Académique Documents
Professionnel Documents
Culture Documents
Politiques de sécurité
A.5.1.1
de l’information
La sécurité de
l’information
A.6.1.5
dans la gestion
de projet
A.6.2 Appareils mobiles et télétravail
A.6.2 Télétravail
Termes et conditions
A.7.1.2
d’embauche
A.7.2 Pendant la durée du contrat
Responsabilités de la
A.7.2.1
direction
Classification des
A.8.2.1
informations
Marquage des
A.8.2.2
informations
A.9 Contrôleded’accès
matière contrôle
A.9.1 d’accès
Politique de contrôle
A.9.1.1
d’accès
Gestion de l’accès
A.9.2 utilisateur
Enregistrement et
A.9.2.1 désinscription des
utilisateurs
Gestion des
informations
A.9.2.4 secrètes
d’authentification des
utilisateurs
Responsabilités des
A.9.3 utilisateurs
Utilisation
d’informations
A.9.3.1
secrètes
d’authentification
système et à
A.9.4 l’information
Sécuriser les
A.9.4.2 procédures
de connexion
Utilisation de
programmes
A.9.4.4
utilitaires à
privilèges
n matière de sécurité de l’information
Les politiques de sécurité de l'information ont-elles été approuvées par la direction?
Existe-t-il des processus en place pour garantir que les politiques de sécurité de l'information
sont accessibles et comprises par tous les utilisateurs du SI?
Comment la direction assure-t-elle que les politiques de sécurité de l'information sont
suivies par tous les membres de l'organisation et les tiers ayant accès aux informations?
Les politiques de sécurité de l'information sont-elles régulièrement passées en revue par un
comité de sécurité de haut niveau à intervalles planifiés?
Existe-t-il des procédures établies pour le réexamen des politiques de sécurité de
l'information en cas de changements importants pour garantir leur pertinence, leur
adéquation et leur efficacité?
l’information
Est-ce qu'un Responsable de la Sécurité de l'Information (RSI) est désigné, avec un pouvoir
décisionnel et un reporting direct à la direction?
Est-ce qu'un comité de sécurité est mis en place dans l'organisation?
Les tâches incompatibles sont-elles identifiées et les responsabilités sont-elles attribuées en
conséquence?
Les autorités avec lesquelles l'organisme peut collaborer en matière de sécurité de
l'information sont-elles identifiées?
Est-ce qu'une liste mise à jour de contacts de ces autorités est maintenue?
Des groupes d'intérêt, des forums spécialisés dans la sécurité et des associations
professionnelles ont-ils été identifiés par l'organisme?
Est-ce que des relations sont entretenues avec ces groupes, forums et associations?
Des accords de partage d'informations ont-ils été établis pour améliorer la coopération et la
coordination en matière de sécurité?
Est-ce qu'une analyse des risques liés à la sécurité de l'information est effectuée à un stade
précoce du projet pour identifier les contrôles de sécurité nécessaires?
Est-ce que l'expression des besoins de sécurité (confidentialité, intégrité, disponibilité) est
prise en considération dans la gestion des projets?
Est-ce que des contrôles de vérification de fond pour tous les candidats à l'emploi ont été
réalisés conformément à la réglementation en vigueur?
Est-ce que la vérification comprend le certificat de moralité, la confirmation des
qualifications académiques et professionnelles prétendues, ainsi que des contrôles
indépendants d'identité?
Est-ce qu'un candidat pour un poste spécifique de sécurité de l'information possède les
compétences nécessaires pour ce poste et est-il digne de confiance, surtout si le poste est
critique pour
contrat de l'organisme?
travail?
Est-ce qu'il existe un processus en place qui garantit que tous les employés et les sous-
traitants restituent à l'audité tous les biens en leur possession à la fin de leur emploi, contrat
ou convention?
Est-ce que les droits d'accès de tous les employés et les sous-traitants, aux informations et
aux moyens de traitement de l'information, sont supprimés à la fin de leur emploi, contrat
ou convention, ou sont ajustés en cas de changement?
