sauvegardes et leur fréquence rendent compte des exigences métier et celle relatives à la sécurité e
Des copies de sauvegarde de l’information, des logiciels et des images systèmes sont Niveau 3 : L'action est formalisée et de l’information.
62 Plutôt Vrai 70%
réalisés et testés régulièrement conformément à une politique de sauvegarde convenue réalisée. De placer les sauvegardes dans un endroit distant du site principal et de doter d’un niveau de protection physique et
environnementale cohérents avec les normes appliquées. S
De tester régulièrement les supports de sauvegarde. o
De protéger les sauvegardes en les chiffrant, si le niveau de confidentialité est important. u
s
-
A
A.12.4 Journalisation et surveillance Convaincant 85% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
Mesure 63 t
Des journaux d’événements enregistrant les activités de l’utilisateur, les exceptions, les Il convient que les journaux d’évènements contiennent des informations sur les identifiants des utilisateurs, les i
Niveau 3 : L'action est formalisée et activités du système, les dates et les heures et les détails des évènements significatifs, les enregistrements des c
63 défaillances et les événements liés à la sécurité de l’information sont créés, tenus à jour et Plutôt Vrai 70% réalisée.
vérifiés régulièrement tentatives d’accès, les modifications apportées à la configuration du système et l’utilisation des privilèges… l
e
Mesure 64
Il convient ;
Les moyens de journalisation et d’information journalisée sont protégés contre les risques de Niveau 4 : L'action est formalisée, réalisée, De prendre en considération les altérations des messages enregistrés.
64 Vrai 100% tracée et améliorée. De prendre en compte la modification ou la suppression des fichiers journaux
falsification ou d’accès non autorisé
De prendre en compte le dépassement de la capacité du support de stockage du fichier journal.
Mesure 65
Les activités de l’administrateur système et de l’opérateur système sont journalisées, Niveau 3 : L'action est formalisée et Il convient ;
65 Plutôt Vrai 70% réalisée. De protéger et revoir les journaux afin de garantir l’imputabilité des utilisateurs dotés de privilèges.
protégées et vérifiées régulièrement
Mesure 66 S
Les horloges de l’ensemble des systèmes de traitement de l’information concernés d’une Il convient ; o
66 organisation ou d’un domaine de sécurité sont synchronisées sur une source de référence Vrai 100% tracée et améliorée.
De documenter les exigences internes et externes liées à la représentation de l’heure, la synchronisation et la u
temporelle unique précision. s
De documenter et de mettre en œuvre la méthode utilisée par l’organisation pour obtenir une heure de référence. -
A
A.12.5 Maîtrise des logiciels en exploitation Convaincant 70% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
Mesure 67 t
Il convient de prendre en considération ; i
La mise à jours du logiciel en exploitation. c
Que les systèmes en exploitation ne contiennent que des codes exécutables. l
De mettre en œuvre que les applications et les logiciels donnant une satisfaction lors des tests. e
Des procédures sont mises en œuvre pour contrôler l’installation de logiciel sur des Niveau 3 : L'action est formalisée et D’utiliser un système de contrôle des configurations et mettre en place une stratégie de retour en arrière avant
systèmes en exploitation d’appliquer des modifications.
Tenir à jour un journal d’audit et de conserver les versions antérieures du logiciel d’application à titre de mesure de S
secours. o
Archiver les versions antérieures des logiciels. u
s
-
A
A.12.6 Gestion des vulnérabilités techniques Convaincant 70% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
Mesure 68 t
Il convient ; i
Des informations sur les vulnérabilités techniques des systèmes d’information en exploitation De disposer d’un inventaire des actifs, exhaustif à jour. c
68 sont obtenues en temps opportun, l’exposition de l’organisation à ces vulnérabilités est Plutôt Vrai 70% réalisée. Que l’information spécifique nécessaire à la gestion des vulnérabilités techniques comporte le nom de l’éditeur du l
évaluée et les mesures appropriées sont prises pour traiter le risque associé logiciel, les numéros de version, l’état de déploiement et le nom de la personne responsable du logiciel au sein de e
l’organisation.
Mesure 69
Il convient ; S
Des règles régissant l’installation de logiciels par les utilisateurs sont établies et mises en Niveau 3 : L'action est formalisée et D’imposer une politique stricte sur le type de logiciel que les utilisateurs peuvent installer. o
69 Plutôt Vrai 70%
œuvre réalisée. D’appliquer le principe de moindre privilège. L’organisation détermine le type des logiciels autorisés à installer. u
D’accorder des privilèges en tenant compte des fonctions des utilisateurs concernés. s
-
A
A.12.7 Considérations sur l’audit des systèmes d’information Convaincant 70% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
Mesure 70 t
Il convient ; i
D’arrêter avec la direction concernée les exigences d’audit liées aux systèmes et aux données. c
D’arrêter le domaine d’application des tests techniques d’audits et de le contrôler. l
De limiter les tests d’audit à un accès en lecture seule des logiciels et des données et que l’accès autres qu’en lecture e
Les exigences et activités d’audit impliquant des vérifications sur des systèmes en Niveau 3 : L'action est formalisée et
seule ne soient autorisés que pour des copies séparées des fichiers système.
exploitation sont prévues avec soin et validées D’identifier et arrêter les exigences relatives aux traitements particuliers ou supplémentaires et que les tests d’audit
pouvant compromettre la disponibilité du système soient réalisés en dehors des heures de travail.
De contrôler et journaliser tous les accès pour que la traçabilité fasse référence.
A
S
r
o
t
Conformité de niveau 3 : Il est nécessaire de tracer u
A.13 Sécurité des communications 78% Convaincant et d'améliorer les activités.
i
s
c
-l
A
e
A.13.1 Gestion de la sécurité des réseaux Conforme 90% Conformité de niveau 4 : BRAVO ! Maintenez et communiquez vos résultats.
r
t
Mesure 71 i
Il convient ; c
De définir les responsabilités et les procédures de gestion de l’équipement réseau. l
De séparer la responsabilité d’exploitation des réseaux et celle de l’exploitation des ordinateurs. e
De définir des mesures spéciales pour préserver la confidentialité et l’intégrité des données transmises sur les réseaux
publics ou sans fil.
Les réseaux sont gérés et contrôlés pour protéger l’information contenue dans les systèmes Niveau 3 : L'action est formalisée et D’assure une journalisation et une surveillance appropriées permettant de détecter les actions susceptibles d’affecter la
et les applications sécurité de l’information. Et de coordonner étroitement les activités de gestion à la fois pour optimiser le service fourni
à l’organisation et pour s’assurer que les mesures sont appliquées d’une façon homogène.
D’authentifier les systèmes sur le réseau et limiter la connexion de systèmes réseaux.
Mesure 72
Il convient ;
Pour tous les services de réseau, les mécanismes de sécurité, les niveaux de service et les De surveiller régulièrement la capacité du fournisseur de services de réseau à gérer ses services de façon sécurisée et
72 exigences de gestion, sont identifiés et intégrés dans les accords de services de réseau, Vrai 100% tracée et améliorée. conclure un contrat de droit de l’auditer.
que ces services soient fournis en interne ou externalisés D’identifier les dispositions de sécurité nécessaire à des services en particulier.
Mesure 73
Il convient ;
De mettre en œuvre une méthode de management de la sécurité des grands réseaux consister à les diviser en
domaines séparés.
Les groupes de services d’information, d’utilisateurs et de systèmes d’information sont Niveau 4 : L'action est formalisée, réalisée,
De bien définir et contrôler le niveau du périmètre de chaque domaine.
73 Vrai 100% De déterminer les critères de cloisonnement des réseaux en domaines et l’accès autorisé au-delà des passerelles en
cloisonnés sur les réseaux tracée et améliorée.
s’appuyant sur une appréciation des exigences de sécurité propre à chaque domaine. Et que cette appréciation soit S
conforme avec la politique du contrôle d’accès. o
De veiller à traiter l’ensemble des accès sans fil comme des connexions externes. u
s
-
A
A.13.2 Transfert de l’information Convaincant 67% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
Mesure 74 t
Il convient ; i
De prendre en compte les procédures conçues pour protéger l’information contre la reproduction, l’interception, la c
modification… l
De prendre en compte les procédures de détection et de protection contre les logiciels malveillants ainsi que les e
procédures de protection de l’information électronique sensible.
D’établir une politique ou des directives décrivant l’utilisation acceptable des équipements de communication.
De prendre en considération les responsabilités incombant aux salariés et aux tiers des utilisateurs de ne pas
Des politiques, des procédures et des mesures de transfert formelles sont mises en place compromettre l’organisation.
74 pour protéger les transferts d’information transitant par tous types d’équipements de Vrai 100% tracée et améliorée. De prendre en compte l’utilisation des techniques de cryptographie et des directives de la conservation de toutes les
communication correspondances commerciales. Ainsi que les mesures et les restrictions liées à l’utilisation des équipements de
communication.
De rappeler le personnel de prendre précautions pour ne pas divulguer l’information confidentielle.
De ne pas laisser des messages contenant des informations sensibles sur les répondeurs.
De rappeler le personnel des problèmes liés à l’utilisation du télécopieur.
Mesure 75
Il convient ;
De tenir compte des responsabilités de gestion pour le contrôle et l’information de la transmission, de la répartition et
de la réception.
De mettre en œuvre des procédures pour garantir la traçabilité de la non-répudiation ainsi que les normes techniques
minimales pour l’encapsulation et la transmission.
De prendre en compte les accords de séquence, les normes d’identification coursiers ainsi que les obligations et les
Des accords traitent du transfert sécurisé de l’information liée à l’activité entre l’organisation Niveau 2 : L'action est réalisée quelques responsabilités en cas d’incidents lié à la sécurité de l’information.
et les tiers. D’utiliser un système de marquage pour l’information sensible ou critique.
D’utiliser des normes techniques pour lire et enregistrer les informations des logiciels.
De tenir compte de toutes mesures particulières pouvant s’avérer nécessaires pour protéger les pièces sensibles et
tenir à jour la traçabilité de contrôle d’accès.
De maintenir des niveaux acceptables de contrôle d’accès.
Mesure 76
Il convient ;
D’assure une protection des messages contre tout accès non autorisé et de garantir une bonne qualité d’adressage et
du transport de message.
Niveau 3 : L'action est formalisée et D’assurer la disponibilité et la fiabilité du service et de respecter les exigences en matière de signature numérique.
76 L’information transitant par la messagerie électronique est protégée de manière appropriée Plutôt Vrai 70% réalisée.
D’obtenir une autorisation avant d’utiliser des services externes publics.
De maintenir des niveaux plus élevés d’authentification.
Mesure 77
Il convient que les modalités des engagements de confidentialité ou de non-divulgation spécifient des exigences de
Les exigences en matière d’engagements de confidentialité ou de non-divulgation, sont protection de l’information confidentielle.
77 identifiées, vérifiées régulièrement et documentées conformément aux besoins de Plutôt Vrai 70% réalisée. Il convient de sélectionner ou d’ajouter des éléments en tenant compte de la catégorie du tiers et des accès ou du
l’organisation traitement de l’information confidentielle acceptables pour sa catégorie.
A
S
r
o
t
u
Conformité de niveau 4 : BRAVO ! Maintenez et
A.14 Acquisition, développement et maintenance des systèmes d’information 90% Conforme communiquez vos résultats.
i
s
-c
l
A
A.14.1 Exigences de sécurité applicables aux systèmes d’information Conforme 100% Conformité de niveau 4 : BRAVO ! Maintenez et communiquez vos résultats.
re
Mesure 78 t
Il convient ; i
D’identifier les exigences liées à la sécurité de l’information en utilisant différentes méthodes. c
Les exigences liées à la sécurité de l’information sont intégrées aux exigences des nouveaux Niveau 4 : L'action est formalisée, réalisée,
78 Vrai 100% Que les exigences de sécurité de l’information et les mesures rendent compte de la valeur de l’information concernée. l
systèmes d’information ou des améliorations de systèmes d’information existants tracée et améliorée.
e
D’intégrer l’identification de la gestion des exigences de la sécurité de l’information.
Mesure 79
Il convient de prendre en compte ;
Le niveau de confiance requis pour chaque partie en ce qui concerne l’identité déclarée des autres.
Les processus d’autorisation d’approuver le contenu.
Les informations liées aux services d’application transmises sur les réseaux publics sont L’assurance que les parties prenantes sont informées des autorisations.
