Autodiagnostic ISO 27001v2013 Annexe A v03p

_x000D_ © UTC www.utc.
fr/master-qualite, puis "Travaux" "Qualité-Management", réf n°403, juin 2017
Document d'appui à la mise en œuvre des exigences de l'Annexe A de la norme ISO 27001-2013 relative à la sécurité des systemes d'information
Enregistrement qualité : A4 100% vertical
Outil d'autodiagnostic
Annexe A de la norme ISO 27001 de 2013

"Techniques de sécurité Systèmes de management de la sécurité de l’information"
Editions Afnor, www.afnor.org, décembre 2013

Attention : Seules les cases blanches écrites en bleu peuvent être modifiées par l’utilisateur. Cela concerne toutes les parties de l’outil
Entreprise: Nom de l'établissement / entreprise / organisation…
Responsable du Service : NOM et Prénom du Responsable
Contact du Responsable du Service : email : Tél :
Mode d'emploi
OBJECTIFS :
Cet outil permet d'évaluer la conformité aux exigences relatives à la sécurité des systèmes d'information "Annexe A" de la norme
ISO 27001 de 2013 " Techniques de sécurité Systèmes de management de la sécurité de l’information ".
(NB : Cet outil ne garantit pas une certification)
PRESENTATION DES ELEMENTS :
La grille se présente sous format Excel constitué de cinq (5) {onglets} à utiliser l'un après l'autre :
- {Mode d'emploi} :
* Explicite le fonctionnement de l'outil et les échelles d'évaluation utilisées avec leurs seuils paramétrables
- {Exigences} :
* Des critères d'évaluation sont définis
* Des modes de preuve et des commentaires explicitent les évaluations faites
- {Résultats globaux} :
* Histogrammes et graphes radar des évaluations sur les exigences associées à la norme
* Tableau de synthèse et zones d'élaboration des plans d'amélioration
- {Déclaration} :
* Pour communiquer librement ses résultats s'ils sont considérés comme probants
* Le niveau minimal "Déclarable" est à partir de "Convaincant"
Echelles d'évaluation
Niveaux de VÉRACITÉ quant aux MESURES LIBELLÉS des niveaux de CONFORMITÉ

des actions associées aux exigences de la norme des OBJECTIFS et AXES de la norme
Taux Taux Niveaux de

Libellés explicites Choix de Taux de Libellés explicites
moyen moyen CONFORMIT
des niveaux de VÉRACITÉ VÉRACITÉ VÉRACITÉ des niveaux de CONFORMITÉ
Minimal Maximal É
Niveau 1 : L'action n'est pas Conformité de niveau 1 : Il est

réalisée ou alors de manière très Faux 0% 0% 29% Insuffisant nécessaire de formaliser les
aléatoire. activités réalisées.
Niveau 2 : L'action est réalisée Conformité de niveau 2 : Il est

quelques fois de manière Plutôt Faux 44% 30% 59% Informel nécessaire de pérenniser la
informelle. bonne exécution des activités.
Conformité de niveau 3 : Il est

Niveau 3 : L'action est formalisée
Plutôt Vrai 75% 60% 89% Convaincant nécessaire de tracer et
et réalisée.
d'améliorer les activités.
Niveau 4 : L'action est Conformité de niveau 4 :

formalisée, réalisée, tracée et Vrai 100% 90% 100% Conforme BRAVO ! Maintenez et
améliorée. communiquez vos résultats.
NB : Vous pouvez modifier les limites minimales ci-dessus du "Taux moyen minimal" de conformité (cellules blanches)
Les taux de véracité sont calculés automatiquement en étant la médiane de chaque intervalle sauf pour les deux extrémités « Faux » et « Vrai » qui
correspondent respectivement à des taux de véracité de 0% et 100%.
Concepteurs : NAIT OUSLIMANE Sara - saramedjdoub@hotmail.fr & FARGES Gilbert - gilbert.farges@utc.fr
Fichier : 712118015.xlsx Onglet : Mode d'emploi page n° 1/18

© UTC www.utc.fr/master-qualite, puis "Travaux" "Qualité-Management", réf n°403, juin 2017 Fichier : 712118015.xlsx - Onglet : Exigences
Document d'appui à la mise en œuvre des exigences de l'Annexe A de la norme ISO 27001-2013 relative à la sécurité des systemes d'information Impression sur pages A4 100% en format horizontal
Annexe A de la norme ISO 27001 de 2013 _x000D_"Techniques de

sécurité Systèmes de management de la sécurité de l’information"
Nom de l'établissement / entreprise / organisation…

Signature du responsable de l'autodiagnostic :
Date de l'autodiagnostic (jj/mm/aaaa):
Responsable de l'autodiagnostic : NOM et Prénom
Contact (Tél et Email) : Tél : Email :
L'équipe d'autodiagnostic : Noms et Prénoms des participants
Réf. Axes (Ax), Objectifs (AX.x) et Mesures (mes x) Evaluations Taux Niveaux des évaluations Modes de preuve et commentaires
Attention : 114 mesures ne sont pas encore évaluées Attention : 35 objectifs ne sont pas encore traités Attention : 14 axes ne sont pas encore traités
Conformité de niveau 3 : Il est nécessaire de tracer et
Taux et niveaux de respect des exigences d'améliorer les activités.