Est-ce qu'il existe des règles relatives à l'inventaire des actifs au niveau de la PSI, qui exigent
le maintien d'un inventaire des actifs?
Est-ce que des procédures d'inventaire des actifs sont développées et maintenues dans
l'organisation?
Est-ce que les employés et les sous-traitants ont été sensibilisés aux exigences de sécurité
comprises dans cette politique et à leur responsabilité dans l'utilisation de ces actifs?
Est-ce que la restitution des actifs en possession des salariés et des utilisateurs tiers à la fin
de la période de l'emploi ou de l'accord est documentée?
Est-ce qu'il existe des règles relatives à la classification des actifs selon leurs exigences de
sécurité au niveau de la PSI?
Est-ce que des procédures de classification des actifs sont développées et maintenues dans
l'organisation?
Est-ce que des procédures de marquage de l'information conformément à la classification
établie sontdes
Est-ce que élaborées et mises
procédures pouren œuvre
une dans acceptable
utilisation l'organisation
de ?l'information et des actifs
associés à un moyen de traitement de l'information sont élaborées et mises en œuvre ?
Est-ce que les restrictions d'accès aux informations, conformément aux exigences de
protection pour chaque niveau de classification, sont mises en place ?
Est-ce que des procédures de gestion des supports amovibles sont élaborées et mises en
œuvre conformément à la classification établie ?
Est-ce que le contenu de tout support réutilisable devant être retiré est rendu irrécupérable
si ce contenu n'est plus indispensable ?
Est-ce que des techniques cryptographiques sont utilisées pour protéger les données sur les
supports amovibles lorsque le niveau de confidentialité ou d'intégrité de ces données est
élevé ?
Est-ce qu'une procédure de mise au rebut d'une manière sécurisée des supports, en tenant
compte de la classification adoptée (formatage bas niveau, destruction, etc.), est élaborée et
mise en œuvre ?
Est-ce que cette mise au rebut est journalisée ?
Est-ce qu'une liste des transporteurs autorisés est convenue avec la direction ?
Est-ce qu'une procédure pour vérifier l'identification des transporteurs est élaborée et mise
en œuvre ?
Est-ce que l'emballage utilisé assure la protection adéquate du support contre tout
dommage physique pendant le transport, pouvant réduire l'efficacité de sa restauration en
raison de facteurs environnementaux tels que la chaleur, l'humidité ou les rayons
électromagnétiques ?
Est-ce que les données de l'audité, leurs propriétaires, les systèmes ou personnes qui ont
besoin des accès à ces données, ainsi que leurs rôles selon le principe du "besoin de savoir",
sont identifiés ?
Est-ce que les risques d'accès non autorisé aux données sont identifiés ?
Est-ce qu'une politique de contrôle d'accès, dans le cadre de la politique de sécurité de
l'information de l'audité, est élaborée et mise en œuvre en prenant en compte les points
précédents ?
Est-ce qu'une procédure de contrôle d'accès au réseau de l’audité est élaborée et mise en
œuvre en application de la politique de contrôle d'accès ?
Est-ce que les entités qui peuvent avoir accès aux réseaux de l’audité sont identifiées ?
Est-ce que les accès nécessaires pour chaque entité selon le principe du "moindre privilège"
sont identifiés ?
Est-ce que les rôles et les responsabilités de chaque service interne dans l'attribution de ces
accès sont définis ?
Les restrictions d'accès sont-elles basées sur des exigences individuelles de l'application
métier et conformes à la politique de contrôle d'accès définie ?
Des menus sont-ils fournis pour contrôler l'accès aux fonctions du système d'application ?
Les informations contenues dans les sorties sont-elles limitées ?
La procédure de connexion sécurisée pour l'accès aux systèmes et aux applications est-elle
élaborée et mise en œuvre ?
Le système affiche-t-il un message avertissant les utilisateurs que l'accès n'est permis qu'aux
utilisateurs autorisés ?
