Liste de contrôle d'audit interne ISO 27001

Classement : Confidentiel

OBJET ET PORTÉE : L'objectif de cette liste de contrôle est de décrire le processus général d'un audit interne
dans le respect du référentiel ISO 27001.

Les directives suivantes doivent être respectées par tous les employeurs, superviseurs et employés.

PROCESSUS D'AUDIT INTERNE : La liste de contrôle ci-dessous décrit les exigences de base pour un audit interne ISO 27001 complet.
Un audit plus détaillé peut être nécessaire en fonction de la conformité de l'ENTREPRISE et des exigences des clients.

CLAUSE/
PROPRIÉTAIRE DU
ANNEXE A EXIGENCES ISO 27001 ELEMENT DE PREUVE CONFORMITE RECOMMENDATIONS TIMELINE
CONTRÔLE
CONTRÔLE

4.1 L'organisation a-t-elle déterminé les problèmes externes et

internes ?

4.2 L'organisation a-t-elle déterminé les parties prenantes et les

parties intéressées ?

4.2 L'organisation a-t-elle énuméré les exigences des parties

intéressées ?

4.3 La portée du SMSI est-elle documentée avec des limites

clairement définies et des interfaces et dépendances
pertinentes ?

5.1 La direction s'engage-t-elle envers les objectifs, l'intégration,

les ressources, la direction, le soutien et l'amélioration
continue du système de gestion de la sécurité de
l'information ?

5.2 L'organisation a-t-elle mis en place une politique de sécurité

de l'information formelle et la communique-t-elle au
personnel ?

5.3 Les rôles et responsabilités du personnel en matière de

sécurité de l'information sont-ils clairement communiqués ?

6.1.2, 8.2 Existe-t-il un processus documenté d'évaluation des risques, y

compris la tolérance au risque et les critères de traitement ?
Les risques ont-ils une probabilité, un impact et des
propriétaires documentés ?

6.1.3, 8.3 Existe-t-il un processus documenté de traitement des

risques ? Les risques inacceptables sont-ils traités avec les
contrôles documentés de l'annexe A ?

6.1.3 Existe-t-il un document de déclaration d'applicabilité à jour,

l'état complet du contrôle et les justifications d'inclusion ou
d'exclusion pour chaque contrôle ?

6.1.3, 8.3 Existe-t-il un plan de traitement des risques documenté et

approuvé pour chaque risque ?

6.1.3 Le plan de traitement des risques définit-il les propriétaires

responsables de la mise en œuvre de chaque contrôle, les
ressources dédiées, les délais et les mesures d'évaluation ?

6.2 Existe-t-il des objectifs de sécurité de l'information

documentés et un plan pour les atteindre ? La direction a-t-
elle défini des indicateurs de réussite pour le SMSI ?

7.1 La direction a-t-elle consacré des ressources adéquates à la

mise en œuvre, à la maintenance et à l'amélioration continue
du SMSI ?

7.2 Les employés suivent-ils une formation de sensibilisation à la

sécurité ? Les compétences requises sont-elles définies et
communiquées ?

7.3 Les employés sont-ils au courant de la politique actuelle de

sécurité de l'information, de leurs rôles et responsabilités en
matière de maintien de la sécurité de l'information et des
conséquences en cas de non-conformité ?

7.4 Existe-t-il un processus de communication interne et externe

concernant le système de gestion de la sécurité de
l'information ?

7.5 Existe-t-il un processus de gestion des documents et des

enregistrements, y compris les mises à jour, les révisions, les
approbations et le stockage des documents ?

9.1 Existe-t-il un processus défini pour évaluer les résultats de la

sécurité de l'information, y compris ce qui doit être mesuré,
comment et par qui ?

9.1 Les résultats des évaluations sont-ils documentés et partagés

avec les parties prenantes appropriées ?

9.2 Existe-t-il un programme d'audit interne défini, comprenant la

fréquence, la portée, les critères d'audit, les responsabilités et
les exigences en matière de rapports ?

9.2 Les audits internes sont-ils réalisés selon un programme

d'audit défini ? Les résultats sont-ils rapportés et les actions
correctives pertinentes identifiées et suivies ?

9.3 Une revue de direction est-elle effectuée régulièrement et les

résultats sont-ils documentés dans les procès-verbaux de
réunion ?

10.1 L'organisation enregistre-t-elle, exécute-t-elle des actions

correctives et corrige-t-elle les non-conformités ?

10.2 L'organisation a-t-elle mis en place un processus

d'amélioration continue du SMSI ?

A 5.1.1 Toutes les politiques de sécurité de l'information sont-elles

approuvées par la direction et publiées pour examen par les
employés ?

