Scribd Logo
Importer

Bienvenue sur Scribd !

  • Réfrentiel Audit ISO 27001

    Transféré par

    yassin Seroukh
    13 vues6 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    XLSX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme XLSX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    13 vues6 pages

    Réfrentiel Audit ISO 27001

    Transféré par

    yassin Seroukh

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme XLSX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 6

    Titre

    Réf Annexe A (ISO27001)


    Domaine/Objectif/Contrôle

    A.5 Politiques de sécurité de l’information

    Orientations de la direction en matière de sécurité de


    A.5.1 l’information

    Politiques de sécurité de l’information

    A.5.1.1

    Revue des politiques de sécurité de l’information

    A.5.1.2
    A.6 Organisation de la sécurité de l’information
    A.6.1 Organisation interne

    Fonctions et
    responsabilités liées à la sécurité
    A.6.1.1 de l’information
    A.6.1.2 Séparation des tâches

    Relations avec les


    A.6.1.3 autorités
    Description Vérifications à effectuer

    Un ensemble de politiques
    S'il existe des documents de
    de sécurité de
    politiques de sécurité de
    l’information (PSI) doit être
    l’information, qui sont approuvées
    défini,
    par la direction, publiées et
    approuvé par la direction,
    communiquées, à tous les
    diffusé et communiqué aux
    utilisateurs du SI et aux tiers
    salariés et aux tiers
    concernés
    concernés.

    Si ces politiques sont passées en


    revue par un comité de sécurité
    de haut niveau à intervalles
    Les politiques de sécurité de planifiés, ou si des changements
    l’information doivent être revues à importants se produisent pour
    intervalles programmés ou en cas de s'assurer qu'elles sont toujours
    changements majeurs pour garantir pertinentes, adéquates et
    leur pertinence, leur adéquation et efficaces,
    leur effectivité dans le temps. S’il existe des procédures en
    place pour le réexamen des
    politiques de sécurité de
    l’information

    Établir un cadre de management pour lancer et vérifier la mise en place et le fonction


    l’information au sein de l’organisme.

    Si un RSI, doté d’un pouvoir


    décisionnel et assurant le reporting directement à la
    direction, est désigné,
    Si un comité de sécurité est mis
    en place,
    Si les rôles et les responsabilités
    Toutes les responsabilités liés à la sécurité de l’information
    en matière de sécurité de sont bien définis et attribués à
    l’information doivent des individus ayant les
    être définies et attribuées. compétences requises
    Si les tâches incompatibles Sont
    identifiées et les responsabilités
    sont attribuées en conséquence,
    Si une tâche de vérification
    Les tâches et les domaines régulière, de la définition et de
    de responsabilité l'attribution des responsabilités,
    incompatibles doivent être est prévue et réalisée,
    cloisonnés pour limiter les Si des contrôles compensatoires
    possibilités de modification sont mis en place en cas
    ou de mauvais usage, non d’attribution des tâches
    autorisé(e) ou involontaire, incompatibles à la même
    des actifs de l’organisme. personne.

    Si les autorités avec lesquelles


    l’organisme peut collaborer en
    matière de sécurité de
    l'information sont identifiées,
    Si une liste mise à jour de
    Des relations appropriées contacts de ces autorités est
    avec les autorités maintenue entre l’organisme et ces
    compétentes doivent être autorités est définie et mise en
    entretenues. œuvre.
    Moyen de vérification (sans s’y limiter) Preuves

    Documents de PSI
    approuvées par la DG,
    Echantillon de décharges
    (ou courriers
    électroniques) attestant
    Revue des documents de PSI,
    que les utilisateurs ont
    Entretien avec le DG,
    Interviews d’un échantillon des reçu une copie des PSI,
    Historique des mises à
    utilisateurs,
    jour des PSI,
    Revue des PVs de réunion du comité
    PV de réunion du comité
    de sécurité
    de sécurité sur la màj de
    la PSI,
    procédures en place
    pour le réexamen des
    PSI.

    la mise en place et le fonctionnement opérationnel de la sécurité de


    n au sein de l’organisme.

    Décision de nomination
    du RSI
    Revue de l’organigramme, des fiches Décision de mise en
    de poste, des décisions et notes place du comité de
    internes en relation avec la sécurité sécurité,
    du SI, PVs de réunions du
    Entretien avec le DG, comité,
    Interview du RSI (le cas échéant). Fiches de poste.
    Revue des fiches de poste,
    Entretien avec les responsables des
    services métier pour l’identification Fiches de poste,
    des taches incompatibles, Compte rendu de
    Revue des procédures internes qui vérification de la
    identifient les tâches incompatibles, définition et de
    Vérification des droits d’accès sur l'attribution des
    les systèmes qui hébergent ou responsabilités.
    traitent les services concernés,
    Vérification des contrôles
    compensatoires en cas en cas
    d’attribution des tâches
    incompatibles à la même personne.

    Liste mise à jour de


    contacts des autorités
    avec lesquelles
    l’organisme peut
    collaborer,
    Revue de la liste de ces autorités, Procédure d'échange
    Revue de la procédure d’échange, entre l’organisme et ces
    Entretien avec les responsables des autorités,Supports de
    différents services pour communication en
    l’identification des autorités vigueur Courriers, Emails,
    compétentes. PVs de réunions, etc…).

    Vous aimerez peut-être aussi