Le système est-il protégé contre les tentatives de connexion par "brute force" ?
Le système impose-t-il l'utilisation d'identifiants d'utilisateur et de mots de passe individuels
pour garantir l’imputabilité ?
Politique d’utilisation
A.10.1.1 des mesures
cryptographiques
Périmètre de sécurité
A.11.1.1
physique
Contrôle d’accès
A.11.1.2
physique
Sécurisation des
A.11.1.3 bureaux, des salles et
des équipements
Zones de livraison et
A.11.1.6
de chargement
A.11.2 Matériels
Emplacement et
A.11.2.1 protection
des matériels
Maintenance des
A.11.2.4
matériels
Mise au rebut ou
recyclage
A.11.2.7
sécurisé(e) des
matériels
Questionnaire d'audit
Les périmètres de sécurité sont-ils définis et l'emplacement ainsi que le niveau de résistance de
chacun des périmètres sont-ils fonction des exigences relatives à la sécurité des actifs situés à
l’intérieur et des conclusions de l’appréciation du risque ?
Le périmètre d'un bâtiment ou d'un site abritant des moyens de traitement de l’information est-
il physiquement solide, sans aucune faille susceptible de faciliter une intrusion ?
Une procédure de contrôle d’accès physique est-elle élaborée et mise en œuvre ?
Les dates et heures d’arrivée et de départ des visiteurs sont-elles consignées, et tous les visiteurs
sont-ils encadrés, sauf s'ils ont déjà reçu une autorisation d'accès ?
L'accès des visiteurs est-il accordé uniquement à des fins précises ayant fait l’objet d’une
autorisation, et ont-ils reçu des instructions relatives aux exigences de sécurité de la zone ainsi
qu'aux procédures d’urgence associées ?
L'identité des visiteurs est-elle authentifiée à l’aide d’un moyen approprié ?
Les équipements-clés sont-ils hébergés dans un emplacement non accessible au public ?
Les locaux sont-ils discrets et donnent-ils le minimum d’indications sur leur finalité, sans signe
manifeste, extérieur ou intérieur, qui permette d’identifier la présence d’activités de traitement
de l’information ?
Des procédures ont-elles été élaborées et mises en œuvre pour le travail dans les zones
sécurisées ?
Le personnel est-il informé de l’existence des zones sécurisées et des activités qui s’y déroulent
sur la seule base du besoin d’en connaître ?
Le travail non supervisé ou non encadré en zone sécurisée est-il évité pour des raisons de
sécurité personnelle et pour prévenir toute possibilité d’acte malveillant ?
L'accès à la zone de livraison et de chargement depuis l'extérieur du bâtiment est-il limité au
personnel
déchargementidentifié et autorisé ? sans que le personnel ait accès aux autres parties du
des marchandises
bâtiment ?
Les portes extérieures de la zone de livraison et de chargement sont-elles sécurisées lorsque les
portes intérieures sont ouvertes ?
Les matières entrantes sont-elles contrôlées pour vérifier la présence éventuelle de substances
explosives, chimiques ou autres substances dangereuses avant de quitter la zone de livraison et
de chargement ?
Les matières entrantes sont-elles enregistrées conformément aux procédures de gestion des
actifs dès leur arrivée sur le site ?
Les livraisons sont-elles séparées physiquement des expéditions dans la mesure du possible ?
Les matières entrantes sont-elles examinées pour vérifier la présence d'éventuelles altérations
survenues lors de leur acheminement, et le personnel de sécurité est-il immédiatement informé
de toute découverte de ce type ?
Des mesures sont-elles adoptées pour réduire au minimum les risques de menaces physiques et
environnementales potentielles, telles que le vol, l'incendie, les explosions, etc. ?
Les services généraux, tels que l'électricité, les télécommunications, l'alimentation en eau, le gaz,
etc., sont-ils conformes aux spécifications du fabricant du matériel et aux exigences légales
locales ?