79 protégées contre les activités frauduleuses, les différents contractuels, ainsi que la Vrai 100%
Niveau 4 : L'action est formalisée, réalisée, La détermination et la satisfaction des exigences en matière de confidentialité.
tracée et améliorée. Le niveau de confiance requis concernant l’intégrité des données et les exigences de protection de l’information
divulgation et la modification non autorisées
confidentielle.
Les responsabilités, le degré de vérification adéquat pour le contrôle, la confidentialité et l’intégrité de toutes les
transactions…
Mesure 80
Il convient ;
D’utiliser des signatures électroniques par chacune des parties impliquées dans la transaction.
Les informations impliquées dans les transactions liées aux services d’application sont De prendre en compte l’ensemble des aspects de la transaction et que le canal de communication entre toutes les
protégées pour empêcher une transmission incomplète, des erreurs d’acheminement, la Niveau 4 : L'action est formalisée, réalisée, parties impliquées soit chiffré.
80 Vrai 100% S
modification non autorisée, la divulgation non autorisée, la duplication non autorisée du tracée et améliorée. De tenir compte que les protocoles utilisés pour la communication entre les parties sont sécurisés.
message ou sa réémission De tenir compte de l’importance du stockage des détails de transaction. o
D’intégrer la sécurité tout le long des processus de gestion, si l’autorité de confiance est utilisée. u
s
-
A
A.14.2 Sécurité des processus de développement et d’assistance technique Conforme 100% Conformité de niveau 4 : BRAVO ! Maintenez et communiquez vos résultats.
r
Mesure 81 t
Il convient ; i
De sécuriser l’environnement de développement. c
De tenir compte des recommandations liées à la sécurité dans le cycle de vie du développement logiciel. l
De tenir compte des exigences de sécurité dans la phase de conception et d’assurer les points de contrôle de la e
Des règles de développement des logiciels et des systèmes sont établies et appliquées aux Niveau 4 : L'action est formalisée, réalisée,
81 Vrai 100% tracée et améliorée. sécurité aux différentes étapes clés du projet.
développements de l’organisation
De tenir compte des référentiels sécurisés et aux sécurité liée au contrôle des versions.
De tenir compte des connaissances requises en matière de sécurité de l’application et des capacités des développeurs
dans la maitrise des risques.
Mesure 82
Il convient ;
De tenir à jour l’enregistrement des niveaux d’autorisations accordées et de veiller sur propositions de changement.
D’identifier les logiciels et les éléments qui nécessitent des changements et revoir les commandes des procédures
d’intégrité.
D’obtenir un accord formel pour des propositions détaillées.
D’assurer que les utilisateurs acceptent les changements.
Les changements des systèmes dans le cadre du cycle de développement sont contrôlés par Niveau 4 : L'action est formalisée, réalisée, D’identifier un code de sécurité critique pour réduire au minimum la probabilité des risques liés à la faille de sécurité
le biais de procédures formelles connue.
De mettre à jour les documents systèmes et tenir un contrôle de version pour toutes les mises à jour logicielles ainsi
que de tenir à jour un système de traçabilité de toutes les demandes de changement.
De veiller sur les documentations du système d’exploitation et les programmes de mise en œuvre des changements.
Mesure 83
Il convient ;
Lorsque des changements sont apportés aux plateformes d’exploitation, les applications De tenir compte des procédures de contrôle de l’intégrité des applications.
83 critiques métier sont vérifiées et testées afin de vérifier l’absence de tout effet indésirable sur Vrai 100% tracée et améliorée. De Veiller à ce que les changements apportés à la plateforme d’exploitation soient notifiés en temps opportun.
l’activité ou sur la sécurité De veiller à ce que les plans de continuité de l’activité soient modifiés en conséquence.
Mesure 84
Il convient de tenir compte ;
Du risque de compromettre les commandes intégrées et les processus de vérification de l’intégrité.
Les modifications des progiciels ne sont pas encouragées, sont limitées aux changements Niveau 4 : L'action est formalisée, réalisée,
Du consentement de l’éditeur.
84 Vrai 100% tracée et améliorée. La possibilité d’obtenir des changements souhaités.
nécessaires et tout changement est strictement contrôle
Les conséquences du changement effectué par l’organisation sur un logiciel en matière de maintenance.
La compatibilité avec d’autres logiciels en service.
Mesure 85
Il convient d’établir, de documenter et d’appliquer des procédures d’ingénierie de la sécurité de l’information.
Il convient de revoir régulièrement les principes de ces procédures et de s’assurer qu’elles contribuent à l’amélioration
des normes de sécurité de l’information.
Des principes d’ingénierie de la sécurité des systèmes sont établis, documentés, tenus à jour Niveau 4 : L'action est formalisée, réalisée,
Il convient d’appliquer ces principes par le biais de contrats et autres accords passés entre l’organisation et d’autres
et appliqués à tous les travaux de mise en œuvre des systèmes d’information prestataires. Et que l'organisation confirme que ces principes externalisés ont la même rigueur que ses propres
principes,
Mesure 86
De la sensibilité des données à traiter, stocker et transférer par le système.
Des exigences internes applicables
Des mesures de sécurité mises en œuvre
L'organisations a établie des environnements de développement sécurisés pour les tâches Du niveau des fiabilités du personnel
Niveau 4 : L'action est formalisée, réalisée, Du degré d’externalisation associé au développement logiciel.
86 de développement et d’intégration du système, qui englobe l’intégralité du cycle de vie du Vrai 100% tracée et améliorée.
développement du système, et en assurer la protection de manière appropriée La nécessité d’opérer un cloisonnement entre différents environnements de développement.
Du contrôle de l’accès au environnement de développement.
De la surveillance des changements apportés et des stockages des sauvegardes à des emplacements sécurisés hors
site.
Du contrôle des déplacements de données de l’environnement et vers l’environnement.
Mesure 87
Il convient de prendre en considération ;
La fourniture du modèle approuvé des menaces.
Niveau 4 : L'action est formalisée, réalisée, Les tests de conformité, les exigences contractuelles relatives à la conception sécurisée, les accords de licence, la
87 L'organisation supervise et contrôle l’activité de développement du système externalisée Vrai 100% tracée et améliorée. communication des preuves, les accords de séquestre, les droits contractuels et les documentations efficaces.
L’organisation doit s’engager d’être responsable de la vérification de l’efficacité des mesures.
Mesure 88
Il convient que les tests soient réalisés par l’équipe de développement dès le début ensuite il est nécessaire de faire
88 Les tests de fonctionnalité de la sécurité sont réalisés pendant le développement Vrai 100% tracée et améliorée. des tests de conformité indépendants pour garantir que le système fonctionne comme prévu.
Il convient que l’étendue du programme de test soit cohérent avec l’importance de la nature du système.
Mesure 89
Il convient que les tests de conformité du système vérifient les exigences liées à la sécurité de l’information et le
respect des pratiques de développement.
Des programmes de test de conformité et des critères associés sont déterminés pour les Niveau 4 : L'action est formalisée, réalisée, Il convient que ces tests soient menés sur les systèmes intégrés et les composants reçus. S
89 Vrai 100% tracée et améliorée. o
nouveaux systèmes d’information, les mises à jour et les nouvelles versions Il convient que l’organisme se charge de vérifier les défauts liés à la sécurité.
Il convient aussi de réaliser les tests dans un environnement réaliste. u
s
-
A
A.14.3 Données de test Convaincant 70% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
Mesure 90 t
Niveau 3 : L'action est formalisée et Il convient d’éviter l’utilisation des données d’exploitation contenant des informations personnelles ou confidentielles. i
90 Les données de test sont sélectionnées avec soin, protégées et contrôlées Plutôt Vrai 70% réalisée. Il convient de supprimer tous les détails et contenus sensibles ou de les modifier. c
l
A
e
r
t
A.15 Sécurité liée à l’exploitation 60% Convaincant et d'améliorer les activités.
i
c
l
e
S
o
u
s
-
A
A.15.1 Sécurité dans les relations avec les fournisseurs Convaincant 70% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
Mesure 91 t
Il convient de convenir avec le fournisseur les exigences de sécurité de l’information pour maitriser les risques d’accès i
aux documentations internes. c
Des exigences de sécurité de l’information pour limiter les risques résultant de l’accès des Niveau 3 : L'action est formalisée et Il convient d’établir une politique efficace en ce qui concerne le droit d’accès du fournisseur aux données de l
fournisseurs aux actifs de l’organisation sont acceptées par le fournisseur et documentées l’organisation. e
Il convient que cette politique tienne compte des processus et des procédures mis en œuvre par l’organisation.
Mesure 92
Il convient de rédiger et documenter des accords avec le fournisseur afin d’éviter le malentendu et d’assurer
l’engagement des deux parties.
La description de l’information à fournir, les classifications de ces informations, les exigences légales et réglementaires,
Les exigences applicables liées à la sécurité de l’information sont établies et convenues les obligations pour chaque partie, les règles d’utilisation acceptable de l’information, la liste explicite des salariés du
Niveau 3 : L'action est formalisée et fournisseur autorisés à l’accès de l’information, les politiques de sécurité, les règlements de sous-traitants, les
92 avec chaque fournisseur pouvant accéder, traiter, stocker, communiquer ou fournir des Plutôt Vrai 70% réalisée.
composants de l’infrastructure informatique destinés à l’information de l’organisation partenaires signataires de l’accord, les exigences de formation et sensibilisation, les exigences de sélection des
salariés du fournisseur, le droit d’auditer les processus et les mesures de sécurité du fournisseur, les processus de
résolution des défauts, l’obligation en matière des rapports fournisseur et les obligation du fournisseur à se conformer
aux exigences de sécurité de l’organisation.
Mesure 93
Des définitions des exigences de sécurité de l’information lors de l’achat des produits.
Les obligations fournisseur de diffuser les exigences de sécurité et les pratiques de sécurité jusqu’au dernier maillon
de la chaîne d’approvisionnement.
Les accords conclus avec les fournisseurs incluent des exigences sur le traitement des La mise en œuvre des processus de surveillance et les processus d’identification des composants d’un produit ou d’un
93 risques liés à la sécurité de l’information associé à la chaîne d’approvisionnement des Plutôt Vrai 70% réalisée. service critiques.
produits et des services informatiques La garantie du traçage des origines des composants critiques S
La définition des règles de partage de l’information concernant la chaîne d’approvisionnement. o
La mise en œuvre des processus spécifiques de gestion de cycle de vie des composants informatiques. u
s
-
A
A.15.2 Gestion de la prestation du service Convaincant 50% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
Mesure 94 t
Il convient ; i
De surveiller les niveaux de performance des services et leur conformité. c
De revoir les rapports de service produits par le fournisseur l
De mener des audits des fournisseurs conjointement à la revue des audits indépendants. e
L'organisation surveille, vérifie et audite à intervalles réguliers la prestation des services Niveau 2 : L'action est réalisée quelques
De fournir l’information relative aux incidents liés à la sécurité de l’information.
94 Plutôt Faux 30% fois de manière informelle. De revoir les systèmes de traçabilité et des enregistrements du fournisseur en ce qui concerne ses activités liées à la
assurés par les fournisseurs
sécurité de l’information.
De résoudre les problèmes identifiés et revoir les aspects liés à la sécurité de l’information dans les relations avec le
fournisseur.
D’assurer que le fournisseur maintient une capacité de service suffisante.
Mesure 95
Les changements effectués dans les prestations de service des fournisseurs, comprenant le Les changements apportés aux accords passés avec le fournisseur.
maintien et l’amélioration des politiques, procédures et mesures existant en matière de Niveau 3 : L'action est formalisée et Les changements effectués par l’organisation (nouvelles mesures, développement d’application, mise à jour des
95 Plutôt Vrai 70%
sécurité de l’information, sont gérés en tenant compte du caractère critique de l’information, réalisée. politiques…)
des systèmes et des processus concernés et de la réappréciation des risques Les changements au niveau des services fournisseur (utilisation des nouvelles technologies, la sous-traitance…)
A
S
r
o
t
u
A.16 Relations avec les fournisseurs 71% Convaincant et d'améliorer les activités.
i
s
-c
l
A