A.5 Politiques de sécurité de l’information en attente d'améliorer les activités.
A.5.1 Orientations de la direction en matière de sécurité de l’information en attente
Un ensemble de politiques de sécurité de l’information est défini, approuvé par Choix de

mes 1 Libellé du critère quand il sera choisi
la direction, diffusé et communiqué aux salariés et aux tiers concernés VÉRACITÉ
Les politiques de sécurité de l’information sont revues à intervalles

Choix de
mes 2 programmés ou en cas de changements majeurs pour garantir leur pertinence, Libellé du critère quand il sera choisi
VÉRACITÉ
leur adéquation et leur effectivité dans le temps

A.6 Organisation de la sécurité de l’information en attente d'améliorer les activités.
A.6.1 Organisation interne en attente
Toutes les responsabilités en matière de sécurité de l’information sont définies Choix de

et attribuées VÉRACITÉ
Les tâches et les domaines de responsabilité incompatibles sont cloisonnés
Choix de
mes 4 pour limiter les possibilités de modification ou de mauvais usage, non Libellé du critère quand il sera choisi
VÉRACITÉ
autorisé(e) ou involontaire, des actifs de l’organisation
Choix de
mes 5 Des relations appropriées avec les autorités compétentes sont entretenues
VÉRACITÉ
Des relations appropriées avec des groupes d’intérêt, des forums spécialisés Choix de
dans la sécurité et des associations professionnelles sont entretenues VÉRACITÉ
© NAIT OUSLIMANE Sara - saramedjdoub@hotmail.fr et FARGES Gilbert - gilbert.farges@utc.fr page n° 2/18

La sécurité de l’information est considérée dans la gestion de projet, quel que Choix de
soit le type de projet concerné VÉRACITÉ
A.6.2 Appareils mobiles et télétravail en attente
Une politique et des mesures de sécurité complémentaires sont adoptées Choix de

pour gérer les risques découlant de l’utilisation des appareils mobiles VÉRACITÉ
Une politique et des mesures de sécurité complémentaires sont mises en Choix de

mes 9 œuvre pour protéger les informations consultées, traitées ou stockées sur des Libellé du critère quand il sera choisi
VÉRACITÉ
sites de télétravail
A.7 Sécurité des ressources humaines en attente d'améliorer les activités.
A.7.1 Avant l'mbauche en attente
Des vérifications sont effectuées sur tous les candidats à l’embauche

conformément aux lois, aux règlements et à l’éthique et sont Choix de
proportionnées aux exigences métier, à la classification des informations VÉRACITÉ
accessibles et aux risques identifiés
Les accords contractuels entre les salariés et les sous-traitants sont
Choix de
mes 11 précisés leurs responsabilités et celles de l’organisation en matière de Libellé du critère quand il sera choisi
VÉRACITÉ
sécurité de l’information.
A.7.2 Pendant la durée du contrat en attente
La direction demande à tous les salariés et sous-traitants d’appliquer les

Choix de
mes 12 règles de sécurité de l’information conformément aux politiques et aux Libellé du critère quand il sera choisi
VÉRACITÉ
procédures en vigueur dans l’organisation
L’ensemble des salariés de l’organisation et, quand cela est pertinent, des
sous-traitants, bénificent d’une sensibilisation et de formations adaptées et Choix de
recevent régulièrement les mises à jour des politiques et procédures de VÉRACITÉ
l’organisation s’appliquant à leurs fonctions
Un processus disciplinaire formel et existant est connu de tous pour prendre

Choix de
mes 14 des mesures à l’encontre des salariés ayant enfreint les règles liées à la Libellé du critère quand il sera choisi
VÉRACITÉ
sécurité de l’information
A.7.3 Rupture, terme ou modification du contrat de travail en attente
Les responsabilités et les missions liées à la sécurité de l’information qui

restent valables à l’issue de la rupture, du terme ou de la modification du Choix de
contrat de travail, sont définies, communiquées au salarié ou au sous-traitant, VÉRACITÉ
et appliquées

A.8 Gestion des actifs en attente d'améliorer les activités.
A.8.1 Responsabilités relatives aux actifs en attente
Les actifs associés à l’information et aux moyens de traitement de l’information Choix de

sont identifiés et un inventaire de ces actifs est dressé et tenu à jour. VÉRACITÉ
Choix de
mes 17 Les actifs figurant à l’inventaire sont attribués à un propriétaire Libellé du critère quand il sera choisi
VÉRACITÉ

Les règles d’utilisation correcte de l’information, les actifs associés à
Choix de
mes 18 l’information et les moyens de traitement de l’information sont identifiés, Libellé du critère quand il sera choisi
VÉRACITÉ
documentés et mis en œuvre
Tous les salariés et les utilisateurs tiers restituent la totalité des actifs de
Choix de
mes 19 l’organisation qu’ils ont en leur possession au terme de la période d’emploi, du Libellé du critère quand il sera choisi
VÉRACITÉ
contrat ou de l’accord
A.8.2 Classification de l'information en attente
Les informations sont classifiées en termes d’exigences légales, de valeur, de

Choix de
mes 20 caractère critique et de sensibilité au regard d’une divulgation ou modification Libellé du critère quand il sera choisi
VÉRACITÉ
non autorisée
Un ensemble approprié de procédures pour le marquage de l’information est

Choix de
mes 21 élaboré et mis en œuvre conformément au plan de classification adopté par Libellé du critère quand il sera choisi
VÉRACITÉ
l’organisation
Des procédures de traitement de l’information sont élaborées et mises en

Choix de
mes 22 œuvre conformément au plan de classification de l’information adopté par Libellé du critère quand il sera choisi
VÉRACITÉ
l’organisation
A.8.3 Manipulation des supports en attente
Des procédures de gestion des supports amovibles sont mises en œuvre Choix de
conformément au plan de classification adopté par l’organisation VÉRACITÉ
Les supports qui ne sont plus nécessaires sont mis au rebut de manière Choix de
sécurisée en suivant des procédures formelles VÉRACITÉ
Les supports contenant de l’information sont protégés contre les accès non Choix de
autorisés, les erreurs d’utilisation et l’altération lors du transport VÉRACITÉ

