DOCUMENTS

Plusieurs documents sont nécessaires pour prouver votre conformité à ISO

27001, et notamment :

 Domaine d’application du SMSI (clause 4.3)

 Politique de sécurité de l’information (clause 5.2)
 Objectifs de sécurité de l’information (clause 6.2)
 Attestation de compétence des personnes affectées à la sécurité de l’information
(clause 7.2)
 Résultats de l’évaluation des risques liés à l’information (clause 8.2)
 Programme d’audit interne du SMSI et résultats des audits réalisés (clause 9.2)
 Preuve des examens du SMSI par la direction (clause 9.3)
 Preuve des non-conformités identifiées et des actions correctives engagées
(clause 10.1)

Définir le domaine d’application du SMSI

Lors de la mise en œuvre d’ISO 27001, l’une des principales exigences consiste à
définir le domaine d’application du SMSI. À cette fin, suivez les étapes ci-
dessous :

1. Faites l’inventaire de toutes les informations que vous stockez sous toutes les
formes, physiques ou numériques, localement ou dans le Cloud.
2. Identifiez les différentes façons dont les gens peuvent accéder à l’information.
3. Déterminez quelles données relèvent du domaine d’application de votre SMSI et
lesquelles n’en relèvent pas. Par exemple, les informations sur lesquelles votre
organisation n’a aucun contrôle sont hors du domaine d’application de votre
SMSI.

ISO 27001 vous oblige notamment à :

 Identifier les parties prenantes et leurs attentes vis-à-vis du SMSI

 Définir le domaine d’application de votre SMSI
 Définir une politique de sécurité
 Procéder à une évaluation des risques afin d’identifier les risques existants et
potentiels pesant sur les données
 Définir des contrôles et des processus pour gérer ces risques
 Définir des objectifs clairs pour chaque initiative relative à la sécurité de
l’information
 Mettre en place des contrôles et d’autres méthodes de réduction des risques
 Mesurer et améliorer continuellement les performances du SMSI

Les exigences détaillées de la norme ISO 27001

Exigences du chapitre 4 – Contexte de l’organisation
L’entreprise doit :
1. Déterminer les enjeux externes et internes pertinents qui ont un impact sur la sécurité de
l’information.
Dans la pratique il s’agit de formaliser ces enjeux stratégiques pour
l’entreprise sous forme d’analyse des forces, faiblesses et menaces,
opportunités.
2. Déterminer les parties intéressées et leurs exigences en matière de sécurité
Concrètement les parties intéressées les plus importantes vont être
vos partenaires, clients et prospects. De plus, leurs exigences
doivent être clairement déterminées au sein de l’entreprise et dans
des documents précis par exemple les propositions, accords,
contrats et plan assurance sécurité.
3. Déterminer précisément le domaine d’application du SMSI
Pour cette exigence il est nécessaire de formaliser le périmètre du
Système de Management de la Sécurité. Dans ce document vous
allez préciser les sites, infrastructures, services, processus
concerné par le SMSI.
Pour conclure, ce chapitre vise à établir le cadre général de la
sécurité de l’information au sein de l’entreprise ainsi que de clarifier
les enjeux associés.