A.16.1 Gestion des incidents liés à la sécurité de l’information et améliorations Convaincant 71% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
re
Mesure 96 t
Il convient de tenir compte ; i
Des procédures de planification, les procédures des surveillances, les procédures de journalisation des activités de c
Des responsabilités et des procédures permettant de garantir une réponse rapide, efficace et Niveau 4 : L'action est formalisée, réalisée,
96
pertinente sont établies en cas d’incident lié à la sécurité de l’information
Vrai 100% tracée et améliorée. gestion des incidents, les procédures de traitement des preuves scientifiques, les procédures d’appréciation et de prise l
de décision et les procédures de réponse. e
Mesure 97
Il convient d’informer tous les salariés de leurs obligations de signaler les évènements liés à la sécurité de
Les événements liés à la sécurité de l’information sont signalés dans les meilleurs délais par Niveau 4 : L'action est formalisée, réalisée, l’information dans les meilleurs délais.
les voies hiérarchiques appropriées. Il convient d’établir une procédure de signalement de ces évènements.
Mesure 98
Les salariés et les sous-traitants utilisant les systèmes et services d’information de Il convient que les salariés signalent les problèmes au responsable de point de contact dans les meilleurs délais pour
Niveau 3 : L'action est formalisée et éviter les incidents de sécurité de l’information.
98 l’organisation notent et signalent toute faille de sécurité observée ou soupçonnée dans les Plutôt Vrai 70% réalisée.
systèmes ou services Il convient que le mécanisme de signalement soit simple, accessible et disponible dès que possible.
Mesure 99
Il convient que les responsables servant le point de contact apprécient chaque évènement lié à la sécurité de
Les événements liés à la sécurité de l’information sont appréciés et il est décidé s’il faut les Niveau 3 : L'action est formalisée et l’information. Dans ce cas, la classification et la hiérarchisation des incidents peuvent permettre d’identifier les
99 Plutôt Vrai 70% conséquences de l’étendue d’un incident.
classer comme incidents liés à la sécurité de l’information réalisée.
Il convient d’enregistrer les conclusions de l’appréciation et la décision de manière détaillée.
Mesure 100
Il convient que la réponse comporte ;
Les incidents liés à la sécurité de l’information sont traités conformément aux procédures Niveau 4 : L'action est formalisée, réalisée, Le recueil des preuves, une analyse scientifique de la sécurité de l’information, une remontée d’informations,
100 Vrai 100% l’assurance de la journalisation des tâches liées à la réponse, la communication des incidents, le traitement des failles
documentées tracée et améliorée.
constatées et la clôture formelle de l’incident et son enregistrement.
Mesure 101
Il convient ;
Les connaissances recueillies suite à l’analyse et la résolution d’incidents sont utilisées pour Niveau 2 : L'action est réalisée quelques De mettre en œuvre un mécanisme permettant de quantifier et surveiller les différents types d’incidents liés à la
101 Plutôt Faux 30% sécurité de l’information.
réduire la probabilité ou l’impact d’incidents ultérieurs. fois de manière informelle.
De se servir de l’information recueillie lors de l’analyse de ces incidents.
Mesure 102
La chaîne de traçabilité, la sécurité des preuves, la sécurité du personnel, les fonctions du personnel impliqué et ses
L’organisation définie et applique des procédures d’identification, de collecte, d’acquisition et Niveau 2 : L'action est réalisée quelques aptitudes, la documentation et les séances d’information.
102 Plutôt Faux 30%
de protection de l’information pouvant servir de preuve fois de manière informelle. Il convient de rechercher les certifications de la quantification du personnel et de tenir compte des exigences des
diverses juridictions.
A
S
r
o
t
Conformité de niveau 3 : Il est nécessaire de tracer u
A.17 Sécurité de l’information dans la gestion de la continuité de l’activité 70% Convaincant et d'améliorer les activités.
i
s
c
-l
A
e
A.17.1 Continuité de la sécurité de l’information Convaincant 70% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
t
Mesure 103 i
L’organisation détermine ses exigences en matière de sécurité de l’information et de Il convient que l’organisme assure l’intégration de processus de sécurité de l’information dans son plan de gestion de c
103 continuité de management de la sécurité de l’information dans des situations défavorables, Plutôt Vrai 70% continuité des activités lors d’un sinistre et de définir les exigences de sécurité de l’information dans ce cas.
réalisée. l
comme lors d’une crise ou d’un sinistre
e
Mesure 104
Il convient que l’organisation s’assure ;
L’organisation établie, documente, met en œuvre et tiens à jour des processus, des De l’existence de gestion adéquate pour se préparer au événements perturbants.
104 procédures et des mesures permettant de fournir le niveau requis de continuité de sécurité Plutôt Vrai 70% réalisée. Le personnel est bien prêt pour gérer ce type de situation.
de l’information au cours d’une situation défavorable L’existence des plans documentés pour répondre à ce type d’incidents.
Mesure 105
L’organisation vérifie les mesures de continuité de la sécurité de l’information mises en Il convient de vérifier la continuité de management de la sécurité de l’information ; S
105 œuvre à intervalles réguliers afin de s’assurer qu’elles sont valables et efficaces dans des Plutôt Vrai 70%
Niveau 3 : L'action est formalisée et En testant les fonctionnalités des processus. o
réalisée. En testant les connaissances et les taches de routine pour l’application de ces processus.
situations défavorables u
En renvoyant la validité et l’efficacité des mesures de continuité. s
-
A
A.17.2 Redondances Convaincant 70% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités.
r
Mesure 106 t
Il convient que l’organisation définisse les exigences de l’activité en matière de disponibilité des systèmes i
Des moyens de traitement de l’information sont mis en œuvre avec suffisamment de Niveau 3 : L'action est formalisée et d’information et de tester ceux qui sont redondants pour s’assurer que le basculement d’un composant à un autre c
106 Plutôt Vrai 70% l
redondances pour répondre aux exigences de disponibilité réalisée.
fonctionne comme prévu.
e
A
S
r
o
t
Conformité de niveau 2 : Il est nécessaire de u
A.18 Conformité 48% Informel pérenniser la bonne exécution des activités.
i
s
c
-
l
A
A.18.1 Conformité aux obligations légales et réglementaires Convaincant 54% Conformité de niveau 3 : Il est nécessaire de tracer et d'améliorer les activités. e
r
Mesure 107 t
Toutes les exigences légales, statutaires, réglementaires et contractuelles en vigueur, ainsi Il convient de définir et documenter les mesures spécifiques et les responsabilités individuelles mises en place pour i
que l’approche adoptée par l’organisation pour satisfaire à ces exigences, sont explicitement Niveau 3 : L'action est formalisée et répondre aux exigences. Et que les responsables identifient toutes les législations applicables à l’organisation. Si c
107 Plutôt Vrai 70% réalisée. l’organisme mène des activités dans d’autres pays, il convient que les responsables étudient la conformité aux règles l
définies, documentées et mises à jour pour chaque système d’information et pour
l’organisation elle-même des pays concernés. e
Mesure 108
Il convient ;
De publier une politique de conformité relative aux droits des propriétés intellectuelles.
De vérifier les sources des logiciels avant de les acquérir.
De maintenir une politique efficace de sensibilisation en matière de protection de l’information.
De tenir à jour les registres des actifs appropriés en matière de protection des droits de propriétés intellectuelles et
conserver leurs preuves tangibles.
De mettre en œuvre des contrôles pour un nombre maximal d’utilisateurs autorisés par licence.
Des procédures appropriées sont mises en œuvre pour garantir la conformité avec les D’effectuer des revues permettant de s’assure que seuls les logiciels autorisés sous licence sont installés.
Niveau 2 : L'action est réalisée quelques De mettre en œuvre une politique de gestion des conditions de licence et une politique de céder des logiciels ou de les
108 exigences légales, réglementaires et contractuelles relatives à la propriété intellectuelle et à Plutôt Faux 30% fois de manière informelle.
l’usage des licences de logiciels propriétaires transmettre à des tiers.
De se conformer aux conditions générales régissant les logiciels et l’information obtenue.
De ne pas reproduire ou convertir dans un autre format ou extraire de l’information à partir d’enregistrements du
commerce.
De ne pas copier, intégralement ou en partie des livres, articles, rapports ou autres documents en dehors de ce qui est
permis par la législation sur les droits d’auteur.
Mesure 109
Il convient ;
D’établir des directives relatives à la conservation, du stockage, à la manipulation et à l’élimination des enregistrements
Les enregistrements sont protégés de la perte, de la destruction, de la falsification, des
accès non autorisés et des diffusions non autorisées, conformément aux exigences légales, Niveau 2 : L'action est réalisée quelques et de l’information.
réglementaires, contractuelles et aux exigences métier D’établir un programme de conservation identifiant les enregistrements et leur durée de conservation.
De tenir à jour un inventaire des sources de l’information clé.
Mesure 110
Il convient ;
La protection de la vie privée et la protection des données à caractère personnel sont De développer et de mettre en œuvre une politique des données de l’organisation et de communiquer cette politique à
Niveau 3 : L'action est formalisée et toutes les personnes impliquées.
110 garanties telles que l’exigent la législation ou les réglementations applicables, et les clauses Plutôt Vrai 70% réalisée.
contractuelles le cas échéant Que l’administrateur conseille les responsables, les utilisateurs et les prestataires de service sur leurs responsabilités
individuelles et que ces responsabilités afférentes au traitement des données.
Mesure 111
Il convient de tenir compte des opérations suivantes ;
Les restrictions en matière d’importation ou d’exportation de matériels ou logiciels destinés à l’exécution des fonctions
Des mesures cryptographiques sont prises conformément aux accords, législation et Niveau 3 : L'action est formalisée et cryptographiques ou intégrant ces fonctions.
réglementations applicables Les restrictions en matière d’utilisation du chiffrement.
Les méthodes non discrétionnaires pour accéder aux informations chiffrés.
S
o
u
s
-
Conformité de niveau 2 : Il est nécessaire de pérenniser la bonne exécution des A
A.18.2 Revue de la sécurité de l’information Informel 43%
activités. r
t
Mesure 112
i
Il convient ;
c
Que la direction instaure une revue indépendante qui est nécessaire pour veiller sur la pérennité de l’applicabilité, de
l
Des revues régulières et indépendantes de l’approche retenue par l’organisme pour gérer et l’adéquation et de l’efficacité de l’approche de l’organisation en matière de sécurité de l’information.
e
mettre en œuvre la sécurité de l’information (à savoir le suivi des objectifs de sécurité, les Niveau 2 : L'action est réalisée quelques Que cette revue soit réalisée par des personnes indépendantes du domaine concerné.
112 Plutôt Faux 30% fois de manière informelle. D’enregistrer et de communiquer les résultats de la revue indépendante et de conserver ses enregistrements.
mesures, les politiques, les procédures et les processus relatifs à la sécurité de l’information)
sont effectuées à intervalles définis ou lorsque des changements importants sont intervenus De mettre en place des actions correctives au cas où l’approche de l’organisation et sa mise en œuvre de
management de la sécurité de l’information sont inadaptés.
Mesure 113
Il convient que les responsables ;
Déterminent les causes de la non-conformité.
Les responsables vérifient régulièrement la conformité du traitement de l’information et des Evaluent la nécessité de maintenir la conformité.
113 procédures dont ils sont chargés au regard des politiques, des normes de sécurité Plutôt Vrai 70% réalisée. De mettre en œuvre les actions correctives nécessaires.
applicables et autres exigences de sécurité Revoient l’action corrective entreprise pour vérifier son efficacité et identifier toute insuffisance ou faille.
Il convient que les résultats des revues et des actions correctives soient enregistrés.
Mesure 114
Il convient ;
Que la revue de conformité technique implique l’examen des systèmes en exploitation.
Les systèmes d’information sont examinés régulièrement quant à leur conformité avec les Niveau 2 : L'action est réalisée quelques Que les revues de conformité englobent les tests d’intrusion et appréciations des vulnérabilités pouvant être effectués
114 Plutôt Faux 30% par des experts indépendants engagés à cette fin exclusivement.
politiques et les normes de sécurité de l’information de l’organisation fois de manière informelle.
Que les tests d’intrusion et les appréciations des vulnérabilités ne remplacent en aucun cas l’appréciation des risques.
UTC - Master Qualité - www.utc.fr/master-qualite Onglet : Résultats globaux Fichier : 445540928.xlsx

