<Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe

A)
Question d'audit Éléments probants

A.5 Politiques de sécurité de l'information

A.5.1 Orientation de la gestion de la sécurité de l'information

A.5.1.1 Politiques de sécurité de l'information

1. Existe-t-il des politiques de sécurité ?
2. Toutes les politiques sont-elles approuvées par la
direction ?
3. Les politiques sont-elles correctement communiquées
au personnel ?

A.5.1.2 Examen des politiques en matière de sécurité de

l'information
1. Les politiques de sécurité font-elles l'objet d'un
réexamen ?
2. Les examens sont-ils effectués à intervalles
réguliers ?
3. Des révisions sont-elles effectuées lorsque les
circonstances changent ?

A.6 Organisation de la sécurité de l'information

A.6.1 Organisation interne

A.6.1.1 Rôles et responsabilités en matière de sécurité de

l'information

Page 1 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

Les responsabilités en matière de protection des biens

individuels et de mise en œuvre de processus de sécurité
spécifiques sont-elles clairement identifiées, définies et
communiquées aux parties concernées ?

A.6.1.2 Séparation des tâches

Les tâches et les responsabilités sont-elles séparées,
afin de réduire les possibilités de modification non
autorisée ou d'utilisation abusive des informations ou des
services ?

A.6.1.3 Contact avec les autorités

1. Existe-t-il une procédure indiquant quand et par qui les
autorités compétentes (forces de l'ordre, etc.) peuvent
être contactées ?
2. Existe-t-il une procédure qui précise comment et
quand le contact est nécessaire ?
3. Existe-t-il une procédure pour les contacts de routine
et l'échange de renseignements ?

Contact avec des groupes d'intérêt

A.6.1.4 Les personnes concernées au sein de l'organisation sont-
elles membres actifs de groupes d'intérêt spécialisés ?

A.6.1.5 Sécurité de l'information dans la gestion de projet

Les projets font-ils l'objet d'une forme d'évaluation de la

Page 2 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

sécurité de l'information, le cas échéant ?

A.6.2 Appareils mobiles et télétravail

A.6.2.1 Politique en matière d'appareils mobiles

1. Existe-t-il une politique en matière d'appareils mobiles
?
2. La politique est-elle approuvée par la direction
générale ?
3. Le document de politique générale aborde-t-il les
risques supplémentaires découlant de l'utilisation
d'appareils mobiles (par exemple, le vol de biens,
l'utilisation de points d'accès sans fil ouverts, etc.)

Télétravail
1. Existe-t-il une politique en matière de télétravail ?
2. Cette mesure est-elle approuvée par la direction
générale ?
A.6.2.2
3. Existe-t-il une procédure d'accès pour les travailleurs
à distance ?
4. Les télétravailleurs reçoivent-ils les conseils et
l'équipement nécessaires pour protéger leurs biens ?

A.7 Sécurité des ressources humaines

A.7.1 Avant l'emploi

Page 3 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

A.7.1.1 Dépistage
1. Tous les nouveaux employés font-ils l'objet d'une
vérification de leurs antécédents avant d'être
embauchés ?
2. Ces contrôles sont-ils approuvés par l'autorité de
gestion compétente ?
3. Les contrôles sont-ils conformes aux lois, aux
règlements et à l'éthique en vigueur ?
4. Le niveau des contrôles requis est-il étayé par des
évaluations des risques de l'entreprise ?

A.7.1. Conditions d'emploi

2 1. Tous les membres du personnel, les contractants et
les utilisateurs tiers sont-ils invités à signer des
accords de confidentialité et de non-divulgation ?
2. Les contrats de travail ou de service couvrent-ils
spécifiquement la nécessité de protéger les
informations commerciales ?

A.7.2 Pendant l'emploi

A.7.2. Responsabilités de gestion

1 1. Les responsables (à tous les niveaux) sont-ils les
premiers à s'occuper des questions de sécurité au
Page 4 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

sein de l'entreprise ?
2. Le comportement de la direction incite-t-il
l'ensemble du personnel, des contractants et des
utilisateurs tiers à appliquer la sécurité
conformément aux politiques et procédures
établies ?

Sensibilisation, éducation et formation à la sécurité de

A.7.2. l'information
2 L'ensemble du personnel, des sous-traitants et des
utilisateurs tiers suivent-ils régulièrement une
formation de sensibilisation à la sécurité adaptée à leur
rôle et à leur fonction au sein de l'organisation ?

