Académique Documents
Professionnel Documents
Culture Documents
Document d'appui à la mise en œuvre des exigences de l'Annexe A de la norme ISO 27001-2013 relative à la sécurité des systemes d'information
Enregistrement qualité : A4 100% vertical
Outil d'autodiagnostic
Mode d'emploi
OBJECTIFS :
Cet outil permet d'évaluer la conformité aux exigences relatives à la sécurité des systèmes d'information "Annexe A" de la norme
ISO 27001 de 2013 " Techniques de sécurité Systèmes de management de la sécurité de l’information ".
(NB : Cet outil ne garantit pas une certification)
La grille se présente sous format Excel constitué de cinq (5) {onglets} à utiliser l'un après l'autre :
- {Mode d'emploi} :
* Explicite le fonctionnement de l'outil et les échelles d'évaluation utilisées avec leurs seuils paramétrables
- {Exigences} :
* Des critères d'évaluation sont définis
* Des modes de preuve et des commentaires explicitent les évaluations faites
- {Résultats globaux} :
* Histogrammes et graphes radar des évaluations sur les exigences associées à la norme
* Tableau de synthèse et zones d'élaboration des plans d'amélioration
- {Déclaration} :
* Pour communiquer librement ses résultats s'ils sont considérés comme probants
* Le niveau minimal "Déclarable" est à partir de "Convaincant"
Echelles d'évaluation
NB : Vous pouvez modifier les limites minimales ci-dessus du "Taux moyen minimal" de conformité (cellules blanches)
Les taux de véracité sont calculés automatiquement en étant la médiane de chaque intervalle sauf pour les deux extrémités « Faux » et « Vrai » qui
correspondent respectivement à des taux de véracité de 0% et 100%.
Document d'appui à la mise en œuvre des exigences de l'Annexe A de la norme ISO 27001-2013 relative à la sécurité des systemes d'information Impression sur pages A4 100% en format horizontal
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
Attention : 114 mesures ne sont pas encore évaluées Attention : 35 objectifs ne sont pas encore traités Attention : 14 axes ne sont pas encore traités
Conformité de niveau 3 : Il est nécessaire de tracer et
Taux et niveaux de respect des exigences d'améliorer les activités.
Choix de
mes 5 Des relations appropriées avec les autorités compétentes sont entretenues
VÉRACITÉ
Des relations appropriées avec des groupes d’intérêt, des forums spécialisés Choix de
mes 6 Libellé du critère quand il sera choisi
dans la sécurité et des associations professionnelles sont entretenues VÉRACITÉ
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
La sécurité de l’information est considérée dans la gestion de projet, quel que Choix de
mes 7 Libellé du critère quand il sera choisi
soit le type de projet concerné VÉRACITÉ
L’ensemble des salariés de l’organisation et, quand cela est pertinent, des
sous-traitants, bénificent d’une sensibilisation et de formations adaptées et Choix de
mes 13 Libellé du critère quand il sera choisi
recevent régulièrement les mises à jour des politiques et procédures de VÉRACITÉ
l’organisation s’appliquant à leurs fonctions
Choix de
mes 17 Les actifs figurant à l’inventaire sont attribués à un propriétaire Libellé du critère quand il sera choisi
VÉRACITÉ
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
Les règles d’utilisation correcte de l’information, les actifs associés à
Choix de
mes 18 l’information et les moyens de traitement de l’information sont identifiés, Libellé du critère quand il sera choisi
VÉRACITÉ
documentés et mis en œuvre
Tous les salariés et les utilisateurs tiers restituent la totalité des actifs de
Choix de
mes 19 l’organisation qu’ils ont en leur possession au terme de la période d’emploi, du Libellé du critère quand il sera choisi
VÉRACITÉ
contrat ou de l’accord
Des procédures de gestion des supports amovibles sont mises en œuvre Choix de
mes 23 Libellé du critère quand il sera choisi
conformément au plan de classification adopté par l’organisation VÉRACITÉ
Les supports qui ne sont plus nécessaires sont mis au rebut de manière Choix de
mes 24 Libellé du critère quand il sera choisi