Informations sur le Service Management de la Qualité Informations sur l'Autodiagnostic
Etablissement : Nom de l'établissement / entreprise / organisation... Date de l'autodiagnostic : L'équipe d'autodiagnostic :
Responsable du SMSI : NOM et Prénom du Responsable DSI Responsable : NOM et Prénom Noms et Prénoms des participants
email : Tél : Tél : @:
TABLEAUX DE BORD sur les niveaux de CONFORMITÉ et de RÉALISATION selon les exigences de la norme ISO 27001:2015
Niveaux de VÉRACITÉ des 99 critères d'exigence Niveaux de CONFORMITÉ des ARTICLES aux exigences de la norme
50 Moyenne générale : 61% Convaincant

43
40 35
30
20 17
10 4
0
1 2 3 4 Art. 4 Contexte de l'organisme Convaincant
100%
60% 80%
Niveaux de CONFORMITÉ des 22 SOUS-ARTICLES de la norme (et Moyenne) Art. 10 Amélioration Convaincant
60%
61% Art. 5 Leadership Convaincant
40%
20%
30
25
83% 0%
50%
20 Art. 9 Évaluation des performances Convaincant Art. 6 Planification Convaincant
15
16 50% 60%
10
60%
5 Art. 8 Fonctionnement Convaincant
Art. 7 Support Convaincant
5
1
0
01 2 3 4
Version de janvier 2016 ©2015 : Master 2 Qulaité et Performance dans les Organisations 16/36