A.9 Contrôle d’accès en attente d'améliorer les activités.
A.9.1 Exigences métier en matière de contrôle d’accès en attente
Une politique de contrôle d’accès est établie, documentée et revue sur la base Choix de
des exigences métier et de sécurité de l’information VÉRACITÉ
Les utilisateurs ont uniquement accès au réseau et aux services réseau pour Choix de
lesquels ils ont spécifiquement reçu une autorisation VÉRACITÉ
A.9.2 Gestion d'accès utilisateur en attente
Un processus formel d’enregistrement et de désinscription des utilisateurs est Choix de

mis en œuvre pour permettre l’attribution des droits d’accès VÉRACITÉ

Un processus formel de distribution des accès aux utilisateurs sont mis en

Choix de
mes 29 œuvre pour attribuer et retirer des droits d’accès à tous types d’utilisateurs sur Libellé du critère quand il sera choisi
VÉRACITÉ
l’ensemble des services et des systèmes
L’allocation et l’utilisation des droits d’accès à privilèges sont restreintes et Choix de

contrôlées VÉRACITÉ
L’attribution des informations secrètes d’authentification sont réalisée dans le Choix de
cadre d’un processus de gestion formel VÉRACITÉ
Les propriétaires d’actifs vérifient les droits d’accès des utilisateurs à Choix de
intervalles réguliers VÉRACITÉ
Les droits d’accès aux informations et aux moyens de traitement des
informations de l’ensemble des salariés et utilisateurs tiers sont supprimés à la Choix de
fin de leur période d’emploi, ou adaptés en cas de modification du contrat ou VÉRACITÉ
de l’accord
A.9.3 Responsabilités des utilisateurs en attente
Les utilisateurs suivent les pratiques de l’organisation pour l’utilisation des Choix de
informations secrètes d’authentification VÉRACITÉ
A.9.4 Contrôle de l’accès au système et à l’information en attente
L’accès à l’information et aux fonctions d’application système sont restreint Choix de

conformément à la politique de contrôle d’accès VÉRACITÉ
Lorsque la politique de contrôle d’accès l’exige, l’accès aux systèmes et aux Choix de
applications sont contrôlé par une procédure de connexion sécurisée VÉRACITÉ
Les systèmes qui gèrent les mots de passe sont interactifs et doivent garantir Choix de
la qualité des mots de passe VÉRACITÉ
L’utilisation des programmes utilitaires permettant de contourner les mesures
Choix de
mes 38 de sécurité d’un système ou d’une application sont limitée et étroitement Libellé du critère quand il sera choisi
VÉRACITÉ
contrôlée
Choix de
mes 39 L’accès au code source des programmes est restreint Libellé du critère quand il sera choisi
VÉRACITÉ
A.10 Cryptographie en attente d'améliorer les activités.
A.10.1 Mesures cryptographiques en attente
Une politique d’utilisation des mesures cryptographiques en vue de protéger Choix de

l’information est élaborée et mise en œuvre VÉRACITÉ
Une politique sur l’utilisation, la protection et la durée de vie des clés
Choix de
mes 41 cryptographiques est élaborée et mise en œuvre tout au long de leur cycle de Libellé du critère quand il sera choisi
VÉRACITÉ
vie
A.11 Sécurité physique et environnementale en attente d'améliorer les activités.
A.11.1 Zones sécurisées en attente
Des périmètres de sécurité sont définis et utilisés pour protéger les zones
Choix de
mes 42 contenant l’information sensible ou critique et les moyens de traitement de Libellé du critère quand il sera choisi
VÉRACITÉ
l’information

Les zones sécurisées sont protégées par des contrôles adéquats à l’entrée Choix de
pour s’assurer que seul le personnel autorisé est admis VÉRACITÉ
Des mesures de sécurité physique aux bureaux, aux salles et aux Choix de
équipements sont conçues et appliquées VÉRACITÉ
Des mesures de protection physique contre les désastres naturels, les Choix de
attaques malveillantes ou les accidents sont conçues et appliquées VÉRACITÉ
Des procédures pour le travail dans les zones sécurisées sont conçues et Choix de
appliquées. VÉRACITÉ
Les points d’accès tels que les zones de livraison et de chargement et les
autres points par lesquels des personnes non autorisées peuvent pénétrer Choix de
dans les locaux sont contrôlés et, si possible, isolé des moyens de traitement VÉRACITÉ
de l'information, de facon a eviter les accès non autorisés
A.11.2 Matériels en attente
Les matériels sont localisés et protégés de manière à réduire les risques liés à
Choix de
mes 48 des menaces et des dangers environnementaux et les possibilités d’accès non Libellé du critère quand il sera choisi
VÉRACITÉ
autorisé
Les matériels sont protégés des coupures de courant et autres perturbations Choix de
dues à une défaillance des services généraux VÉRACITÉ
Les câbles électriques ou de télécommunication transportant des données ou

Choix de
mes 50 supportant les services d’information sont protégés contre toute interception ou Libellé du critère quand il sera choisi
VÉRACITÉ
tout dommage
Les matériels sont entretenus correctement pour garantir leur disponibilité Choix de
permanente et leur intégrité VÉRACITÉ
Les matériels, les informations ou les logiciels des locaux de l’organisation ne Choix de
sortent pas sortir sans autorisation préalable VÉRACITÉ
Des mesures de sécurité sont appliquées aux matériels utilisés hors des
Choix de
mes 53 locaux de l’organisation en tenant compte des différents risques associés au Libellé du critère quand il sera choisi
VÉRACITÉ
travail hors site
Tous les composants des matériels contenant des supports de stockage sont
vérifiés pour s’assurer que toute donnée sensible a bien été supprimée et que Choix de
tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, VÉRACITÉ
avant leur mise au rebut ou leur réutilisation
Les utilisateurs s'assurent que les matériels non surveillés sont dotés d’une Choix de
protection appropriée VÉRACITÉ
Une politique du bureau propre pour les documents papier et les supports de
Choix de
mes 56 stockage amovibles, et une politique de l’écran verrouillé pour les moyens de Libellé du critère quand il sera choisi
VÉRACITÉ
traitement de l’information sont adoptées

A.12 Sécurité liée à l’exploitation en attente d'améliorer les activités.