sécurisée en suivant des procédures formelles VÉRACITÉ
Les supports contenant de l’information sont protégés contre les accès non Choix de
mes 25 Libellé du critère quand il sera choisi
autorisés, les erreurs d’utilisation et l’altération lors du transport VÉRACITÉ
Une politique de contrôle d’accès est établie, documentée et revue sur la base Choix de
mes 26 Libellé du critère quand il sera choisi
des exigences métier et de sécurité de l’information VÉRACITÉ
Les utilisateurs ont uniquement accès au réseau et aux services réseau pour Choix de
mes 27 Libellé du critère quand il sera choisi
lesquels ils ont spécifiquement reçu une autorisation VÉRACITÉ
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
Les propriétaires d’actifs vérifient les droits d’accès des utilisateurs à Choix de
mes 32 Libellé du critère quand il sera choisi
intervalles réguliers VÉRACITÉ
Les droits d’accès aux informations et aux moyens de traitement des
informations de l’ensemble des salariés et utilisateurs tiers sont supprimés à la Choix de
mes 33 Libellé du critère quand il sera choisi
fin de leur période d’emploi, ou adaptés en cas de modification du contrat ou VÉRACITÉ
de l’accord
Les utilisateurs suivent les pratiques de l’organisation pour l’utilisation des Choix de
mes 34 Libellé du critère quand il sera choisi
informations secrètes d’authentification VÉRACITÉ
Lorsque la politique de contrôle d’accès l’exige, l’accès aux systèmes et aux Choix de
mes 36 Libellé du critère quand il sera choisi
applications sont contrôlé par une procédure de connexion sécurisée VÉRACITÉ
Les systèmes qui gèrent les mots de passe sont interactifs et doivent garantir Choix de
mes 37 Libellé du critère quand il sera choisi
la qualité des mots de passe VÉRACITÉ
L’utilisation des programmes utilitaires permettant de contourner les mesures
Choix de
mes 38 de sécurité d’un système ou d’une application sont limitée et étroitement Libellé du critère quand il sera choisi
VÉRACITÉ
contrôlée
Choix de
mes 39 L’accès au code source des programmes est restreint Libellé du critère quand il sera choisi
VÉRACITÉ
Conformité de niveau 3 : Il est nécessaire de tracer et
A.10 Cryptographie en attente d'améliorer les activités.
Des périmètres de sécurité sont définis et utilisés pour protéger les zones
Choix de
mes 42 contenant l’information sensible ou critique et les moyens de traitement de Libellé du critère quand il sera choisi
VÉRACITÉ
l’information
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
Les zones sécurisées sont protégées par des contrôles adéquats à l’entrée Choix de
mes 43 Libellé du critère quand il sera choisi
pour s’assurer que seul le personnel autorisé est admis VÉRACITÉ
Des mesures de sécurité physique aux bureaux, aux salles et aux Choix de
mes 44 Libellé du critère quand il sera choisi
équipements sont conçues et appliquées VÉRACITÉ
Des mesures de protection physique contre les désastres naturels, les Choix de
mes 45 Libellé du critère quand il sera choisi
attaques malveillantes ou les accidents sont conçues et appliquées VÉRACITÉ
Des procédures pour le travail dans les zones sécurisées sont conçues et Choix de
mes 46 Libellé du critère quand il sera choisi
appliquées. VÉRACITÉ
Les points d’accès tels que les zones de livraison et de chargement et les
autres points par lesquels des personnes non autorisées peuvent pénétrer Choix de
mes 47 Libellé du critère quand il sera choisi
dans les locaux sont contrôlés et, si possible, isolé des moyens de traitement VÉRACITÉ
de l'information, de facon a eviter les accès non autorisés
A.11.2 Matériels en attente
Les matériels sont localisés et protégés de manière à réduire les risques liés à
Choix de
mes 48 des menaces et des dangers environnementaux et les possibilités d’accès non Libellé du critère quand il sera choisi
VÉRACITÉ
autorisé
Les matériels sont protégés des coupures de courant et autres perturbations Choix de
mes 49 Libellé du critère quand il sera choisi
dues à une défaillance des services généraux VÉRACITÉ
Les matériels sont entretenus correctement pour garantir leur disponibilité Choix de