Procédure disciplinaire
A.7.2. 1. Existe-t-il une procédure disciplinaire formelle
3 applicable au personnel ayant commis une violation
de la sécurité de l'information ?
2. Cette information est-elle communiquée à
l'ensemble du personnel ?

A.7.3 Licenciement et changement d'emploi

A.7.3. Cessation ou changement des responsabilités

1 professionnelles
1. Existe-t-il une procédure formelle et documentée de

Page 5 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

cessation ou de modification des fonctions ?

2. Les obligations en matière de sécurité de
l'information après l'embauche sont-elles
communiquées à l'employé ou au contractant ?
3. L'organisation est-elle en mesure d'assurer le
respect des obligations postérieures à l'emploi ?

A.8 Gestion des actifs

A.8.1 Responsabilité des actifs

A.8.1. Inventaire des actifs

1 1. Existe-t-il un inventaire de tous les actifs associés à
l'information et au traitement de l'information ?
2. L'inventaire est-il exact et tenu à jour ?

A.8.1. Propriété des actifs

2 Tous les actifs informationnels ont-ils un propriétaire
clairement défini et conscient de ses responsabilités ?

A.8.1. Utilisation acceptable des actifs

3 1. Existe-t-il une politique d'utilisation acceptable pour
chaque classe/type d'actif informationnel ?
2. Les utilisateurs sont-ils informés de cette politique
avant l'utilisation ?

Page 6 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

A.8.1. Rendement des actifs

4 Existe-t-il une procédure permettant de s'assurer que
l'ensemble du personnel et des utilisateurs externes
restituent les actifs de l'organisation à la fin de leur
emploi, de leur contrat ou de leur convention ?

A.8.2 Classification des informations

A.8.2. Classification des informations

1 1. Existe-t-il une politique de classification des
informations ?
2. Existe-t-il un processus permettant de classer toutes
les informations de manière appropriée ?

A.8.2. Étiquetage des informations

2 Existe-t-il un processus ou une procédure permettant
de s'assurer que la classification des informations est
correctement indiquée sur chaque bien ?

A.8.2. Traitement des actifs

3 1. Existe-t-il une procédure pour traiter chaque
classification d'information ?
2. Les utilisateurs des ressources d'information sont-ils
informés de cette procédure ?

A.8.3 Traitement des médias

Page 7 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

A.8.3.1 Gestion des supports amovibles
1. Existe-t-il une politique concernant les supports
amovibles ?
2. Existe-t-il un processus de gestion des supports
amovibles ?
3. La politique et les procédures sont-elles
communiquées à l'ensemble du personnel utilisant
des supports amovibles ?
Actualiser la fiche S-002 dans le cadre de :
- e-drive, partage de fichiers
- Politis domeniu pentru blocare CD, USB
- exceptii in AD pentru userii care au autorizatie de a folosi
stick-uri

A.8.3.2 Élimination des supports

Existe-t-il une procédure formelle régissant l'élimination
des supports amovibles ?

A.8.3.3 Transfert de supports physiques

1. Existe-t-il une politique et un processus documentés
détaillant la manière dont les supports physiques
doivent être transportés ?
2. Les supports transportés sont-ils protégés contre
l'accès non autorisé, l'utilisation abusive ou la
corruption ?

A.9 Contrôle d'accès

A.9.1 Exigences de l'entreprise en matière de contrôle d'accès

Page 8 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

A.9.1.1 Politique de contrôle d'accès

1. Existe-t-il une politique de contrôle d'accès
documentée ?
2. La politique est-elle basée sur les besoins de
l'entreprise ?
3. La politique est-elle communiquée de manière
appropriée ?

A.9.1.2 Accès aux réseaux et aux services de réseau
Des contrôles sont-ils en place pour garantir que les
utilisateurs n'ont accès qu'aux ressources du réseau
pour lesquelles ils ont été spécialement autorisés et qui
sont nécessaires à l'accomplissement de leurs tâches ?
Utilisateur, mot de passe pour les applications
OpenVPN avec certificat SSL
Politici AD, pentru filesharing

A.9.2 Gestion de l'accès des utilisateurs

A.9.2.1 Enregistrement et désenregistrement des utilisateurs AD, mail, imprimanta

Existe-t-il une procédure formelle d'enregistrement de
l'accès des utilisateurs ?