Les services généraux font-ils l'objet d'une évaluation régulière pour vérifier leur capacité à
répondre à la croissance de l'organisme et aux interactions avec les autres services généraux ?
Les lignes électriques et les lignes de télécommunication branchées aux moyens de traitement
de l'information sont-elles enterrées, ou sont-elles soumises à toute autre forme de protection
adéquate ?
Les câbles électriques sont-ils séparés des câbles de télécommunication pour éviter toute
interférence ?
Pour les systèmes sensibles ou critiques, quelles mesures supplémentaires sont prises, telles que
l'installation d'un conduit de câbles blindé et de chambres ou de boîtes verrouillées aux points
d'inspection et aux extrémités ?
Le matériel est-il entretenu selon les spécifications et la périodicité recommandées par le
fournisseur ?
Est-ce que seul le personnel de maintenance autorisé assure les réparations et l'entretien du
matériel ?
Un dossier est-il conservé pour toutes les pannes suspectées ou avérées, ainsi que pour toutes
les tâches de maintenance préventives ou correctives ?
Des règles concernant la sortie des actifs sont-elles établies et documentées, incluant des
autorisations préalables, des personnes autorisées, l'enregistrement de la sortie et du retour,
ainsi que l'effacement des données inutiles ?
Les salariés et les tiers qui ont l'autorité pour permettre le retrait des actifs du site sont-ils
clairement identifiés ?
Est-ce que l'utilisation de matériels de traitement et de stockage de l’information hors des
locaux de l’organisme est autorisée par la direction ?
Est-ce qu'une politique de sécurité relative au travail hors site a été élaborée et mise en œuvre ?
Est-ce que le matériel et les supports de données sortis des locaux ne sont pas laissés sans
surveillance dans des lieux publics ?
Est-ce que les instructions du fabricant, visant à protéger le matériel, par exemple celles sur la
protection contre les champs électromagnétiques forts, sont observées à tout instant ?
Des mesures pour les emplacements de travail hors site, comme le travail à domicile, le
télétravail et les sites temporaires, sont-elles déterminées en réalisant une appréciation du
risque ?
Lorsque du matériel circule hors des locaux de l’organisme entre différentes personnes ou entre
des tiers, est-ce qu'un journal détaillant la chaîne de traçabilité du matériel est tenu à jour,
mentionnant au minimum les noms des personnes responsables du matériel, ainsi que les
organismes dont elles relèvent ?
Est-ce qu'une procédure de mise au rebut ou de réutilisation du matériel est élaborée et mise en
œuvre ?
Lorsqu'il est nécessaire, est-ce qu'une appréciation du risque des appareils endommagés
contenant des supports de stockage est réalisée pour déterminer s'il convient de les détruire
physiquement plutôt que de les faire réparer ou de les mettre au rebut ?
Est-ce que les supports de stockage contenant de l’information confidentielle ou protégée par le
droit d’auteur sont détruits physiquement ?
Si les supports de stockage contenant des informations sensibles sont détruits, est-ce que des
techniques sont privilégiées pour rendre l’information d’origine irrécupérable plutôt que
d'utiliser la fonction standard de suppression ou de formatage ?
A.12 Sécurité liée à l’exploitation
responsabilités liées à
A.12.1 l’exploitation
Procédures
A.12.1.1 d’exploitation
documentées
Gestion des
A.12.1.2
changements
A.12.1.3 Dimensionnement
A.12.3 Sauvegarde
Sauvegarde des
A.12.3.1
informations
Journalisation et
A.12.4 surveillance
Journalisation des
A.12.4.1
événements
Protection de
A.12.4.2 l’information
journalisée
Journaux
A.12.4.3 administrateur
et opérateur
Installation de logiciels
A.12.5.1 sur des systèmes en
exploitation
vulnérabilités
A.12.6 techniques
Gestion des
A.12.6.1 vulnérabilités
techniques
Restrictions liées à
A.12.6.2 l’installation de
logiciels
Mesures relatives à
l’audit des systèmes
d’information
Est-ce que les procédures opérationnelles d'exploitation (systèmes, applications, bases de
données, équipements et solutions réseau et sécurité, etc.) sont documentées ?