A.12.1 Procédures et responsabilités liées à l’exploitation en attente
Les procédures d’exploitation sont documentées et mises à disposition de tous Choix de

les utilisateurs concernés VÉRACITÉ
Les changements apportés à l’organisation, aux processus métier, aux

Choix de
mes 58 systèmes et moyens de traitement de l’information ayant une incidence sur la Libellé du critère quand il sera choisi
VÉRACITÉ
sécurité de l’information sont contrôlés
L’utilisation des ressources sont surveillée et ajustée et des projections sur les
Choix de
mes 59 dimensionnements futurs sont effectuées pour garantir les performances Libellé du critère quand il sera choisi
VÉRACITÉ
exigées du système
Les environnements de développement, de test et d’exploitation sont séparés

Choix de
mes 60 pour réduire les risques d’accès ou de changements non autorisés dans Libellé du critère quand il sera choisi
VÉRACITÉ
l’environnement en exploitation
A.12.2 Protection contre les logiciels malveillants en attente
Les environnements de développement, de test et d’exploitation sont séparés

Choix de
mes 61 pour réduire les risques d’accès ou de changements non autorisés dans Libellé du critère quand il sera choisi
VÉRACITÉ
l’environnement en exploitation
A.12.3 Sauvegarde en attente
Des copies de sauvegarde de l’information, des logiciels et des images

Choix de
mes 62 systèmes sont réalisés et testés régulièrement conformément à une politique Libellé du critère quand il sera choisi
VÉRACITÉ
de sauvegarde convenue
A.12.4 Journalisation et surveillance en attente
Des journaux d’événements enregistrant les activités de l’utilisateur, les

Choix de
mes 63 exceptions, les défaillances et les événements liés à la sécurité de Libellé du critère quand il sera choisi
VÉRACITÉ
l’information sont créés, tenus à jour et vérifiés régulièrement
Les moyens de journalisation et d’information journalisée sont protégés contre Choix de

les risques de falsification ou d’accès non autorisé VÉRACITÉ
Les activités de l’administrateur système et de l’opérateur système sont Choix de

journalisées, protégées et vérifiées régulièrement VÉRACITÉ
Les horloges de l’ensemble des systèmes de traitement de l’information

Choix de
mes 66 concernés d’une organisation ou d’un domaine de sécurité sont synchronisées Libellé du critère quand il sera choisi
VÉRACITÉ
sur une source de référence temporelle unique
A.12.5 Maîtrise des logiciels en exploitation en attente
Des procédures sont mises en œuvre pour contrôler l’installation de logiciel sur Choix de
des systèmes en exploitation VÉRACITÉ
A.12.6 Gestion des vulnérabilités techniques en attente

Des informations sur les vulnérabilités techniques des systèmes d’information

en exploitation sont obtenues en temps opportun, l’exposition de l’organisation Choix de
à ces vulnérabilités est évaluée et les mesures appropriées sont prises pour VÉRACITÉ
traiter le risque associé
Des règles régissant l’installation de logiciels par les utilisateurs sont établies Choix de
et mises en œuvre VÉRACITÉ
A.12.7 Considérations sur l’audit des systèmes d’information en attente
Les exigences et activités d’audit impliquant des vérifications sur des systèmes Choix de
en exploitation sont prévues avec soin et validées VÉRACITÉ

A.13 Sécurité des communications en attente d'améliorer les activités.
A.13.1 Gestion de la sécurité des réseaux en attente
Les réseaux sont gérés et contrôlés pour protéger l’information contenue dans Choix de
les systèmes et les applications VÉRACITÉ
Pour tous les services de réseau, les mécanismes de sécurité, les niveaux de
service et les exigences de gestion, sont identifiés et intégrés dans les Choix de
accords de services de réseau, que ces services soient fournis en interne ou VÉRACITÉ
externalisés
Les groupes de services d’information, d’utilisateurs et de systèmes Choix de

d’information sont cloisonnés sur les réseaux VÉRACITÉ
A.13.2 Transfert de l’information en attente
Des politiques, des procédures et des mesures de transfert formelles sont

Choix de
mes 74 mises en place pour protéger les transferts d’information transitant par tous Libellé du critère quand il sera choisi
VÉRACITÉ
types d’équipements de communication
Des accords traitent du transfert sécurisé de l’information liée à l’activité entre Choix de
l’organisation et les tiers. VÉRACITÉ
L’information transitant par la messagerie électronique est protégée de Choix de

manière appropriée VÉRACITÉ
Les exigences en matière d’engagements de confidentialité ou de non-

Choix de
mes 77 divulgation, sont identifiées, vérifiées régulièrement et documentées Libellé du critère quand il sera choisi
VÉRACITÉ
conformément aux besoins de l’organisation
A.14 Acquisition, développement et maintenance des systèmes d’information en attente d'améliorer les activités.
A.14.1 Exigences de sécurité applicables aux systèmes d’information en attente
Les exigences liées à la sécurité de l’information sont intégrées aux exigences

Choix de
mes 78 des nouveaux systèmes d’information ou des améliorations de systèmes Libellé du critère quand il sera choisi
VÉRACITÉ
d’information existants