A.9.2.2 Fourniture d'accès aux utilisateurs

Existe-t-il une procédure formelle d'attribution des
droits d'accès aux utilisateurs pour tous les types
d'utilisateurs et de services ?

A.9.2.3 Gestion des droits d'accès privilégiés

Page 9 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

Les comptes d'accès privilégiés sont-ils gérés et

contrôlés séparément ?

A.9.2.4 Gestion des informations secrètes d'authentification AD : complexe, lungime 6 caractere, se schimba la 3 luni
des utilisateurs
Existe-t-il un processus de gestion formel pour
contrôler l'attribution des informations secrètes
d'authentification ?

A.9.2.5 Examen des droits d'accès des utilisateurs

1. Existe-t-il une procédure permettant aux
propriétaires d'actifs de revoir régulièrement les
droits d'accès à leurs actifs ?
2. Ce processus d'examen est-il vérifié ?

A.9.2.6 Suppression ou adaptation des droits d'accès

Existe-t-il une procédure permettant de s'assurer que
les droits d'accès des utilisateurs sont supprimés en
cas de cessation d'emploi ou de contrat, ou ajustés en
cas de changement de rôle ?

A.9.3 Responsabilités de l'utilisateur

A.9.3.1 Utilisation d'informations d'authentification secrètes

1. Existe-t-il un document de politique générale
décrivant les pratiques de l'organisation en matière
de traitement des informations d'authentification
Page 10 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

secrètes ?
2. Cette information est-elle communiquée à tous les
utilisateurs ?

A.9.4 Contrôle d'accès aux systèmes et aux applications

A.9.4.1 Restriction de l'accès à l'information

L'accès aux informations et aux fonctions des
systèmes d'application est-il limité conformément à la
politique de contrôle d'accès ?

A.9.4.2 Procédures de connexion sécurisées

Lorsque la politique de contrôle d'accès l'exige, l'accès
est-il contrôlé par une procédure de connexion
sécurisée ?

A.9.4.3 Système de gestion des mots de passe

1. Les systèmes de mots de passe sont-ils interactifs ?
2. Des mots de passe complexes sont-ils nécessaires ?

A.9.4.4 Utilisation de programmes utilitaires privilégiés

Les programmes d'utilisation des privilèges sont-ils
limités et contrôlés ?

A.9.4.5 Contrôle d'accès au code source des programmes

L'accès au code source du système de contrôle d'accès

Page 11 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

est-il protégé ?

A.10 Cryptographie

A.10.1 Contrôles cryptographiques

A.10.1. Politique d'utilisation des contrôles cryptographiques VPN, site-uri : certificat SSL
1 Existe-t-il une politique sur l'utilisation des contrôles Bitlocker et les statistiques de l'emploi
cryptographiques ?

A.10.1. Gestion des clés

2 Existe-t-il une politique régissant l'ensemble du cycle
de vie des clés cryptographiques ?

A.11 Sécurité physique et environnementale

A.11.1 Zones sécurisées

A.11.1. Périmètre de sécurité physique

1 1. Existe-t-il un périmètre de sécurité désigné ?
2. Les zones d'informations sensibles ou critiques sont-
elles séparées et contrôlées de manière
appropriée ?

A.11.1. Contrôles physiques à l'entrée

2 Les zones sécurisées sont-elles dotées de systèmes de

Page 12 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

contrôle d'entrée adéquats pour garantir que seul le

personnel autorisé y a accès ?

A.11.1. Sécurisation des bureaux, des locaux et des

3 installations
1. Les bureaux, les salles et les installations ont-ils été
conçus et configurés en tenant compte de la
sécurité ?
2. Existe-t-il des procédures de maintien de la sécurité
(par exemple, verrouillage, bureaux dégagés, etc.) ?

A.11.1. Protection contre les menaces externes et

4 environnementales
Des mesures de protection physique ont-elles été
prévues pour prévenir les catastrophes naturelles, les
attaques malveillantes ou les accidents ?

A.11.1. Travailler dans des zones sécurisées

5 1. Existe-t-il des zones sécurisées ?
2. Lorsqu'elles existent, les zones sécurisées
disposent-elles de politiques et de procédures
appropriées ?
3. Les politiques et les processus sont-ils appliqués et
contrôlés ?

Page 13 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

A.11.1. Aires de livraison et de chargement

6 1. Existe-t-il des zones de livraison et de chargement
séparées ?
2. L'accès à ces zones est-il contrôlé ?
3. L'accès aux zones de chargement est-il isolé des
installations de traitement de l'information ?