Est-ce que la documentation des procédures opérationnelles d'exploitation est maintenue
à jour ?
Est-ce que les modifications des procédures d'exploitation sont approuvées par les
responsables concernés ?
Est-ce qu'une procédure de gestion des changements est en place pour contrôler les
décisions de changements au sein du système d'information, y compris la mise en
production de nouveaux systèmes, équipements ou logiciels, ainsi que les évolutions des
systèmes
Est-ce queexistants ?
cette procédure inclut la gestion des demandes de changement et leur
validation ?
Est-ce que l'analyse des risques potentiels associés aux changements est effectuée dans le
cadre de cette procédure ?
Les indicateurs ou critères de performance des serveurs et des équipements réseau sont-
ils clairement définis dans l'organisation ?
Est-ce que les décisions de changement sont prises en se basant sur des analyses de la
capacité des nouveaux équipements et systèmes à répondre aux charges requises, en
tenant compte des évolutions des demandes prévisibles ?
Est-ce qu'une politique est en place pour lutter contre les risques d'attaque par des codes
malveillants, tels que les virus, les chevaux de Troie, les spywares, et les vers, comprenant
des mesures telles que l'interdiction d'utiliser des logiciels non autorisés et des procédures
de protection lors de la récupération de fichiers via des réseaux externes ?
Les actions à mener par le personnel informatique pour prévenir, détecter et corriger les
attaques par des codes malveillants sont-elles définies ?
Est-ce qu'il y a un abonnement à un centre d'alerte pour être prévenu et anticiper
certaines attaques
Les produits massives
antivirus sont-ilspour lesquelles les
régulièrement antivirus ne sont pas
et automatiquement misencore
à jour,ànotamment
jour ?
sur les serveurs de production ?
Les serveurs, en particulier ceux de production, sont-ils équipés de dispositifs de
protection contre les codes malveillants ?
Est-ce qu'une politique de sauvegarde est élaborée et mise en œuvre, définissant les
objets à sauvegarder, la fréquence des sauvegardes, la nature de sauvegarde, les
emplacements de sauvegarde, les mesures de protection, la procédure de restauration, les
synchronismes nécessaires entre différentes sauvegardes, les tests périodiques des
supports de sauvegarde, les tests périodiques de restauration, et la définition des rôles et
des responsabilités ?
Est-ce que cette politique de sauvegarde couvre les données applicatives, les programmes
(sources et/ou exécutables), les paramètres de configuration des applications et des
logiciels de base, le clonage OS des Serveurs métiers ou la mise en place d'une
infrastructure virtuelle avec acquisition des sauvegardes des machines virtuelles,
l'ensemble des configurations des équipements réseau et sécurité, les données
utilisateurs, et l'ensemble des paramètres de configuration des postes utilisateurs ?
Est-ce qu'une analyse spécifique des besoins en termes de journalisation est réalisée,
incluant les types de journaux à activer, les paramètres/éléments fondamentaux
concernant chaque type de journal à conserver, la localisation des fichiers journaux, la
durée de rétention des fichiers journaux, les mécanismes de protection, et les mécanismes
d'analyse et de corrélation ?
Les règles résultantes de cette analyse font-elles l'objet d'une politique formalisée ?
Est-ce qu'il y a utilisation de mécanismes de protection des fichiers journaux, tels que le
chiffrement, un système de détection de modification, et le contrôle d'accès ?
Les processus qui assurent la journalisation sont-ils sous contrôle strict, avec des droits
limités et une authentification forte pour la solution utilisée, afin de prévenir tout
changement illicite des paramètres définis ?
Est-ce qu'il y a une analyse des événements menés avec des droits d'administration sur les
systèmes, bases de données, équipements réseaux, solutions de sécurité, et le parc de
postes utilisateurs, pouvant avoir un impact sur la sécurité, tels que la configuration des
ressources critiques, l'accès à des informations sensibles, ou l'utilisation d'outils sensibles ?