mes 51 Libellé du critère quand il sera choisi
permanente et leur intégrité VÉRACITÉ
Les matériels, les informations ou les logiciels des locaux de l’organisation ne Choix de
mes 52 Libellé du critère quand il sera choisi
sortent pas sortir sans autorisation préalable VÉRACITÉ
Des mesures de sécurité sont appliquées aux matériels utilisés hors des
Choix de
mes 53 locaux de l’organisation en tenant compte des différents risques associés au Libellé du critère quand il sera choisi
VÉRACITÉ
travail hors site
Tous les composants des matériels contenant des supports de stockage sont
vérifiés pour s’assurer que toute donnée sensible a bien été supprimée et que Choix de
mes 54 Libellé du critère quand il sera choisi
tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, VÉRACITÉ
avant leur mise au rebut ou leur réutilisation
Les utilisateurs s'assurent que les matériels non surveillés sont dotés d’une Choix de
mes 55 Libellé du critère quand il sera choisi
protection appropriée VÉRACITÉ
Une politique du bureau propre pour les documents papier et les supports de
Choix de
mes 56 stockage amovibles, et une politique de l’écran verrouillé pour les moyens de Libellé du critère quand il sera choisi
VÉRACITÉ
traitement de l’information sont adoptées
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
L’utilisation des ressources sont surveillée et ajustée et des projections sur les
Choix de
mes 59 dimensionnements futurs sont effectuées pour garantir les performances Libellé du critère quand il sera choisi
VÉRACITÉ
exigées du système
Des procédures sont mises en œuvre pour contrôler l’installation de logiciel sur Choix de
mes 67 Libellé du critère quand il sera choisi
des systèmes en exploitation VÉRACITÉ
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
Des règles régissant l’installation de logiciels par les utilisateurs sont établies Choix de
mes 69 Libellé du critère quand il sera choisi
et mises en œuvre VÉRACITÉ
Les exigences et activités d’audit impliquant des vérifications sur des systèmes Choix de
mes 70 Libellé du critère quand il sera choisi
en exploitation sont prévues avec soin et validées VÉRACITÉ
Les réseaux sont gérés et contrôlés pour protéger l’information contenue dans Choix de
mes 71 Libellé du critère quand il sera choisi
les systèmes et les applications VÉRACITÉ
Pour tous les services de réseau, les mécanismes de sécurité, les niveaux de
service et les exigences de gestion, sont identifiés et intégrés dans les Choix de
mes 72 Libellé du critère quand il sera choisi
accords de services de réseau, que ces services soient fournis en interne ou VÉRACITÉ
externalisés
Des accords traitent du transfert sécurisé de l’information liée à l’activité entre Choix de
mes 75 Libellé du critère quand il sera choisi
l’organisation et les tiers. VÉRACITÉ
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
Les informations liées aux services d’application transmises sur les réseaux
Choix de
mes 79 publics sont protégées contre les activités frauduleuses, les différents Libellé du critère quand il sera choisi
VÉRACITÉ
contractuels, ainsi que la divulgation et la modification non autorisées
Des règles de développement des logiciels et des systèmes sont établies et Choix de
mes 81 Libellé du critère quand il sera choisi
appliquées aux développements de l’organisation VÉRACITÉ
Les modifications des progiciels ne sont pas encouragées, sont limitées aux Choix de
mes 84 Libellé du critère quand il sera choisi
changements nécessaires et tout changement est strictement contrôle VÉRACITÉ
Choix de
mes 90 Les données de test sont sélectionnées avec soin, protégées et contrôlées Libellé du critère quand il sera choisi
VÉRACITÉ
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
Les accords conclus avec les fournisseurs incluent des exigences sur le
Choix de
mes 93 traitement des risques liés à la sécurité de l’information associé à la chaîne Libellé du critère quand il sera choisi
VÉRACITÉ
d’approvisionnement des produits et des services informatiques