A.11.2 Equipement

A.11.2. Implantation et protection des équipements

1 1. Les risques environnementaux sont-ils identifiés et
pris en compte lors du choix de l'emplacement des
équipements ?
2. Les risques liés à l'accès non autorisé ou aux
passants sont-ils pris en compte lors de l'installation
des équipements ?

A.11.2. Soutien aux services publics

2 1. Existe-t-il un système UPS ou un générateur de
secours ?
2. Celles-ci ont-elles été testées dans un délai
approprié ?

A.11.2. Sécurité du câblage

3 1. Des évaluations des risques ont-elles été effectuées

Page 14 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

concernant l'emplacement des câbles électriques et

de télécommunications ?
2. Sont-ils placés de manière à être protégés contre les
interférences, les interceptions ou les dommages ?

A.11.2. Entretien des équipements Nu exista dovezi

4 Existe-t-il un programme rigoureux d'entretien des
équipements ?

A.11.2. Retrait des actifs

5 1. Existe-t-il un processus contrôlant la manière dont
les biens sont retirés du site ?
2. Ce processus est-il appliqué ?
3. Des contrôles ponctuels sont-ils effectués ?

A.11.2. Sécurité des équipements et des biens hors

6 établissement
1. Existe-t-il une politique de sécurité des biens hors
site ?
2. Cette politique est-elle largement diffusée ?

A.11.2. Élimination ou réutilisation sécurisée des équipements

7 1. Existe-t-il une politique régissant la réutilisation des
actifs informationnels ?
2. Lorsque les données sont effacées, cela est-il

Page 15 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

correctement vérifié avant leur

réutilisation/élimination ?

A.11.2. Matériel utilisateur non surveillé

8 1. L'organisation dispose-t-elle d'une politique de
protection des équipements laissés sans
surveillance ?
2. Des contrôles techniques ont-ils été mis en place
pour sécuriser les équipements qui ont été laissés
sans surveillance par inadvertance ?

A.11.2. Politique de bureaux et d'écrans clairs

9 1. Existe-t-il une politique en matière de bureaux et
d'écrans clairs ?
2. Cette règle est-elle bien appliquée ?

A.12 Sécurité des opérations

A.12.1 Procédures opérationnelles et responsabilités

A.12.1. Procédures opérationnelles documentées

1 1. Les procédures opérationnelles sont-elles bien
documentées ?
2. Les procédures sont-elles mises à la disposition de
tous les utilisateurs qui en ont besoin ?

Page 16 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

A.12.1. Gestion du changement

2 Existe-t-il un processus de gestion du changement
contrôlé ?

A.12.1. Gestion des capacités

3 Existe-t-il un processus de gestion des capacités ?

A.12.1. Séparation des environnements de développement,

4 d'essai et d'exploitation
L'organisation applique-t-elle la séparation des
environnements de développement, de test et
d'exploitation ?

A.12.2 Protection contre les logiciels malveillants

A.12.2. Contrôles contre les logiciels malveillants

1 1. Des procédures de détection des logiciels
malveillants sont-elles en place ?
2. Des procédures ont-elles été mises en place pour
empêcher la propagation des logiciels malveillants ?
3. L'organisation dispose-t-elle d'une procédure et
d'une capacité de récupération en cas d'infection
par un logiciel malveillant ?

A.12.3 Sauvegarde

A.12.3. Sauvegarde de l'information

Page 17 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

1 1. Existe-t-il une politique de sauvegarde convenue ?

2. La politique de sauvegarde de l'organisation est-elle
conforme aux cadres juridiques pertinents ?
3. Les sauvegardes sont-elles effectuées
conformément à la politique ?
4. Les sauvegardes sont-elles testées ?

A.12.4 Journalisation et surveillance

A.12.4. Enregistrement des événements

1 Des journaux d'événements appropriés sont-ils tenus à
jour et régulièrement examinés ?

A.12.4. Protection des informations du journal

2 Les installations d'enregistrement sont-elles protégées
contre la falsification et l'accès non autorisé ?

A.12.4. Journaux de l'administrateur et de l'opérateur

3 Les journaux de l'administrateur système et du
superviseur système sont-ils conservés, protégés et
régulièrement examinés ?