BILAN, COMMENTAIRES et PLANS D'AMÉLIORATION

Taux de CONFORMITÉ aux exigences pour les 22 SOUS-ARTICLES de la norme (et Moyenne) COMMENTAIRES sur les RÉSULTATS obtenus
Commentaires (collectifs si possible) :
4.1 Compréhension de l'organisme et de son contexte

10.2 Amélioration continue 4.2 Compréhension des besoins et des attentes des parties intéressées DÉCISIONS : Plans d'action PRIORITAIRES
100%
10.1 Non-conformité et action corrective 4.3 Détermination du domaine d'application du SMSI QUAND ET OÙ
QUOI QUI
80% Date et Champ
Objectifs à atteindre en Interne ou en Externe
d'application
9.3 Revue de direction 4.4 Système de management de la sécurité de l'information
60%
Plan n°1 :
9.2 Audit interne 40% 5.1 Leadership et engagement
20%
9.1 Surveillance, mesure, analyse et évaluation 5.2 Politique
0%
8.3 Traitement des risques de sécurité de l'i nformation 5.3 Rôles, responsabilités et autorités au sein de l'organisme
Plan n°2 :
8.2 Appréciation des risques de sécurité de l'i nformation 6.1 Actions liées aux risques et opportunités
8.1 Planification et contrôle opérationnels 6.2 Objectifs sécurité et planification pour les atteindre
7.5 Informations documentées 7.1 Ressources

7.4 Communication 7.2 Compétences
7.3 Sensibilisation
Plan n°3 :
en pointillés verts : seuil minimal paramétré pour être "Conforme" (voir onglet {Mode d'Emploi})

TABLEAU de SYNTHÈSE des RÉSULTATS moyennés de l'évaluation quant au degré de réalisation des actions associées au respect des exigences de l'ISO 27001:2013
Evaluations Taux % Niveaux de CONFORMITÉ
Niveau moyen sur l'ensemble des articles de la norme ISO 27001:2013 : Convaincant 61% Niveau 3
Art. 4 Contexte de l'organisme Convaincant 60% Niveau 2
4.1 Compréhension de l'organisme et de son contexte Informel 33% Niveau 2
4.2 Compréhension des besoins et des attentes des parties intéressées Convaincant 50% Niveau 3
4.3 Détermination du domaine d'application du SMSI Convaincant 88% Niveau 3
4.4 Système de management de la sécurité de l'information Convaincant 70% Niveau 3
Art. 5 Leadership Convaincant 61% Niveau 3
5.1 Leadership et engagement Convaincant 67% Niveau 3
5.2 Politique Convaincant 60% Niveau 3
5.3 Rôles, responsabilités et autorités au sein de l'organisme Convaincant 56% Niveau 3
Art. 6 Planification Convaincant 50% Niveau 3
6.1 Actions liées aux risques et opportunités Informel 49% Niveau 2
6.2 Objectifs sécurité et planification pour les atteindre Convaincant 52% Niveau 3
Art. 7 Support Convaincant 60% Niveau 3
7.1 Ressources Informel 30% Niveau 2
7.2 Compétences Convaincant 67% Niveau 3
7.3 Sensibilisation Convaincant 66% Niveau 3
7.4 Communication Convaincant 77% Niveau 3
7.5 Informations documentées Convaincant 58% Niveau 3
Art. 8 Fonctionnement Convaincant 60% Niveau 3
8.1 Planification et contrôle opérationnels Convaincant 62% Niveau 3
8.2 Appréciation des risques de sécurité de l'information Convaincant 70% Niveau 3
8.3 Traitement des risques de sécurité de l'information Convaincant 50% Niveau 3
Art. 9 Évaluation des performances Convaincant 50% Niveau 3
9.1 Surveillance, mesure, analyse et évaluation Informel 41% Niveau 2
9.2 Audit interne Convaincant 74% Niveau 3
9.3 Revue de direction Informel 35% Niveau 2
Art. 10 Amélioration Convaincant 83% Niveau 3
10.1 Non-conformité et action corrective Convaincant 67% Niveau 3
10.2 Amélioration continue Conforme 100% Niveau 4
UTC - Master Qualité - www.utc.fr/master-qualite Onglet : Résultats par Article Fichier : 445540928.xlsx
Résultats détaillés par ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013