Est-ce que ces événements, ainsi que tous les paramètres utiles à leur analyse ultérieure,
sont enregistrés (journalisés) ?
Les types d’installations interdites, comme l’installation de logiciels à des fins personnelles,
sont-ils clairement définis pour éviter les risques de sécurité et de non-conformité ?
Existe-t-il une procédure formelle pour l'audit des systèmes d'information, détaillant les
règles et les responsabilités pour les audits des systèmes opérationnels et des réseaux ?
Cette procédure spécifie-t-elle les objectifs des audits, les méthodes d'évaluation et les
critères de performance des systèmes d'information ?
relations avec les
A.15.1 fournisseurs
Politique de sécurité
de l’information dans
A.15.1.1
les relations avec les
fournisseurs
Surveillance et revue
A.15.2.1 des services des
fournisseurs
Gestion des
changements
A.15.2.2 apportés dans
les services des
fournisseurs
Existe-t-il une politique identifiant et imposant des mesures de sécurité spécifiques
aux accès des fournisseurs aux actifs de l’organisme ?
Les types de fournisseurs auxquels l’organisme accorde un accès à son information
sont-ils identifiés et documentés ?
Les fournisseurs ayant accès ou favorisant l'accès à des informations sensibles
doivent-ils contractuellement exiger que leurs collaborateurs signent un engagement
personnel
Une analysededes
respect desliés
risques clauses de sécurité
aux accès spécifiées
du personnel ?
du fournisseur au système
d'information ou aux locaux contenant de l'information est-elle réalisée, et les
mesures de sécurité nécessaires sont-elles définies en conséquence ?
Les clauses de sécurité que tout accord signé avec un tiers impliquant un accès au
système d'information ou aux locaux contenant de l'information sont-elles définies et
documentées ?
l'information n'est-il autorisé qu'après la signature d'un accord formel reprenant ces
clauses de sécurité ?
Les niveaux de performance des services sont-ils surveillés, et leur conformité avec
les accords est-elle vérifiée ?
Les rapports de service produits par le fournisseur sont-ils régulièrement examinés,
et des réunions sur l'avancement sont-elles organisées conformément aux exigences
des accords ?
Les changements apportés aux accords passés avec les fournisseurs sont-ils gérés
efficacement ? ou des mises à jour des politiques et des procédures de
des changements
l'organisme, sont-ils gérés de manière adéquate ?
A.16 Gestion des incidents
l’information et liés à la sécurité de l’information
A.16.1 améliorations
Responsabilités et
A.16.1.1
procédures
Signalement des
événements
A.16.1.2
liés à la sécurité
de l’information
Appréciation des
événements
A.16.1.4 liés à la sécurité
de l’information et
prise de décision
Tirer des
enseignements
A.16.1.6 des incidents
liés à la sécurité de
l’information
s à la sécurité de l’information
Les responsabilités pour garantir une gestion efficace des incidents sont-elles clairement
définies et documentées ?
Est-il recommandé aux salariés et contractants de ne pas tenter de démontrer l’existence des
failles de sécurité soupçonnées, mais plutôt de les signaler aux responsables appropriés ?
Les événements ou séquences d'événements révélateurs de comportements anormaux ou
d'actions illicites sont-ils régulièrement analysés ?
Les applications et les systèmes sensibles disposent-ils d'une fonction automatique de
surveillance en temps réel en cas d'accumulation d'événements anormaux, tels que des
tentatives infructueuses de connexion ou des transactions suspectes ?
Est-ce qu'un système de détection d'intrusion et d'anomalies est mis en place pour surveiller
les activités suspectes sur les systèmes et les réseaux ?
Est-ce qu'une équipe dédiée à la réponse aux incidents est en place ?
Cette équipe est-elle disponible en permanence pour répondre rapidement aux incidents ?
Est-ce qu'un système de gestion des incidents est mis en place pour soutenir les activités de
l'équipe de réponse aux incidents ?