Les informations liées aux services d’application transmises sur les réseaux
Choix de
mes 79 publics sont protégées contre les activités frauduleuses, les différents Libellé du critère quand il sera choisi
VÉRACITÉ
contractuels, ainsi que la divulgation et la modification non autorisées
Les informations impliquées dans les transactions liées aux services

d’application sont protégées pour empêcher une transmission incomplète, des Choix de
erreurs d’acheminement, la modification non autorisée, la divulgation non VÉRACITÉ
autorisée, la duplication non autorisée du message ou sa réémission
A.14.2 Sécurité des processus de développement et d’assistance technique en attente
Des règles de développement des logiciels et des systèmes sont établies et Choix de
appliquées aux développements de l’organisation VÉRACITÉ
Les changements des systèmes dans le cadre du cycle de développement Choix de

sont contrôlés par le biais de procédures formelles VÉRACITÉ
Lorsque des changements sont apportés aux plateformes d’exploitation, les

Choix de
mes 83 applications critiques métier sont vérifiées et testées afin de vérifier l’absence Libellé du critère quand il sera choisi
VÉRACITÉ
de tout effet indésirable sur l’activité ou sur la sécurité
Les modifications des progiciels ne sont pas encouragées, sont limitées aux Choix de
changements nécessaires et tout changement est strictement contrôle VÉRACITÉ
Des principes d’ingénierie de la sécurité des systèmes sont établis,

Choix de
mes 85 documentés, tenus à jour et appliqués à tous les travaux de mise en œuvre Libellé du critère quand il sera choisi
VÉRACITÉ
des systèmes d’information
L'organisations a établie des environnements de développement sécurisés

pour les tâches de développement et d’intégration du système, qui englobe Choix de
l’intégralité du cycle de vie du développement du système, et en assurer la VÉRACITÉ
protection de manière appropriée
L'organisation supervise et contrôle l’activité de développement du système Choix de

externalisée VÉRACITÉ
Les tests de fonctionnalité de la sécurité sont réalisés pendant le Choix de

développement VÉRACITÉ
Des programmes de test de conformité et des critères associés sont

Choix de
mes 89 déterminés pour les nouveaux systèmes d’information, les mises à jour et les Libellé du critère quand il sera choisi
VÉRACITÉ
nouvelles versions
A.14.3 Données de test en attente
Choix de
mes 90 Les données de test sont sélectionnées avec soin, protégées et contrôlées Libellé du critère quand il sera choisi
VÉRACITÉ

A.15 Sécurité liée à l’exploitation en attente d'améliorer les activités.
A.15.1 Sécurité dans les relations avec les fournisseurs en attente

Des exigences de sécurité de l’information pour limiter les risques résultant de

Choix de
mes 91 l’accès des fournisseurs aux actifs de l’organisation sont acceptées par le Libellé du critère quand il sera choisi
VÉRACITÉ
fournisseur et documentées
Les exigences applicables liées à la sécurité de l’information sont établies et

convenues avec chaque fournisseur pouvant accéder, traiter, stocker, Choix de
communiquer ou fournir des composants de l’infrastructure informatique VÉRACITÉ
destinés à l’information de l’organisation
Les accords conclus avec les fournisseurs incluent des exigences sur le
Choix de
mes 93 traitement des risques liés à la sécurité de l’information associé à la chaîne Libellé du critère quand il sera choisi
VÉRACITÉ
d’approvisionnement des produits et des services informatiques
A.15.2 Gestion de la prestation du service en attente
L'organisation surveille, vérifie et audite à intervalles réguliers la prestation des Choix de

services assurés par les fournisseurs VÉRACITÉ
Les changements effectués dans les prestations de service des fournisseurs,

comprenant le maintien et l’amélioration des politiques, procédures et mesures
Choix de
mes 95 existant en matière de sécurité de l’information, sont gérés en tenant compte Libellé du critère quand il sera choisi
VÉRACITÉ
du caractère critique de l’information, des systèmes et des processus
concernés et de la réappréciation des risques

A.16 Relations avec les fournisseurs en attente d'améliorer les activités.
A.16.1 Gestion des incidents liés à la sécurité de l’information et améliorations en attente
Des responsabilités et des procédures permettant de garantir une réponse

Choix de
mes 96 rapide, efficace et pertinente sont établies en cas d’incident lié à la sécurité de Libellé du critère quand il sera choisi
VÉRACITÉ
l’information
Les événements liés à la sécurité de l’information sont signalés dans les Choix de
meilleurs délais par les voies hiérarchiques appropriées. VÉRACITÉ
Les salariés et les sous-traitants utilisant les systèmes et services

Choix de
mes 98 d’information de l’organisation notent et signalent toute faille de sécurité Libellé du critère quand il sera choisi
VÉRACITÉ
observée ou soupçonnée dans les systèmes ou services
Les événements liés à la sécurité de l’information sont appréciés et il est Choix de

décidé s’il faut les classer comme incidents liés à la sécurité de l’information VÉRACITÉ
Les incidents liés à la sécurité de l’information sont traités conformément aux Choix de
procédures documentées VÉRACITÉ
Les connaissances recueillies suite à l’analyse et la résolution d’incidents sont Choix de

utilisées pour réduire la probabilité ou l’impact d’incidents ultérieurs. VÉRACITÉ

L’organisation définie et applique des procédures d’identification, de collecte, Choix de

d’acquisition et de protection de l’information pouvant servir de preuve VÉRACITÉ

A.17 Sécurité de l’information dans la gestion de la continuité de l’activité en attente d'améliorer les activités.
A.17.1 Continuité de la sécurité de l’information en attente
L’organisation détermine ses exigences en matière de sécurité de l’information