Exigences du chapitre 5 – Leadership

Ce chapitre porte sur les exigences liées à la Direction. Par

« direction » il faut comprendre la personne (dirigeant,
responsable) ou groupe de personne tel que CODIR. Il définit les
objectifs et pilote la sécurité de l’information pour l’entreprise.
1. Le premier point demande à ce que la direction fasse preuve de leadership et démontre son
soutien au SMSI.
En pratique la direction doit s’assurer :
 qu’une politique et des objectifs sont établis en matière de sécurité de
l’information.
 que les exigences liées au SMSI sont mis en place dans les processus
métiers.
 que les ressources nécessaires pour le SMSI sont disponibles.
 que le SMSI est atteint les objectifs définis.
La direction doit également :
 Communiquer sur l’importance de disposer d’un SMSI efficace et d’être
conforme aux exigences.
 Orienter et soutenir les personnes pour qu’elles contribuent à l’efficacité
du SMSI.
 Promouvoir l’amélioration continue.
 Aider les managers à faire preuve de leadership.
2. La direction doit définir une politique en matière de sécurité de l’information
Concrètement il s’agit de définir une politique de haut niveau qui va
donner un cadre (une organisation générale) pour la sécurité de
l’information et ainsi définir les principaux objectifs visés (ce que
l’on souhaite améliorer) en sécurité.
La politique doit être communiqué au sein de l’entreprise et
comprise par tous les collaborateurs et partenaires.
Cette politique doit être documentée. Elle doit aussi inclure
l’engagement de la direction à améliorer en continue le SMSI et
l’engagement à respecter la règlementation.
De façon générale, la direction s’assure que les responsabilités et
autorités des rôles concernés par la sécurité de l’information sont
attribués et communiquées au sein de l’organisation.
Ces responsabilités couvrent différents périmètre de la sécurité :
 le management du SMSI : Responsable du SMSI.
 La sécurité opérationnelle : Responsable de la sécurité du Système
d’Information (RSSI).
 Les managers métier qui auront des responsabilités en sécurité liées à
leur métier.
Généralement le RSSI est la personne désignée par la direction pour
:
 S’assurer que le système de management de la sécurité de l’information
est conforme aux exigences de la Norme internationale.
 Reporter à la direction des performances du SMSI.
 Exigences du chapitre 6 – Planification
Ce chapitre porte sur l’analyse des risques, l’évaluation des risques
ainsi que l’établissement du plan de traitement des risques.
1. Déterminer les risques et opportunités
L’entreprise doit déterminer les risques et opportunités
qui nécessitent d’être abordés pour :
 Garantir l’atteinte des objectifs.
 Réduire les risques.
 Améliorer en continue la sécurité.
L’entreprise doit de toute évidence mettre en œuvre une démarche
d’analyse des risques en sécurité de l’information selon une
méthode établies et reproductible. Enfin, une fois les risques
déterminés l’entreprise planifie les actions associées et s’assurer
qu’elles sont efficaces.
2. Appréciation des risques de sécurité de l’information
L’entreprise doit définir et appliquer un processus d’appréciation des
risques de sécurité de l’information. La méthode employée doit
définir les critères de risque de sécurité de l’information (règles et
niveau). De plus, l’entreprise identifie l’ensemble des risques liés à
la perte de confidentialité, d’intégrité et de disponibilité des
informations.
Pour chaque risque il est nécessaire d’apprécier les conséquences
et la probabilité d’apparition afin de déterminer les niveaux de
risque. Ces niveaux de risques sont comparés aux critères
d’acceptation pour ainsi déterminer le plan d’actions à mener et les
priorités.
3. Traitement des risques
L’entreprise doit définir le plan de traitement des risques: il s’agit
des mesures de sécurité à mettre en œuvre afin de réduire les
risques.
Ces mesures de sécurité doivent être comparées à l’annexe A de la
norme et doit aussi comprendre l’ensemble des mesures de sécurité
pertinentes afin de vérifier qu’aucune mesure n’est omise. Il faut
ensuite produire la déclaration d’applicabilité, document listant les
mesures de sécurité de l’annexe A et leur application ou non dans
l’organisme.
4. Objectifs de sécurité de l’information et plans pour les atteindre
Les Objectifs de sécurité sont les cibles à atteindre en matière de
sécurité. Pour définir les objectifs de sécurité il faut s’appuyer sur
les objectifs de haut niveau définis en 5.2.
Ces objectifs ont pour fonction :
 de vérifier l’atteinte de la politique.
 d’assurer de l’efficacité des mesures de sécurité.
 de vérifier l’efficacité du traitement des risques.
 d’assurer de l’amélioration continue.