Ce système permet-il de centraliser et de traiter à la fois les incidents détectés par
l'exploitation et ceux signalés par les utilisateurs ?
Est-ce que ce système offre la possibilité de suivre et de relancer automatiquement les
actions nécessaires pour résoudre les incidents ?
Est-ce que les incidents liés à la sécurité de l'information sont régulièrement examinés pour
évaluer le volume et la nature des incidents, ainsi que les coûts associés et les impacts ?
Les données obtenues à partir de l'analyse des incidents passés sont-elles utilisées pour
identifier les incidents récurrents ou à fort impact ?
Des mesures sont-elles prises pour réduire la fréquence des futurs incidents et minimiser les
dommages et les coûts associés à ces incidents récurrents ou à fort impact ?
A.17 Aspects de
sécurité de la sécurité de l’information dans la gestion de la continuité de l’activité
A.17.1 l’information
Organisation de la
continuité de la
A.17.1.1
sécurité de
l’information
Mise en œuvre de la
continuité de la
A.17.1.2
sécurité
de l’information
Vérifier, revoir et
évaluer la continuité de
A.17.1.3
la sécurité de
l’information
A.17.2 Redondances
Disponibilité des
A.17.2.1 moyens de traitement
de l’information
nformation dans la gestion de la continuité de l’activité
Est-ce qu'une analyse de l'impact sur l'activité des aspects liés à la sécurité de l'information est
effectuée ?
Les exigences de sécurité de l'information applicables aux situations défavorables sont-elles
déterminées et documentées en fonction des résultats de l'analyse d'impact ?
Les fonctionnalités des processus, des procédures et des mesures de continuité de la sécurité de
l’information sont-elles testées à intervalles réguliers pour s’assurer qu’elles sont cohérentes
avec les objectifs de continuité de la sécurité de l’information ?
Une solution de secours (systèmes redondants) est-elle mise en place pour pallier
l'indisponibilité de tout équipement ou de toute liaison critique ?
Cette solution de secours est-elle parfaitement opérationnelle ?
La capacité de cette solution de secours assure-t-elle une charge opérationnelle suffisante et est-
elle approuvée par les utilisateurs ?
A.18 Conformitélégales et
obligations
A.18.1 réglementaires
Identification de la
législation et des
A.18.1.1 exigences
contractuelles
applicables
Droits de propriété
A.18.1.2
intellectuelle
Protection des
A.18.1.3
enregistrements
Protection de la vie
privée et protection
A.18.1.4
des données à
caractère personnel
Réglementation
A.18.1.5 relative aux mesures
cryptographiques
Revue de la sécurité de
A.18.2 l’information
Revue indépendante
A.18.2.1 de la sécurité de
l’information
Conformité avec
A.18.2.2 les politiques et les
normes de sécurité
Vérification de la
A.18.2.3
conformité technique
Toutes les exigences réglementaires, contractuelles et légales applicables à l'audité sont-
elles explicitement identifiées, documentées et tenues à jour ?
Les mesures spécifiques et les responsabilités individuelles mises en place sont-elles définies
et documentées pour répondre à ces exigences ?
Une procédure est-elle élaborée et mise en œuvre pour garantir la conformité avec les
exigences légales, réglementaires et contractuelles relatives à la propriété intellectuelle et à
l’usage des licences de logiciels propriétaires ?
Des contrôles fréquents sont-ils effectués pour vérifier que les logiciels installés sont
conformes aux logiciels déclarés ou qu'ils possèdent une licence en règle ?
Une procédure de mise à jour des notes d'organisation relatives à la sécurité des systèmes
d'information en fonction des évolutions de structures ou à intervalles planifiés a-t-elle été
élaborée et mise en œuvre ?
Des audits indépendants sont-ils réalisés pour veiller à la pérennité de l’applicabilité, de
l’adéquation et de l’efficacité de l’approche de l’organisme en matière de management de la
sécurité de l’information ?