Choix de
mes 103 et de continuité de management de la sécurité de l’information dans des Libellé du critère quand il sera choisi
VÉRACITÉ
situations défavorables, comme lors d’une crise ou d’un sinistre
L’organisation établie, documente, met en œuvre et tiens à jour des processus,

Choix de
mes 104 des procédures et des mesures permettant de fournir le niveau requis de Libellé du critère quand il sera choisi
VÉRACITÉ
continuité de sécurité de l’information au cours d’une situation défavorable
L’organisation vérifie les mesures de continuité de la sécurité de l’information

Choix de
mes 105 mises en œuvre à intervalles réguliers afin de s’assurer qu’elles sont valables Libellé du critère quand il sera choisi
VÉRACITÉ
et efficaces dans des situations défavorables
A.17.2 Redondances en attente
Des moyens de traitement de l’information sont mis en œuvre avec Choix de

suffisamment de redondances pour répondre aux exigences de disponibilité VÉRACITÉ

A.18 Conformité en attente d'améliorer les activités.
A.18.1 Conformité aux obligations légales et réglementaires en attente
Toutes les exigences légales, statutaires, réglementaires et contractuelles en

vigueur, ainsi que l’approche adoptée par l’organisation pour satisfaire à ces Choix de
exigences, sont explicitement définies, documentées et mises à jour pour VÉRACITÉ
chaque système d’information et pour l’organisation elle-même
Des procédures appropriées sont mises en œuvre pour garantir la conformité

Choix de
mes 108 avec les exigences légales, réglementaires et contractuelles relatives à la Libellé du critère quand il sera choisi
VÉRACITÉ
propriété intellectuelle et à l’usage des licences de logiciels propriétaires
Les enregistrements sont protégés de la perte, de la destruction, de la

falsification, des accès non autorisés et des diffusions non autorisées, Choix de
conformément aux exigences légales, réglementaires, contractuelles et aux VÉRACITÉ
exigences métier
La protection de la vie privée et la protection des données à caractère

Choix de
mes 110 personnel sont garanties telles que l’exigent la législation ou les Libellé du critère quand il sera choisi
VÉRACITÉ
réglementations applicables, et les clauses contractuelles le cas échéant

Des mesures cryptographiques sont prises conformément aux accords, Choix de

législation et réglementations applicables VÉRACITÉ
A.18.2 Revue de la sécurité de l’information en attente
Des revues régulières et indépendantes de l’approche retenue par l’organisme

pour gérer et mettre en œuvre la sécurité de l’information (à savoir le suivi des
Choix de
mes 112 objectifs de sécurité, les mesures, les politiques, les procédures et les Libellé du critère quand il sera choisi
VÉRACITÉ
processus relatifs à la sécurité de l’information) sont effectuées à intervalles
définis ou lorsque des changements importants sont intervenus
Les responsables vérifient régulièrement la conformité du traitement de

Choix de
mes 113 l’information et des procédures dont ils sont chargés au regard des politiques, Libellé du critère quand il sera choisi
VÉRACITÉ
des normes de sécurité applicables et autres exigences de sécurité
Les systèmes d’information sont examinés régulièrement quant à leur

Choix de
mes 114 conformité avec les politiques et les normes de sécurité de l’information de Libellé du critère quand il sera choisi
VÉRACITÉ
l’organisation

© UTC www.utc.fr/master-qualite, puis "Travaux" "Qualité-Management", réf n°403, juin 2017 Fichier : 712118015.xlsx - Onglet : Résultats globaux
Annexe A de la norme ISO 27001 de 2013 _x000D_"Techniques de sécurité Systèmes

de management de la sécurité de l’information"
Informations sur l'Etablissement Informations sur l'Autodiagnostic

Entreprise: Nom de l'établissement / entreprise / organisation… Date : L'équipe d'autodiagnostic :
Responsable Noms et Prénoms des participants
Responsable du Service : NOM et Prénom du Responsable NOM et Prénom
:
Contact (Tél et Email) : Tél : email : Tél : Email :
TABLEAUX DE BORD sur les niveaux de CONFORMITÉ et de VÉRACITÉ

Niveaux de VÉRACITÉ des 0 MESURES de SÉCURITÉ évaluées Niveaux de CONFORMITÉ des 0 AXES de SÉCURITÉ évalués
Moyenne générale :
1 en pointillés verts : seuil minimal paramétré pour être "Conforme" (voir onglet {Mode d'Emploi})
0.9
0.8
0.7
0.6
0.5 100%
0.4
0.3 80%
0.2
0.1 0 0 0 0 60%
0
Faux Plutôt Faux Plutôt Vrai Vrai 40%
20%
Attention : 114 mesures ne sont pas encore évaluées
0%
Niveaux de CONFORMITÉ des 0 OBJECTIFS de SÉCURITÉ évalués
1
0.9
0.8
0.7
0.6
0.5
0.4
0.3
0.2
0.1 0 0 0 0
0
Insuffisant Informel Convaincant Conforme
Attention : 35 objectifs ne sont pas encore traités Attention : 14 axes ne sont pas encore traités



:
BILAN GLOBAL, COMMENTAIRES et PLANS D'AMÉLIORATION

Taux % Maturité DÉCISIONS : Plans d'action PRIORITAIRES
Taux et niveaux de respect des QUOI QUI QUAND QUAND
exigences
Objectifs mesurables à atteindre (livrables tangibles) en Interne ou en Externe Dates Début Dates Fin
A.5 Politiques de sécurité de l’information en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
Orientations de la direction en
A.5.1 en attente
matière de sécurité de l’information
A.6 Organisation de la sécurité de l’information en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
A.6.1 Organisation interne en attente
A.6.2 Appareils mobiles et télétravail en attente
A.7 Sécurité des ressources humaines en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
A.7.1 Avant l'mbauche en attente
A.7.2 Pendant la durée du contrat en attente
Rupture, terme ou modification du