A.12.4. Synchronisation de l'horloge ntp

4 Toutes les horloges de l'organisation sont-elles

A.12.5 Contrôle du logiciel opérationnel

Page 18 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

A.12.5. Installation de logiciels sur les systèmes opérationnels

1 Existe-t-il un processus permettant de contrôler
l'installation de logiciels sur les systèmes
opérationnels ?

A.12.6 Gestion des vulnérabilités techniques

A.12.6. Gestion des vulnérabilités techniques

1 1. L'organisation a-t-elle accès à des informations
actualisées et opportunes sur les vulnérabilités
techniques ?
2. Existe-t-il un processus d'évaluation des risques et
de réaction aux nouvelles vulnérabilités découvertes
?

A.12.6. Restrictions à l'installation de logiciels

2 Existe-t-il des procédures permettant de restreindre la
manière dont les utilisateurs installent les logiciels ?

A.12.7 Considérations relatives à l'audit des systèmes d'information

Contrôles d'audit des systèmes d'information

A.12.7. 1. Les systèmes d'information font-ils l'objet d'un
1 audit ?
2. Le processus d'audit permet-il de réduire au
minimum les perturbations de l'activité ?

Page 19 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

A.13 Sécurité des communications

A.13.1 Gestion de la sécurité des réseaux

Contrôles du réseau Linux cu firewall, pe NAT

A.13.1. Existe-t-il un processus de gestion du réseau ? Switch-uri, cu VLAN-uri
1 icinga

Sécurité des services de réseau Autentifier un serveur, enregistrer un utilisateur personnel

A.13.1. 1. L'organisation met-elle en œuvre une approche de La bazele de date, se poate conecta doar pe de un IP anume
2 gestion des risques qui identifie tous les services de
réseau et les accords de service ?
2. La sécurité est-elle prévue dans les accords et les
contrats avec les fournisseurs de services (internes
et externalisés) ?
3. Des accords de niveau de service relatifs à la
sécurité sont-ils imposés ?

Ségrégation dans les réseaux VLAN-uri configurer pe switch-uri

A.13.1. La topologie du réseau permet-elle de séparer les
3 réseaux pour les différentes tâches ?

A.13.2 Transfert d'informations

A.13.2. Politiques et procédures de transfert d'informations

1 1. Les politiques organisationnelles régissent-elles la

Page 20 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

manière dont les informations sont transférées ?

2. Les procédures relatives aux modalités de transfert
des données sont-elles mises à la disposition de
l'ensemble du personnel ? 3. Des contrôles
techniques appropriés sont-ils en place pour
empêcher les formes non autorisées de transfert de
données ?

A.13.2. Accords sur le transfert d'informations

2 Les contrats avec les parties externes et les accords
au sein de l'organisation détaillent-ils les exigences en
matière de sécurisation des informations commerciales
en cours de transfert ?

A.13.2. Messagerie électronique Zimbra C

3 Les politiques de sécurité couvrent-elles l'utilisation du
transfert d'informations lors de l'utilisation de systèmes
de messagerie électronique ?

A.13.2. Accords de confidentialité ou de non-divulgation

4 1. Le personnel, les contractants et les agents signent-
ils des accords de confidentialité ou de non-
divulgation ?
2. Ces accords font-ils l'objet d'une révision régulière ?
3. Les accords sont-ils consignés dans des registres ?

Page 21 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

A.14 Acquisition, développement et maintenance des systèmes

A.14.1 Exigences de sécurité des systèmes d'information

A.14.1. Analyse et spécification des exigences en matière de

1 sécurité de l'information
1. Les exigences en matière de sécurité de
l'information sont-elles spécifiées lors de
l'introduction de nouveaux systèmes ?
2. Lorsque les systèmes sont améliorés ou mis à
niveau, les exigences en matière de sécurité sont-
elles spécifiées et prises en compte ?

A.14.1. Sécuriser les services d'application sur les réseaux

2 publics
Les applications qui envoient des informations sur les
réseaux publics protègent-elles de manière appropriée
les informations contre les activités frauduleuses, les
litiges contractuels, les divulgations non autorisées et
les modifications non autorisées ?

A.14.1. Protéger les transactions des services d'application

3 Des contrôles sont-ils en place pour empêcher la
transmission incomplète, l'acheminement erroné, la
modification non autorisée des messages, la
divulgation non autorisée, la duplication non autorisée

Page 22 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

des messages ou les attaques par rejeu ?