A 5.1.2 Toutes les politiques de sécurité de l'information sont-elles

régulièrement révisées et mises à jour ?

A 6.1.1 Toutes les responsabilités en matière de sécurité de

l'information sont-elles clairement définies et
communiquées ?

A 6.1.2 Les devoirs et responsabilités sont-ils définis et communiqués

de manière à éviter les conflits d'intérêts ?

A 6.1.3 Les responsabilités sont-elles clairement définies pour qui

doit être en contact avec quelles autorités ?

A 6.1.4 Les responsabilités sont-elles clairement définies quant aux

personnes qui doivent être en contact avec des groupes
d'intérêts spéciaux ou des associations professionnelles ?

A 6.1.5 Les règles de sécurité de l'information sont-elles incluses

dans les processus de gestion de projet de l'organisation ?

A 6.2.1 Existe-t-il une politique officielle relative aux appareils

mobiles ?

A 6.2.2 Existe-t-il une politique formelle de travail à distance ?

A 7.1.1 Des vérifications des antécédents sont-elles effectuées sur les

candidats et les entrepreneurs ?

A 7.1.2. Les accords des employés et des sous-traitants précisent-ils

les responsabilités en matière de sécurité de l'information ?

A 7.2.1 La direction exige-t-elle activement que tous les employés et

sous-traitants se conforment aux règles de sécurité de
l'information ?

A 7.2.2 Tous les employés et sous-traitants concernés sont-ils formés

pour s'acquitter de leurs fonctions en matière de sécurité de
l'information ?

A 7.2.3 Les employés qui ont commis une infraction à la sécurité ont-
ils fait l'objet d'un processus disciplinaire formel ?

A 7.3.1 Existe-t-il des responsabilités en matière de sécurité de

l'information qui s'étendent au-delà de la cessation d'emploi
définies dans l'accord de l'employé ?

A 8.1.1 Existe-t-il un inventaire actuel des actifs informationnels ?

A 8.1.2 Chaque entrée de l'inventaire des actifs informationnels a-t-

elle un propriétaire désigné ?

A 8.1.3 Existe-t-il des règles documentées pour le traitement des

informations et des actifs ?
A 8.1.4 Tous les employés et sous-traitants ont-ils restitué les actifs
de l'entreprise à la fin de leur emploi ?

A 8.2.1 Existe-t-il une politique formelle de classification des

données ?

A 8.2.2 Les informations sont-elles classées conformément à la

politique de classification des données ?

A 8.2.3 Existe-t-il un processus ou une politique formelle pour le

traitement des données classifiées ?

A 8.3.1 Existe-t-il un processus ou une politique de gestion sécurisée

des supports amovibles ?

A 8.3.2 Existe-t-il un processus ou une politique pour éliminer les

supports en toute sécurité ?

A 8.3.3 Les supports contenant des données sensibles sont-ils

protégés pendant le transport ?

A 9.1.1 Existe-t-il une politique formelle de contrôle d'accès ?

A 9.1.2 Les utilisateurs n'ont-ils accès qu'aux réseaux et applications

pour lesquels ils sont spécifiquement autorisés ?

A 9.2.1 Existe-t-il un processus formel d'octroi des droits d'accès ?

A 9.2.2 Existe-t-il un système formel de contrôle d'accès pour se

connecter aux systèmes d'information ?

A 9.2.3 Les droits d'accès privilégiés sont-ils contrôlés et

régulièrement revus ?

A 9.2.4 Les mots de passe initiaux et autres informations

d'authentification sont-ils communiqués de manière
sécurisée ?

A 9.2.5 Les propriétaires d'actifs examinent-ils et mettent-ils à jour

périodiquement les droits d'accès privilégié ?

A 9.2.6 Les droits d'accès de tous les employés et sous-traitants ont-

ils été supprimés à la fin des contrats ?

A 9.3.1 Existe-t-il des règles claires pour les utilisateurs concernant la

protection des mots de passe et autres informations
d'authentification ?

A 9.4.1 Existe-t-il une politique de contrôle d'accès en place pour

restreindre l'accès aux bases de données et aux applications ?

A 9.4.2 La connexion sécurisée est-elle requise dans le cadre de la

politique de contrôle d'accès ?

A 9.4.3 Des gestionnaires de mots de passe sont-ils en place pour

permettre la création de mots de passe sécurisés ?

A 9.4.4 L'accès aux utilitaires qui peuvent outrepasser les contrôles

de sécurité des systèmes et des applications est-il strictement
contrôlé et limité à un petit nombre d'employés ?