A.7.3 en attente
contrat de travail
A.8 Gestion des actifs en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
A.8.1 Responsabilités relatives aux actifs en attente
A.8.2 Classification de l'information en attente
A.8.3 Manipulation des supports en attente



:
A.9 Contrôle d’accès en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
Exigences métier en matière de

A.9.1 en attente
contrôle d’accès
A.9.2 Gestion d'accès utilisateur en attente

A.9.3 Responsabilités des utilisateurs en attente
Contrôle de l’accès au système et à
A.9.4 en attente
l’information
A.10 Cryptographie en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
A.10.1 Mesures cryptographiques en attente
A.11 Sécurité physique et environnementale en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
A.11.1 Zones sécurisées en attente
A.11.2 Matériels en attente
A.12 Sécurité liée à l’exploitation en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
Procédures et responsabilités liées

A.12.1 en attente
à l’exploitation
Protection contre les logiciels
A.12.2 en attente
malveillants
A.12.3 Sauvegarde en attente
A.12.4 Journalisation et surveillance en attente
Maîtrise des logiciels en
A.12.5 en attente
exploitation
Gestion des vulnérabilités
A.12.6 en attente
techniques
Considérations sur l’audit des
A.12.7 en attente
systèmes d’information



:
A.13 Sécurité des communications en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
A.13.1 Gestion de la sécurité des réseaux en attente
A.13.2 Transfert de l’information en attente

Acquisition, développement et
A.14 maintenance des systèmes en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
d’information
Exigences de sécurité applicables
A.14.1 en attente
aux systèmes d’information
Sécurité des processus de
A.14.2 développement et d’assistance en attente
technique
A.14.3 Données de test en attente
A.15 Sécurité liée à l’exploitation en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
Sécurité dans les relations avec les

A.15.1 en attente
fournisseurs
A.15.2 Gestion de la prestation du service en attente

A.16 Relations avec les fournisseurs en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
Gestion des incidents liés à la
A.16.1 sécurité de l’information et en attente
améliorations
Sécurité de l’information dans la gestion
A.17 en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
de la continuité de l’activité
Continuité de la sécurité de
A.17.1 en attente
l’information
A.17.2 Redondances en attente
A.18 Conformité en attente Plan d'amélioration… Noms, Fonctions Dates Début Dates Fin
Conformité aux obligations légales

A.18.1 en attente
et réglementaires
Revue de la sécurité de
A.18.2 en attente
l’information

Fiche de déclaration de conformité par une première partie - norme ISO 17025 parties 1 & 2 Enregistrement qualité : impression sur 1 page A4 100% en vertical
Déclaration de conformité selon la norme NF EN ISO 17050 Partie 1 : Exigences générales
Évaluation de la conformité - Déclaration de conformité du fournisseur (NF EN ISO/CEI 17050-1)
Date limite de validité de la déclaration : Référence unique de la déclaration ISO 27001 : 2013
Date de la déclaration + 1 an date de la déclaration invalide
Objet de la déclaration :
Annexe A de la norme ISO 27001 de 2013 _x000D_"Techniques de sécurité Systèmes de
management de la sécurité de l’information"
Editions Afnor, www.afnor.org, décembre 2013
Nom de l'établissement / entreprise / organisation…
Nous soussigés, déclarons sous notre propre responsabilité que les niveaux de conformité de nos mesures de
sécurité ont été mesurés d'après les exigences de l'Annexe A de la norme NF EN ISO 27001:2013.
Nous avons appliqué la meilleure rigueur d'élaboration et d'analyse (évaluation par plusieurs personnes compétentes)
et nous avons respecté les règles d'éthique professionnelle (absence de conflits d'intérêt, respect des opinions, liberté
des choix) pour parvenir aux résultats ci-dessous.
Tableau des résultats de CONFORMITÉ de nos activités Taux moyen Niveaux de Conformité
Taux et niveaux de respect des exigences Non déclarable

A.5 Politiques de sécurité de l’information en attente
A.6 Organisation de la sécurité de l’information en attente
A.7 Sécurité des ressources humaines en attente
A.8 Gestion des actifs en attente
A.9 Contrôle d’accès en attente
A.10 Cryptographie en attente
A.11 Sécurité physique et environnementale en attente
A.12 Sécurité liée à l’exploitation en attente
A.13 Sécurité des communications en attente
A.14 Acquisition, développement et maintenance des systèmes d’in Plan d'amélioration…
A.15 Sécurité liée à l’exploitation en attente
A.16 Relations avec les fournisseurs en attente
A.17 Sécurité de l’information dans la gestion de la continuité de l’act en attente
A.18 Conformité en attente
Documents d'appui consultables associés à la déclaration ISO 17050
Déclaration de conformité selon l'ISO 17050 Partie 2 : Documentation d'appui (NF EN ISO/CEI 17050-2)
Documents génériques Documents spécifiques
Modifier les contenus bleus et mettre ensuite en noir :
Norme NF EN ISO 27001:2013 "Technologies de l’information -
Enregistrements qualité : indiquez ceux que vous mettrez à
Techniques de sécurité", édition Afnor, www.afnor.org, Décembre
disposition d'un auditeur. Il peut s'agir des onglets imprimés et
2013
signés de ce fichier d'autodiagnostic
Outil d'autodiagnostic : Fichier Excel® automatisé mis au point à