A.14.2 Sécurité des processus de développement et de soutien

A.14.2. Une politique de développement sûre

1 1. L'organisation développe-t-elle des logiciels ou des
systèmes ?
2. Dans l'affirmative, existe-t-il des politiques imposant
la mise en œuvre et l'évaluation de contrôles de
sécurité ?

A.14.2. Procédures de contrôle des modifications du système

2 Existe-t-il un processus formel de contrôle des
changements ?

A.14.2. Examen technique des demandes après modification de

3 la plate-forme d'exploitation
Existe-t-il une procédure garantissant qu'un examen
technique est effectué lorsque les plates-formes
d'exploitation sont modifiées ?

A.14.2. Restrictions concernant les modifications apportées

4 aux logiciels
Existe-t-il une politique qui détermine quand et
comment les progiciels peuvent être changés ou
modifiés ?

Page 23 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

A.14.2. Principes d'ingénierie des systèmes sécurisés

5 L'organisation dispose-t-elle de principes documentés
sur la manière dont les systèmes doivent être conçus
pour garantir la sécurité ?

A.14.2. Environnement de développement sécurisé

6 1. Un environnement de développement sécurisé a-t-il
été mis en place ?
2. Tous les projets utilisent-ils de manière appropriée
l'environnement de développement sécurisé au
cours du cycle de développement du système ?

A.14.2. Développement externalisé

7 1. Lorsque le développement a été externalisé, cela
fait-il l'objet d'un contrôle ?
2. Le code développé en externe fait-il l'objet d'un
examen de sécurité avant d'être déployé ?

A.14.2. Tests de sécurité des systèmes

8 Lorsque des systèmes ou des applications sont
développés, leur sécurité est-elle testée dans le cadre
du processus de développement ?

A.14.2. Essais d'acceptation du système

9 Existe-t-il une procédure établie pour accepter les
nouveaux systèmes/applications, ou les mises à niveau,
Page 24 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

dans le cadre d'une utilisation en production ?

A.14.3 Données d'essai

A.14.3. Protection des données d'essai

1 1. Existe-t-il un processus de sélection des données de
test ?
2. Les données d'essai sont-elles protégées de manière
adéquate ?

A.15 Relations avec les fournisseurs

A.15.1 Sécurité de l'information dans les relations avec les fournisseurs

A.15.1. Politique de sécurité de l'information pour les relations

1 avec les fournisseurs
1. La sécurité de l'information est-elle incluse dans les
contrats conclus avec les fournisseurs et les
prestataires de services ?
2. Existe-t-il une approche de gestion des risques à
l'échelle de l'organisation en ce qui concerne les
relations avec les fournisseurs ?

A.15.1. Aborder la question de la sécurité dans les accords

2 avec les fournisseurs
1. Les fournisseurs disposent-ils d'exigences
documentées en matière de sécurité ?

Page 25 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

2. L'accès des fournisseurs aux ressources et

infrastructures d'information est-il contrôlé et
surveillé ?

A.15.1. Chaîne d'approvisionnement en technologies de

3 l'information et de la communication
Les accords avec les fournisseurs prévoient-ils des
exigences en matière de sécurité de l'information dans
la chaîne d'approvisionnement des services et des
produits ?

A.15.2 Gestion de la prestation de services par les fournisseurs

A.15.2. Suivi et examen des services des fournisseurs

1 Les fournisseurs font-ils l'objet d'un examen et d'un
audit réguliers ?

A.15.2. Gestion des changements dans les services des

2 fournisseurs
Les modifications apportées à la prestation de services
font-elles l'objet d'un processus de gestion comprenant
une évaluation de la sécurité et des risques ?

A.16 Gestion des incidents de sécurité de l'information

A.16.1 Gestion des incidents et des améliorations en matière de sécurité de l'information

A.16.1. Responsabilités et procédures

Page 26 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

1 Les responsabilités de la direction sont-elles

clairement identifiées et documentées dans les
processus de gestion des incidents ?

A.16.1. Rapport sur les événements liés à la sécurité de

2 l'information
1. Existe-t-il une procédure permettant de signaler en
temps utile les événements liés à la sécurité de
l'information ?
2. Existe-t-il une procédure d'examen et d'intervention
en cas d'événements liés à la sécurité de
l'information ?

A.16.1. Signaler les faiblesses en matière de sécurité de

3 l'information
1. Existe-t-il une procédure de signalement des
faiblesses identifiées en matière de sécurité de
l'information ?
2. Ce processus fait-il l'objet d'une large
communication ?
3. Existe-t-il une procédure d'examen et de traitement
des rapports en temps opportun ?