A 9.4.5 L'accès au code source est-il limité uniquement aux

personnes autorisées ?

A 10.1.1 Existe-t-il une politique de chiffrement actuelle ?

A 10.1.2 Les clés cryptographiques sont-elles correctement protégées ?

A 11.1.1 Les zones où les informations sensibles sont physiquement

stockées sont-elles protégées contre tout accès non autorisé ?

A 11.1.2 Les entrées des zones sécurisées sont-elles protégées afin que
seul le personnel autorisé puisse entrer ?

A 11.1.3 Les zones sécurisées sont-elles inaccessibles aux étrangers ?

A 11.1.4 Les alarmes, la protection contre les incendies et les autres

systèmes sont-ils correctement installés, inspectés et
entretenus ?

A 11.1.5 Existe-t-il des procédures de travail définies pour les zones

sécurisées ?

A 11.1.6 Les zones de livraison et de chargement sont-elles contrôlées

afin que les personnes non autorisées ne puissent pas entrer ?

A 11.2.1 L'équipement est-il protégé contre les accès non autorisés et

contre les menaces environnementales ?

A 11.2.2 L'équipement dispose-t-il d'une alimentation sans coupure ?

A 11.2.3 Les câbles d'alimentation et de télécommunication sont-ils

correctement protégés ?

A 11.2.4 L'équipement est-il entretenu conformément aux

spécifications du fabricant ?

A 11.2.5 Une autorisation appropriée est-elle donnée chaque fois que

des actifs informationnels sont retirés de la propriété de
l'entreprise ?

A 11.2.6 Les actifs de l'entreprise sont-ils correctement protégés

lorsqu'ils ne se trouvent pas sur la propriété de l'entreprise ?

A 11.2.7 Toutes les informations et tous les logiciels sous licence sont-
ils retirés de l'équipement lors de sa mise au rebut ?

A 11.2.8 Les utilisateurs protègent-ils leur équipement lorsqu'ils ne le

possèdent pas ?

A 11.2.9 Une politique actuelle de bureau/écran propre est-elle en

place ?

A 12.1.1 Les procédures d'exploitation des processus informatiques

ont-elles été entièrement documentées ?

A 12.1.2 Existe-t-il une politique actuelle de gestion des modifications

afin que toute modification des systèmes et processus
informatiques susceptible d'affecter la sécurité de
l'information soit contrôlée ?

A 12.1.3 Quelqu'un est-il responsable du suivi de la capacité des

ressources ?

A 12.1.4 Les environnements de développement, de test et de

production sont-ils séparés ?

A 12.2.1 Le logiciel anti-virus/anti-malware est-il installé et à jour ?

A 12.3.1 Existe-t-il une politique de sauvegarde actuelle et les

sauvegardes sont-elles effectuées conformément à la
politique ?

A 12.4.1 Tous les événements des systèmes informatiques sont-ils

consignés et ces journaux sont-ils régulièrement vérifiés ?

A 12.4.2 Les journaux sont-ils protégés afin que les personnes non
autorisées ne puissent pas les modifier ?

A 12.4.3 Les journaux de l'administrateur sont-ils protégés afin que les

administrateurs système ne puissent pas les modifier ou les
supprimer ? Les journaux sont-ils régulièrement vérifiés ?

A 12.4.4 Les horloges de tous les systèmes informatiques sont-elles

synchronisées sur une seule horloge centrale ?
A 12.5.1, A Existe-t-il une politique d'installation de logiciels en
12.6.2 vigueur ?

A 12.6.1 Quelqu'un est-il responsable de la collecte d'informations sur

les vulnérabilités, et ces vulnérabilités sont-elles résolues en
temps opportun ?

A 12.7.1 Des audits internes des systèmes de production sont-ils

planifiés et exécutés pour minimiser le risque de
perturbation ?

A 13.1.1 Les protections des réseaux sont-elles en place, telles que le

contrôle des connexions et la vérification des terminaux, les
pare-feu et les systèmes de détection/prévention des
intrusions, les listes de contrôle d'accès et la ségrégation
physique, logique ou virtuelle ?
A 13.1.2 Les exigences de sécurité pour les services de réseau internes
et externes sont-elles définies et incluses dans les accords ?

A 13.1.3 Les groupes d'utilisateurs, de services et de systèmes sont-ils

répartis sur différents réseaux ?

A 13.2.1 Des politiques et des processus formels de transfert

d'informations sont-ils en place ?

A 13.2.2 Existe-t-il des accords avec des tiers pour réglementer la

sécurité des transferts d'informations ?

A 13.2.3 Les messages échangés sur les réseaux sont-ils correctement

protégés ?