Autre document d'appui : Mettre ici, et en noir, tout autre document
l'Université de Technologie de Compiègne, France (www.utc.fr) - voir sa
d'appui éventuel pour cette déclaration
dénomination au bas de la feuille
Signataires
Personne indépendante à l'organisme : Personne responsable de l'organisme :
Indiquer les NOM et Prénom de la personne Nom de l'établissement / entreprise /
indépendante organisation…
Coordonnées professionnelles : Coordonnées professionnelles :
Organisme de la personne indépendante NOM et Prénom du Responsable
Adresse complète de l'organisme de la personne Adresse complète de l'Exploitant
indépendante
Code postal - Ville - Pays Code postal - Ville - Pays
Tél et email de la personne indépendante email : Tél :
Date de la déclaration (jj/mm/aaaa) : Date de l'autodiagnostic (jj/mm/aaaa) :
Mettre la date de signature par la personne compétente pas de date d'évaluation pour l'instant
Signature : Signature :
Fichier : 712118015.xlsx Onglet : Auto-déclaration ISO 17050 page n° 18/18

Autodiagnostic ISO 27001v2013 Annexe A v03p

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Autodiagnostic ISO 27001v2013 Annexe A v03p

Transféré par

Droits d'auteur :

Formats disponibles

_x000D_ © UTC www.utc.

fr/master-qualite, puis "Travaux" "Qualité-Management", réf n°403, juin 2017

Annexe A de la norme ISO 27001 de 2013

Editions Afnor, www.afnor.org, décembre 2013

Entreprise: Nom de l'établissement / entreprise / organisation…

Responsable du Service : NOM et Prénom du Responsable

Contact du Responsable du Service : email : Tél :

PRESENTATION DES ELEMENTS :

Niveaux de VÉRACITÉ quant aux MESURES LIBELLÉS des niveaux de CONFORMITÉ

Taux Taux Niveaux de

Niveau 1 : L'action n'est pas Conformité de niveau 1 : Il est

Niveau 2 : L'action est réalisée Conformité de niveau 2 : Il est

Conformité de niveau 3 : Il est

Niveau 4 : L'action est Conformité de niveau 4 :

Concepteurs : NAIT OUSLIMANE Sara - saramedjdoub@hotmail.fr & FARGES Gilbert - gilbert.farges@utc.fr

Fichier : 712118015.xlsx Onglet : Mode d'emploi page n° 1/18

Annexe A de la norme ISO 27001 de 2013 _x000D_"Techniques de

Nom de l'établissement / entreprise / organisation…

Contact (Tél et Email) : Tél : Email :

L'équipe d'autodiagnostic : Noms et Prénoms des participants

Conformité de niveau 3 : Il est nécessaire de tracer et

A.5.1 Orientations de la direction en matière de sécurité de l’information en attente

Un ensemble de politiques de sécurité de l’information est défini, approuvé par Choix de

Les politiques de sécurité de l’information sont revues à intervalles

Conformité de niveau 3 : Il est nécessaire de tracer et

A.6.1 Organisation interne en attente

Toutes les responsabilités en matière de sécurité de l’information sont définies Choix de

© NAIT OUSLIMANE Sara - saramedjdoub@hotmail.fr et FARGES Gilbert - gilbert.farges@utc.fr page n° 2/18

A.6.2 Appareils mobiles et télétravail en attente

Une politique et des mesures de sécurité complémentaires sont adoptées Choix de

Une politique et des mesures de sécurité complémentaires sont mises en Choix de

A.7.1 Avant l'mbauche en attente

Des vérifications sont effectuées sur tous les candidats à l’embauche

A.7.2 Pendant la durée du contrat en attente

La direction demande à tous les salariés et sous-traitants d’appliquer les

Un processus disciplinaire formel et existant est connu de tous pour prendre

A.7.3 Rupture, terme ou modification du contrat de travail en attente

Les responsabilités et les missions liées à la sécurité de l’information qui

Conformité de niveau 3 : Il est nécessaire de tracer et

A.8.1 Responsabilités relatives aux actifs en attente

Les actifs associés à l’information et aux moyens de traitement de l’information Choix de

© NAIT OUSLIMANE Sara - saramedjdoub@hotmail.fr et FARGES Gilbert - gilbert.farges@utc.fr page n° 3/18

A.8.2 Classification de l'information en attente

Les informations sont classifiées en termes d’exigences légales, de valeur, de

Un ensemble approprié de procédures pour le marquage de l’information est

Des procédures de traitement de l’information sont élaborées et mises en

A.8.3 Manipulation des supports en attente

Conformité de niveau 3 : Il est nécessaire de tracer et

A.9.1 Exigences métier en matière de contrôle d’accès en attente

A.9.2 Gestion d'accès utilisateur en attente

Un processus formel d’enregistrement et de désinscription des utilisateurs est Choix de

© NAIT OUSLIMANE Sara - saramedjdoub@hotmail.fr et FARGES Gilbert - gilbert.farges@utc.fr page n° 4/18

Un processus formel de distribution des accès aux utilisateurs sont mis en

L’allocation et l’utilisation des droits d’accès à privilèges sont restreintes et Choix de

A.9.3 Responsabilités des utilisateurs en attente

A.9.4 Contrôle de l’accès au système et à l’information en attente

L’accès à l’information et aux fonctions d’application système sont restreint Choix de

A.10.1 Mesures cryptographiques en attente

Une politique d’utilisation des mesures cryptographiques en vue de protéger Choix de

© NAIT OUSLIMANE Sara - saramedjdoub@hotmail.fr et FARGES Gilbert - gilbert.farges@utc.fr page n° 5/18

Les câbles électriques ou de télécommunication transportant des données ou

Conformité de niveau 3 : Il est nécessaire de tracer et

© NAIT OUSLIMANE Sara - saramedjdoub@hotmail.fr et FARGES Gilbert - gilbert.farges@utc.fr page n° 6/18