A.16.1. Évaluation des événements liés à la sécurité de

Page 27 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

4 l'information et prise de décision à cet égard

Existe-t-il une procédure permettant de s'assurer que
les événements liés à la sécurité de l'information sont
correctement évalués et classés ?

A.16.1. Réponse aux incidents liés à la sécurité de l'information

5 Existe-t-il un processus de réponse aux incidents qui
reflète la classification et la gravité des incidents de
sécurité de l'information ?

A.16.1. Tirer les leçons des incidents liés à la sécurité de

6 l'information
Existe-t-il un processus ou un cadre permettant à
l'organisation de tirer des enseignements des incidents
liés à la sécurité de l'information et de réduire l'impact
ou la probabilité d'événements futurs ?

A.16.1. Collecte des preuves

7 1. Existe-t-il une politique de préparation médico-légale
?
2. En cas d'incident lié à la sécurité de l'information,
les données pertinentes sont-elles collectées d'une
manière qui permette de les utiliser comme
preuves ?

A.17 Aspects de la sécurité de l'information dans la gestion de la continuité des activités

Page 28 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

A.17.1 Continuité de la sécurité de l'information

A.17.1. Planification de la continuité de la sécurité de

1 l'information
La sécurité de l'information est-elle incluse dans les
plans de continuité de l'organisation ?

A.17.1. Mise en œuvre de la continuité de la sécurité de

2 l'information
La fonction de sécurité de l'information de l'organisme
dispose-t-elle de processus documentés, mis en œuvre
et maintenus pour assurer la continuité du service en
cas de situation défavorable ?

A.17.1. Vérifier, examiner et évaluer la continuité de la sécurité

3 de l'information
Les plans de continuité sont-ils validés et vérifiés à
intervalles réguliers ?

A.17.2 Licenciements

A.17.2.1 Disponibilité de moyens de traitement de l'information

Les installations de traitement de l'information
disposent-elles d'une redondance suffisante pour
répondre aux exigences de disponibilité de

Page 29 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

l'organisation ?

A.18 Conformité

A.18.1 Respect des exigences légales et contractuelles

A.18.1.1 Identification de la législation applicable et des

exigences contractuelles
1. L'organisation a-t-elle identifié et documenté toutes
les exigences législatives, réglementaires ou
contractuelles pertinentes en matière de sécurité ?
2. La conformité est-elle documentée ?

A.18.1.2 Droits de propriété intellectuelle

1. L'organisation tient-elle un registre de tous les droits
de propriété intellectuelle et de l'utilisation des
produits logiciels propriétaires ?
2. L'organisation contrôle-t-elle l'utilisation de logiciels
sans licence ?

A.18.1.3 Protection des dossiers

Les documents sont-ils protégés contre la perte, la
destruction, la falsification et l'accès ou la divulgation
non autorisés, conformément aux exigences
législatives, réglementaires, contractuelles et
commerciales ?

Page 30 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

A.18.1.4 Vie privée et protection des informations personnelles

identifiables
1. Les données à caractère personnel sont-elles
identifiées et classées de manière appropriée ?
2. Les données personnelles sont-elles protégées
conformément à la législation en vigueur ?

A.18.1.5 Réglementation des contrôles cryptographiques

Les contrôles cryptographiques sont-ils protégés
conformément à tous les accords, lois et règlements
pertinents ?

A.18.2 Examens de la sécurité de l'information

A.18.2.1 Examen indépendant de la sécurité de l'information

1. L'approche de l'organisation en matière de gestion
de la sécurité de l'information fait-elle l'objet d'un
examen indépendant régulier ?
2. La mise en œuvre des contrôles de sécurité fait-elle
l'objet d'un examen indépendant régulier ?

A.18.2.2 Respect des politiques et des normes de sécurité

1. L'organisation demande-t-elle aux cadres de vérifier
régulièrement le respect de la politique et des
procédures dans leur domaine de responsabilité ?
2. Des comptes rendus de ces examens sont-ils

Page 31 de 32 04-11-16
 <Questions d'audit interne - Contrôles des risques du SMSI (ISO 27001:2013 Annexe
A)
Question d'audit Éléments probants

conservés ?

A.18.2.3 Examen de la conformité technique

L'organisation procède-t-elle régulièrement à des
contrôles de conformité technique de ses systèmes
d'information ?

Page 32 de 32 04-11-16