Les événements liés à la sécurité de l’information sont signalés dans les Choix de
mes 97 Libellé du critère quand il sera choisi
meilleurs délais par les voies hiérarchiques appropriées. VÉRACITÉ
Les incidents liés à la sécurité de l’information sont traités conformément aux Choix de
mes 100 Libellé du critère quand il sera choisi
procédures documentées VÉRACITÉ
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
Document d'appui à la mise en œuvre des exigences de l'Annexe A de la norme ISO 27001-2013 relative à la sécurité des systemes d'information Impression sur pages A4 100% en format horizontal
Moyenne générale :
1 en pointillés verts : seuil minimal paramétré pour être "Conforme" (voir onglet {Mode d'Emploi})
0.9
0.8
0.7
0.6
0.5 100%
0.4
0.3 80%
0.2
0.1 0 0 0 0 60%
0
Faux Plutôt Faux Plutôt Vrai Vrai 40%
20%
Attention : 114 mesures ne sont pas encore évaluées
0%
Niveaux de CONFORMITÉ des 0 OBJECTIFS de SÉCURITÉ évalués
1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1 0 0 0 0
0
Insuffisant Informel Convaincant Conforme
Attention : 35 objectifs ne sont pas encore traités Attention : 14 axes ne sont pas encore traités
Document d'appui à la mise en œuvre des exigences de l'Annexe A de la norme ISO 27001-2013 relative à la sécurité des systemes d'information Impression sur pages A4 100% en format horizontal
A.5 Politiques de sécurité de l’information en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
Orientations de la direction en
A.5.1 en attente
matière de sécurité de l’information
A.6 Organisation de la sécurité de l’information en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
A.7 Sécurité des ressources humaines en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
Document d'appui à la mise en œuvre des exigences de l'Annexe A de la norme ISO 27001-2013 relative à la sécurité des systemes d'information Impression sur pages A4 100% en format horizontal
A.9 Contrôle d’accès en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
A.11 Sécurité physique et environnementale en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
A.12 Sécurité liée à l’exploitation en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
Document d'appui à la mise en œuvre des exigences de l'Annexe A de la norme ISO 27001-2013 relative à la sécurité des systemes d'information Impression sur pages A4 100% en format horizontal
A.13 Sécurité des communications en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
A.18 Conformité en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
Objet de la déclaration :
Annexe A de la norme ISO 27001 de 2013 _x000D_"Techniques de sécurité Systèmes de
management de la sécurité de l’information"
Editions Afnor, www.afnor.org, décembre 2013
Nom de l'établissement / entreprise / organisation…
Nous soussigés, déclarons sous notre propre responsabilité que les niveaux de conformité de nos mesures de
sécurité ont été mesurés d'après les exigences de l'Annexe A de la norme NF EN ISO 27001:2013.
Nous avons appliqué la meilleure rigueur d'élaboration et d'analyse (évaluation par plusieurs personnes compétentes)
et nous avons respecté les règles d'éthique professionnelle (absence de conflits d'intérêt, respect des opinions, liberté
des choix) pour parvenir aux résultats ci-dessous.
Tableau des résultats de CONFORMITÉ de nos activités Taux moyen Niveaux de Conformité
Signataires
Personne indépendante à l'organisme : Personne responsable de l'organisme :
Indiquer les NOM et Prénom de la personne Nom de l'établissement / entreprise /
indépendante organisation…
Coordonnées professionnelles : Coordonnées professionnelles :
Organisme de la personne indépendante NOM et Prénom du Responsable
Adresse complète de l'organisme de la personne Adresse complète de l'Exploitant
indépendante
Code postal - Ville - Pays Code postal - Ville - Pays
Tél et email de la personne indépendante email : Tél :
Date de la déclaration (jj/mm/aaaa) : Date de l'autodiagnostic (jj/mm/aaaa) :
Mettre la date de signature par la personne compétente pas de date d'évaluation pour l'instant
Signature : Signature :