Date de
Etablissement : Nom de l'établissement / entreprise / organisation... L'équipe d'autodiagnostic :
l'autodiagnostic :
Responsable du SMSI : NOM et Prénom du Responsable DSI Responsable : NOM et Prénom
Noms et Prénoms des participants
Art. 4 Contexte de l'organisme

Niveau d'évaluation Taux de CONFORMITÉ aux critères d'exigence COMMENTAIRES sur les RÉSULTATS obtenus
Convaincant 60% Commentaires (collectifs si possible) :
DÉCISIONS : Plans d'action PRIORITAIRES

QUI QUAND ET OÙ
QUOI
en Interne ou en Date et Champ
Objectifs à atteindre
Externe d'application
Plan n°1 :
100% 4.1 Compréhension de l'organisme et de son contexte
80%
60%
33%
40%
20% 50%
0% Plan n°2 :
4.4 Système de management de la sécurité de l'information 4.2 Compréhension des besoins et des attentes des parties intéressées
70%
88%
4.3 Détermination du domaine d'applic ation du SMSI Plan n°3 :
Version de janvier 2016 ©2015 : Master 2 Qualité et Performance dans les Organisations 19/36

Date de
l'autodiagnostic :
Art. 5 Leadership

QUOI QUI QUAND ET OÙ
Objectifs à atteindre en Interne ou en Date et Champ
Plan n°1 :
100%
67% 80%
5.1 Leadership et engagement
60%
40%
Plan n°2 :
20%
0% 60%
56%
5.3 Rôles, responsabilités et autorités au sein de l'organisme 5.2 Politique
100%
67% 80%
60%
40%
Résultats détaillés par
20%
ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013
Informations sur le Service Management de la
0% Qualité
60% Informations sur l'Autodiagnostic
Date de
l'autodiagnostic :
56% Noms et Prénoms des participants
Plan n°3 :
56%

Date de
l'autodiagnostic :
Art. 6 Planification

QUI QUAND ET OÙ
QUOI
100% Objectifs à atteindre
Plan n°1 :
80%
49% 60%
6.1 Actions liées aux risques et opportunités
40%
20%
0% Plan n°2 :
52%
6.2 Objectifs sécurité et planification pour les atteindre
49% 60%
40%
20%
Résultats
0% détaillés par ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013

52% Date de
l'autodiagnostic :
Plan n°3 :
6.2 Objectifs sécurité et planification pour les atteindre

Date de
l'autodiagnostic :
Art. 7 Support
QUI QUAND ET OÙ
QUOI
100% 7.1 Ressources Objectifs à atteindre
80%
Plan n°1 :
60%
30% 40% 67%
20%
7.5 Informations documentées 0% 7.2 Compétences
58% Plan n°2 :

66%
77%
7.4 Communication 7.3 Sensibilisation
Plan n°3 :

Date de
l'autodiagnostic :
Art. 8 Fonctionnement

100% QUI QUAND ET OÙ
QUOI
8.1 Planification et contrôle opérationnels en Interne ou en Date et Champ
80% Objectifs à atteindre
62%
60% Plan n°1 :
40%
20%
0% 70%
Plan n°2 :
50%
8.3 Traitement des risques de sécurité de l'information 8.2 Appréciation des risques de sécurité de l'information
Plan n°3 :

Date de
l'autodiagnostic :
Art. 9 Évaluation des performances

QUI QUAND ET OÙ
QUOI
Plan n°1 :
100%
9.1 Surveillance, mesure, analyse et évaluation
80%
60%
41%
40%
20%
Plan n°2 :
0% 74%
35%
9.3 Revue de direction 9.2 Audit interne
80%
60%
41%
40%
Résultats20%
détaillés par ARTICLE de l'autodiagnostic selon la norme ISO 27001:2013
0% 74%
Date de
l'autodiagnostic :
35%
9.3 Revue de direction 9.2 Audit interne Plan n°3 :
35%
9.3 Revue de direction Résultats détaillés9.2par

AuditARTICLE
interne de l'autodiagnostic selon la norme ISO 27001:2013
Date de
l'autodiagnostic :
Art. 10 Amélioration
QUI QUAND ET OÙ
QUOI
100% en Interne ou en Date et Champ
67% 80%
Plan n°1 :
60% 10.1 Non-conformité et action corrective
40%
20%
0%
Plan n°2 :
100%
Plan n°3 :
10.2 Amélioration continue
UTC - Master Qualité - www.utc.fr/master-qualite Onglet : Résultats de l'annexe A Fichier : 445540928.xlsx

TABLEAUX DE BORD sur les niveaux de CONFORMITÉ et de RÉALISATION selon les exigences de la norme ISO 27001:2015
Niveaux de VÉRACITÉ des 114 critères d'exigence Niveaux de CONFORMITÉ des ARTICLES aux exigences de la norme
50 47 Moyenne générale : 62% Convaincant
40
38
30 23
A.5 Politiques de sécurité de l’information
20
10 6 A.18 Conformité
100%
A.6 Organisation de la sécurité de l’information
0 80%
1 2 3 4
A.17 Sécurité de l’information dans la gestion de la continuité de l’activité 50% 60% A.7 Sécurité des ressources humaines
48% 40%
27%46%
Niveaux de CONFORMITÉ des 35 SOUS-ARTICLES de la norme (et Moyenne)
A.16 Relations avec les fournisseurs
70% 20% 69% A.8 Gestion des actifs
30 0%
25
24
71% 72%
20 A.15 Sécurité liée à l’exploitation 60% 50% A.9 Contrôle d’accès
15
62%
10
6 A.14 Acquisition, développement et maintenance des systèmes d’information 90% 70% A.10 Cryptographie
4 78%
5
1
A.13 Sécurité des communications A.11 Sécurité physique et environnementale
0
A.12 Sécurité liée à l’exploitation
1 2 3 4

BILAN, COMMENTAIRES et PLANS D'AMÉLIORATION

Taux de CONFORMITÉ aux exigences pour les 35 SOUS-ARTICLES de la norme (et Moyenne) COMMENTAIRES sur les RÉSULTATS obtenus
Commentaires (collectifs si possible) :
A.5.1 Compréhension de l'organisme et de son contexte

A.18.2 Revue de la sécurité de l’information
A.6.1 Organisation interne
A.18.1 Conformité aux obligations légales et réglementaires A.6.2 Appareils mobiles et télétravail
100%
A.17.2 Redondances A.7.1 Avant l'embauche
A.17.1 Continuité de la sécurité de l’information A.7.2 Pendant la durée du contrat DÉCISIONS : Plans d'action PRIORITAIRES
80%
A.16.1 Gestion des incidents liés à la sécurité de l’information et améliorations A.7.3 Rupture, terme ou modification du contrat de travail QUAND ET OÙ
QUOI QUI
60% Date et Champ
Objectifs à atteindre en Interne ou en Externe
d'application
A.15.2 Gestion de la prestation du service A.8.1 Responsabilités relatives aux actifs
Plan n°1 :
40%
A.15.1 Sécurité dans les relations avec les fournisseurs A.8.2 Classification de l'i nformation
20%
A.14.3 Données de test A.8.3 Manipulation des supports
0%
A.14.2 Sécurité des processus de développement et d’assistance technique A.9.1 Exigences métier en matière de contrôle d’accès
A.14.1 Exigences de sécurité applicables aux systèmes d’information A.9.2 Gestion d'accès utilisateur
Plan n°2 :
A.13.2 Transfert de l’information A.9.3 Responsabilités des utilisateurs
A.13.1 Gestion de la sécurité des réseaux A.9.4 Contrôle de l’accès au système et à l’information
A.12.7 Considérations sur l’audit des systèmes d’information A.10.1 Mesures cryptographiques
A.12.6 Gestion des vulnérabilités techniques A.11.1 Zones sécurisées