A 13.2.4 L'organisation répertorie-t-elle toutes les clauses de

confidentialité qui doivent être incluses dans les accords avec
des tiers ?

A 14.1.1 Des exigences de sécurité sont-elles définies pour les

systèmes d'information nouveaux ou modifiés ?

A 14.1.2 Les informations d'application transférées via les réseaux

publics sont-elles protégées de manière appropriée ?

A 14.1.3 Les informations sur les transactions transférées via les

réseaux publics sont-elles protégées de manière appropriée ?

A 14.2.1 Existe-t-il des règles définies pour le développement sécurisé

de logiciels et de systèmes ?

A 14.2.2 Des procédures formelles de contrôle des modifications sont-

elles en place pour les systèmes nouveaux ou existants ?

A 14.2.3 Les applications critiques sont-elles testées après toute

modification ou mise à jour des systèmes d'exploitation ?

A 14.2.4 Les systèmes d'information ne sont-ils soumis qu'aux

évolutions nécessaires ?

A 14.2.5 Les principes d'ingénierie des systèmes sécurisés sont-ils

documentés et suivis ?

A 14.2.6 L'environnement de développement est-il correctement

protégé contre les accès et modifications non autorisés ?

A 14.2.7 Le développement de systèmes externalisés est-il surveillé et

contrôlé ?

A 14.2.8 Au cours du développement, les exigences de sécurité sont-

elles testées pour une mise en œuvre correcte ?

A 14.2.9 Les critères d'acceptation des systèmes sont-ils clairement

définis ?

A 14.3.1 Les données de test sont-elles soigneusement sélectionnées et

protégées ?

A 15.1.1 Existe-t-il une politique actuelle de gestion des risques liés

aux fournisseurs ?

A 15.1.2 Toutes les exigences de sécurité pertinentes sont-elles

incluses dans les accords avec les fournisseurs et les
partenaires ?

A 15.1.3 Les accords avec les fournisseurs de cloud et d'autres

fournisseurs incluent-ils des exigences pour une prestation de
services fiable ?

A 15.2.1 Les fournisseurs sont-ils régulièrement contrôlés pour leur

conformité à la sécurité et/ou subissent-ils des audits de
sécurité ?

A 15.2.2 Les processus existants et les risques de sécurité sont-ils pris

en compte lors de la modification des contrats avec les
fournisseurs et partenaires ?

A 16.1.1, A Existe-t-il une politique actuelle de réponse aux incidents ?

16.1.5

A 16.1.2 Tous les événements et incidents liés à la sécurité des

informations sont-ils signalés en temps opportun ?

A 16.1.3 Les employés et les sous-traitants signalent-ils des faiblesses

de sécurité identifiées ?

A 16.1.4 Tous les événements de sécurité sont-ils évalués et

classifiés ?

A 16.1.6 Les incidents de sécurité sont-ils analysés pour éviter qu'ils

ne se reproduisent ?

A 16.1.7 Existe-t-il des processus actuels de collecte de preuves pour

faciliter les procédures judiciaires pouvant découler d'un
incident de sécurité ?

A 17.1.1 Des exigences clairement définies sont-elles en place pour la

continuité de la sécurité de l'information ?

A 17.1.2 Existe-t-il une politique ou un processus de continuité des

activités ?

A 17.1.3 L'organisation effectue-t-elle des tests et/ou mène-t-elle des

exercices pour assurer une réponse efficace aux incidents ?

A 17.2.1 Y a-t-il des redondances en place au sein de l'infrastructure

informatique pour remplir les obligations contractuelles en
cas de sinistre ?

A 18.1.1 Toutes les exigences de sécurité législatives, réglementaires,

contractuelles et autres sont-elles identifiées et documentées ?

A 18.1.2 Existe-t-il des processus pour garantir l'application des droits

de propriété intellectuelle ?

A 19.1.3 Tous les enregistrements sont-ils protégés conformément aux

exigences réglementaires et contractuelles identifiées ?

A 18.1.4 Les informations personnelles identifiables (PII) sont-elles

protégées conformément aux lois et réglementations
applicables ?

A 18.1.5 Des contrôles cryptographiques sont-ils en place

conformément aux lois et réglementations applicables ?

A 18.2.1 Les contrôles de sécurité de l'information sont-ils

régulièrement revus par un auditeur indépendant ?

A 18.2.2 La direction revoit-elle régulièrement les politiques et

procédures de sécurité ?

A 18.2.3 Les systèmes d'information sont-ils régulièrement revus pour

assurer la conformité aux politiques et aux normes de sécurité
de l'information ?