A.12.5 Maîtrise des logiciels en exploitation A.11.2 Matériels
A.12.4 Journalisation
A.12.1
et surveillance
A.12.2A.12.3
Procédures et responsabilités liées à l’exploitation
Protection
Sauvegarde
contre les logiciels malveillants
Plan n°3 :
en pointillés verts : seuil minimal paramétré pour être "Conforme" (voir onglet {Mode d'Emploi})

TABLEAU de SYNTHÈSE des RÉSULTATS moyennés de l'évaluation quant au degré de réalisation des actions associées au respect des mesures de l'annexe A de l'ISO 27001:2013
Evaluations Taux % Niveaux de CONFORMITÉ
Niveau moyen sur l'ensemble des mesures de l'Annexe A de la norme ISO 27001:2013 : Convaincant 62% Niveau 3
A.5 Politiques de sécurité de l’information Convaincant 50% Niveau 3
A.5.1 Compréhension de l'organisme et de son contexte Convaincant 50% Niveau 3
A.6 Organisation de la sécurité de l’information Informel 27% Niveau 2
A.6.1 Organisation interne Informel 40% Niveau 2
A.6.2 Appareils mobiles et télétravail Informel 15% Niveau 2
A.7 Sécurité des ressources humaines Informel 46% Niveau 2
A.7.1 Avant l'embauche Convaincant 50% Niveau 3
A.7.2 Pendant la durée du contrat Conforme 90% Niveau 4
Rupture, terme ou modification du contrat de
A.7.3 Insuffisant 0% Niveau 1
travail
A.8 Gestion des actifs Convaincant 69% Niveau 3
A.8.1 Responsabilités relatives aux actifs Convaincant 52% Niveau 3
A.8.2 Classification de l'information Conforme 90% Niveau 4
A.8.3 Manipulation des supports Convaincant 66% Niveau 3
A.9 Contrôle d’accès Convaincant 72% Niveau 3
A.9.1 Exigences métier en matière de contrôle d’accès Informel 30% Niveau 2
A.9.2 Gestion d'accès utilisateur Convaincant 85% Niveau 3
A.9.3 Responsabilités des utilisateurs Conforme 100% Niveau 4
A.9.4 Contrôle de l’accès au système et à l’information Convaincant 74% Niveau 3
A.10 Cryptographie Convaincant 50% Niveau 3
A.10.1 Mesures cryptographiques Convaincant 50% Niveau 3
A.11 Sécurité physique et environnementale Convaincant 62% Niveau 3
A.11.1 Zones sécurisées Convaincant 55% Niveau 3
A.11.2 Matériels Convaincant 70% Niveau 3
UTC - Master Qualité - www.utc.fr/master-qualite Onglet : Conseils Fichier : 445540928.xlsx

"Technologies de l'information - Techniques de sécurité - Systèmes de management de la sécurité de l'information - Exigences", édition
Afnor, www.afnor.org, décembre 2013
Quelques CONSEILS pour atteindre le respect des exigences...

Articles Quoi Qui
Art. 4 Contexte de l'organisme
4.1 Compréhension de l'organisme et de son contexte
Compréhension des besoins et des attentes des parties L’organisme doit déterminer les enjeux externes et internes liés au contexte socio-économique dans
4.2 lequel il se situe. De plus, les parties intéressées doivent être identifiées ainsi que leurs attentes et
intéressées Responsable DSI et Direction
exigences. Ces dernières seront listées et revus périodiquement. Les champs d'application du système de
Générale
4.3 Détermination du domaine d'application du SMSI management de la qualité (SMSI) sont fixés, ainsi que l'ensemble des processus nécessaires à la mise en
oeuvre de ce système.
4.4 Système de management de la sécurité de l'information
Art. 5 Leadership

Dans cet article, la responsabilité de la direction est de communiquer et mettre à disposition sa politique
5.2 Politique qualité qu'elle appliquera et mettra à jour par la suite. L'engagement de la direction consiste aussi à Responsable DSI et Direction
attribuer les responsabilités et les autorités au sein de l'organisme afin d'appliquer sa politique de sécurité Générale
5.3 Rôles, responsabilités et autorités au sein de l'organisme du système d'information.
Art. 6 Planification
6.1 Actions liées aux risques et opportunités Ce paragraphe stipule l’identification des risques liés aux enjeux de l’organisme et de prendre les
mesures nécessaires pour y remédier en déterminant et comparant les mesures mises en œuvre avec
l'annexe A
Responsable DSI et Direction
Des objectifs pertinents et cohérents avec la politique de sécurité de l'information de l'organisme sont
Générale
fixés et doivent être documentés, communiqués à l’ensemble des acteurs et mesurables afin de pouvoir
6.2 Objectifs sécurité et planification pour les atteindre évaluer la performance dans l’atteinte de ces objectifs.
Art. 7 Support
7.1 Ressources
Les ressources humaines et matérielles nécessaires sont mises à disposition pour la réalisation des
7.2 Compétences processus du SMSI. Les compétences des personnes qui ont un impact direct sur la sécurité du système Responsable DSI et pilotes de
d'information sont contrôlées. L'organisme sensibilise sur la sécurité de l'informations auprès des parties processus (RH, Système
prenantes. informatique, Gestion
7.3 Sensibilisation
D'autre part, sur le volet informationnel, l'organisme doit planifier des réunions périodiques et des administrative, gestion
entretiens avec l'ensemble des pilotes de processus, ceci pour vérifier l'existence, la conformité et financière, Maintenance et
7.4 Communication l'application sur le terrain des dispositions demandées. Les informations documentées doivent ainsi être Infrastructures)
créées, mises à jour, diffusées et utilisées par l'ensemble des parties prenantes.
7.5 Informations documentées
Art. 8 Fonctionnement
8.1 Planification et contrôle opérationnels
8.2 Appréciation des risques de sécurité de l'information L'organisme doit planifier, mettre en œuvre et maîtriser les processus, y compris externalisés, nécessaires
à la réalisation des activités opérationnelles, après avoir recensé les objectifs en terme de sécurité de Direction Générale,
l'information et recueilli les informations documentées explicitant ces besoins. Il est nécessaire de vérifier Responsable DSI, pilotes des
de façon continue, principalement après la mise à jour des processus, les informations relatives aux processus, Personnel
actions menées qui doivent être documentées et conservées.
8.3 Traitement des risques de sécurité de l'information
Art. 9 Évaluation des performances
9.1 Surveillance, mesure, analyse et évaluation

L'organisme doit mettre en place des moyens de surveillance, de mesure et d'analyse des performances
et de l'efficacité du SI. Les résultats sont conservés. Il est important de programmer des audits internes
de façon périodique et de communiquer les résultats à la direction, en fournissant les moyens nécessaires Direction Générale,
9.2 Audit interne (humains et matériels) afin d'entreprendre sans délai la correction et les actions correctives appropriées Responsable DSI, pilotes des
s'il y a écart. Il est important de réaliser une revue de direction pour s'assurer de l'efficacité et l'adéquation processus, Personnel
du SMSI est en lien avec la stratégie de l'organisme. Cette revue fournit des décisions et actions sur les
opportunités d’amélioration, le besoin de modifier le SMSI et le besoin en ressources.
9.3 Revue de direction
Art. 10 Amélioration
10.2 Non-conformité et action corrective
L'organisme s'engage à améliorer en continu la sécurité de son système d'information. Cela passe par la
Direction Générale,
correction des anomalies et des non conformités , mais aussi par les actions préventives suite à l'étude et
Responsable DSI, pilotes des
l'analyse des résultats d'évaluation de la performance du SMSI. L'organisme sera donc constamment
processus, Personnel
dans une optique d'amélioration continue.
10.3 Amélioration continue
UTC - Master Qualité - www.utc.fr/master-qualite Onglet : Plans d'action détaillés Fichier : 445540928.xlsx
Date D'audit:
Logo Entreprise Responsable: Date courante : PLANIFIER ET FAIRE
Service: Semaine courante : 11
40 AVANCEMENT
Désignation du Gain Debut Durée

N° Action Pilote Moyens Gain Réalisé 25% 50% 75% 100% Commentaires
Problème Estimé (semaine) (semaine)
ZONE / Processus….
1 1 1 1 1
2 1 0
1 1 1 1 1
1 1 1 1 1
2 1 1 1 1
1 1 1 1 1
1 1 1 1
2 1 1 1 1
1 1 1
1 1 1
UTC - Master Qualité - www.utc.fr/master-qualite Onglet : Plans d'action détaillés Fichier : 445540928.xlsx
Date D'audit:
Logo Entreprise Responsable: Date courante : PLANIFIER ET FAIRE
Service: Semaine courante : 11
40 AVANCEMENT
Désignation du Gain Debut Durée

N° Action Pilote Moyens Gain Réalisé 25% 50% 75% 100% Commentaires
Problème Estimé (semaine) (semaine)
1 1
2 1
1 1 1 1 1
2 1 1 1 1
1 1 1 1
1 1 1 1 1
2 1 1 1 1
Fiche de déclaration de conformité par une première partie - norme ISO 17050 Enregistrement qualité : impression sur 1 page A4 100% en vertical
Déclaration de conformité selon la norme NF EN ISO 17050 Partie 1 : Exigences générales
Évaluation de la conformité - Déclaration de conformité du fournisseur (NF EN ISO/CEI 17050-1)
Date limite de validité de la déclaration : Référence unique de la déclaration ISO 17050 :

Date de la déclaration + 1 an date de la déclaration invalide
Objet de la déclaration : Niveau de CONFORMITÉ aux EXIGENCES de la norme NF EN ISO 27001:2013
Nom de l'établissement / entreprise / organisation...

Nous soussigés, déclarons sous notre propre responsabilité que les niveaux de conformité de nos pratiques
professionnelles ont été mesurés d'après les exigences de la norme NF EN ISO 27001:2013.
Nous avons appliqué la meilleure rigueur d'élaboration et d'analyse (évaluation par plusieurs personnes
compétentes) et nous avons respecté les règles d'éthique professionnelle (absence de conflits d'intérêt, respect des
opinions, liberté des choix) pour parvenir aux résultats ci-dessous.
Tableau des résultats de CONFORMITÉ de nos activités

selon les critères d'exigence tirés de la norme NF EN ISO 27001:2013
Taux moyen Niveaux de Conformité
Niveau moyen sur l'ensemble des articles de la norme ISO

61% Non déclarable
27001:2013 :
Art. 4 Contexte de l'organisme 60% Non déclarable

Art. 5 Leadership 61% Non déclarable
Art. 6 Planification 50% Non déclarable
Art. 7 Support 60% Non déclarable
Art. 8 Fonctionnement 60% Non déclarable
Art. 9 Évaluation des performances 50% Non déclarable
Art. 10 Amélioration 83% Non déclarable
Documents d'appui consultables associés à la déclaration ISO 17050

Déclaration de conformité selon l'ISO 17050 Partie 2 : Documentation d'appui (NF EN ISO/CEI 17050-2)
Documents génériques Documents spécifiques
Modifier les contenus bleus et mettre ensuite en noir :
Norme NF EN ISO 27001:2013 " Technologies de Enregistrements qualité : indiquez ceux que vous mettrez à
l'information - Techniques de sécurité - Systèmes de disposition d'un auditeur. Il peut s'agir des onglets imprimés et
management de la sécurité de l'information - Exigences",
édition Afnor, www.afnor.org, 27 décembre 2013 signés de ce fichier d'autodiagnostic
Outil d'autodiagnostic : Fichier Excel® automatisé mis au

point à l'Université de Technologie de Compiègne, France (www.utc.fr) - Autre document d'appui : Mettre ici, et en noir, tout autre
voir sa dénomination au bas de la feuille document d'appui éventuel pour cette déclaration
Signataires
Personne indépendante à l'organisme : Personne responsable de l'organisme :
Indiquer les NOM et Prénom de la personne
indépendante
Nom de l'établissement / entreprise / organisation...
Coordonnées professionnelles : Coordonnées professionnelles :
Organisme de la personne indépendante NOM et Prénom du Responsable DSI
Adresse complète de l'organisme de la personne Adresse complète de l'Exploitant
indépendante
Code postal - Ville - Pays de l'organisme de la Code postal - Ville - Pays de l'Exploitant
personne indépendante
Tél et email de la personne indépendante email : Tél :
Date de la déclaration (jj/mm/aaaa) : Date de l'autodiagnostic (jj/mm/aaaa) :

Mettre la date de signature par la personne compétente pas de date d'évaluation pour l'instant
Signature : Signature :
Fichier utilisé : 445540928.xlsx

page n°35/36
Fichier utilisé : 445540928.xlsx
page n°36/36

Iso

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Iso

Transféré par

Droits d'auteur :

Formats disponibles

© UTC - Master Qualité - www.utc.fr/master-qualite Fichier : 445540928.

Autodiagnostic selon la norme ISO 27001:2013

Etablissement : Nom de l'établissement / entreprise / organisation...

Responsable du SMSI : NOM et Prénom du Responsable DSI

Contact du Responsable du SMSI : email : Tél :

PRESENTATION DES ELEMENTS:

Niveaux de VÉRACITÉ quant à la RÉALISATION LIBELLÉS des niveaux de CONFORMITÉ

Niveau 1 : L'action n'est Conformité de niveau 1 : Il est

Conformité de niveau 2 : Il est

Conformité de niveau 3 : Il est

Niveau 4 : L'action est Conformité de niveau 4 :

Document d'appui à la déclaration première partie de conformité à la norme ISO 27001:2013

Autodiagnostic sur les exigences de l'ISO 27001:2013

L'équipe d'autodiagnostic : Noms et Prénoms des participants

Libellés Modes de preuve

Conformité de niveau 3 : Il est nécessaire de tracer et

Compréhension de l'organisme et de son Conformité de niveau 2 : Il est nécessaire de pérenniser la

Les facteurs d'influence sur l'efficacité du

Détermination du domaine d'application du

Le domaine d'application du SMSI est établi en Niveau 3 : L'action est formalisée et

Le domaine d'application du SMSI prend en

Le domaine d'application du SMSI prend en

Le domaine d'application du SMSI prend en

Système de Management de la Sécurité de Conformité de niveau 3 : Il est nécessaire de tracer et

Conformité de niveau 3 : Il est nécessaire de tracer et

Conformité de niveau 3 : Il est nécessaire de tracer et

La direction assume la responsabilité de la

Libellés Modes de preuve

La direction assure que les ressources

La direction communique sur l'importance de

La direction oriente et soutient toutes les

La politique de sécurité de l'information est adaptée

La direction améliore sa politique de sécurité de

La politique de sécurité de l'information est

La politique de sécurité de l'information est Niveau 4 : L'action est formalisée,

La politique de sécurité de l'information est mise à Niveau 2 : L'action est réalisée

Rôles, responsabilités et autorités au sein de Conformité de niveau 3 : Il est nécessaire de tracer et

Conformité de niveau 2 : Il est nécessaire de pérenniser la

Les risques et opportunités sont pris en compte

La manière d'intégrer et de mettre en œuvre les Niveau 2 : L'action est réalisée

L'évaluation de l'efficacité de ces actions au sein Niveau 2 : L'action est réalisée

Un processus d'application des risques relatifs à la

Le processus d'application des risques s'assure

Le processus d'application des risques identifie et Niveau 2 : L'action est réalisée

L'organisation conserve les informations

Libellés Modes de preuve

L'organisation a défini et appliqué un processus de

L'organisme a produit une déclaration

Un plan de traitement des risques relatifs à la Niveau 2 : L'action est réalisée

Les risques résiduels relatifs à la sécurité de

Les informations documentés sur le processus

Des objectifs de sécurité de l'information sont

Les objectifs de sécurité de l'information sont

Les objectifs de sécurité de l'information sont Niveau 3 : L'action est formalisée et

Pour atteindre les objectifs de sécurité de

Conformité de niveau 3 : Il est nécessaire de tracer et

Conformité de niveau 2 : Il est nécessaire de pérenniser la

L’organisation a déterminé et fourni les

Conformité de niveau 3 : Il est nécessaire de tracer et

Les informations documentées sur les Niveau 2 : L'action est réalisée

Conformité de niveau 3 : Il est nécessaire de tracer et

Libellés Modes de preuve

L'organisme s'assure que le personnel est