Exigences du chapitre 7 – Support

Ce chapitre porte sur la définition des activités supports en soutien
au SMSI. Il porte sur l’attribution des ressources nécessaires, les
ressources humaines, la formation, la communication et la gestion
documentaire.
De façon générale la norme demande à ce que les ressources
nécessaires soient bien allouées pour le traitement des risques, les
mesures de sécurité, les actions d’amélioration.
1. Compétence
L’entreprise doit:
 Déterminer les compétences nécessaires pour les personnes qui ont un
impact sur la sécurité. Cela peut se faire via des fiches de postes pour les
postes clés en sécurité (RSSI, Manager, Administrateurs, développeurs …).
 Vérifier que les collaborateurs sont compétents. Les dossiers
collaborateurs avec les cv, formations suivies, diplômes. Enfin, leurs
expériences permettent d’atteindre cet objectif.
 Si besoin il faut mener des actions pour acquérir des compétences
complémentaires (formations, auto-formation, veille, apports
d’expertises). Ex : se former à la sécurité dans le développement.
L’évaluation de ces actions est obligatoire.
 Conserver les ces compétences (dossiers collaborateurs).
2. Sensibilisation
La sensibilisation est un point important de la norme. Les
collaborateurs doivent être sensibilisés à la politique de sécurité de
l’information. Notamment leur rôle en matière de sécurité et au
respect des règles et exigences en sécurité.
3. Communication
L’entreprise doit lister les besoins de communication interne et
externe. Ce plan de communication doit décrire :
 Les sujets de la communication.
 La planification.
 Les cibles.
 Les responsabilités.
 Et les moyens.
4. Informations documentées
La gestion documentaire porte tout d’abord sur les documents
exigés par la norme et ensuite sur les documents nécessaire à
 l’entreprise. Lorsque l’on parle de document (information
documentée dans la norme) cela fait référence :
 Aux documents prescriptifs : politique, procédures, processus, plans.
 Aux enregistrements : preuves de la réalisation d’une activité ou d’un
résultat (indicateurs, contrats, Pv …).
Il s’agit donc ici de mettre en place une gestion documentaire et une
maîtrise de ces documents.

Exigences du chapitre 8 – Fonctionnement

Le chapitre 8 porte sur la vie de votre SMSI et le maintien des
dispositifs décrits plus haut.
1. Planification et contrôle opérationnels
L’entreprise doit planifier, mettre en œuvre et contrôler les
processus du SMSI et les actions, objectifs définis au chapitre 6.
Comme précisé au chapitre 6.2 des plans doivent être mis en
œuvre pour atteindre les objectifs de sécurité.
L’organisation doit conserver des informations documentées dans
une mesure suffisante pour avoir l’assurance que les processus ont
été suivis comme prévu.
L’entreprise doit suivre les modifications prévues. Et analyser les
impacts de ces changements. En cas de besoin, mener des actions
pour limiter tout effet non désiré.
Pour les processus externalisés, ceux-ci doivent être en revanche
définis et contrôlés.
2. Appréciation des risques de sécurité de l’information
L’entreprise doit mettre en œuvre l’appréciations des risques :
 à intervalles planifiés
 Lors de changements significatifs
3. Traitement des risques de sécurité de l’information
Le plan de traitement des risques doit être maintenu à jour au fil du
temps.
L’analyse des risques doit être un moyen de pilotage et
d’apprentissage sur la sécurité de votre entreprise.
Ce processus doit donc être maintenu dans le temps et utiliser
comme processus d’amélioration.
La sécurité doit cependant être suivie par des contrôles mis en
œuvre régulièrement et une surveillance du risque :
 Organiser le contrôle de la sécurité
 Suivre les actions et traiter les risques
 Exigences du chapitre 9 – Evaluation des performances
Ce chapitre porte sur l’évaluation des résultats en matière de
sécurité de l’information par le recueil d’indicateurs et la réalisation
d’audits. Cependant la revue de direction permet de faire le point
avec la direction sur les résultats et les décisions à prendre.
1. Surveillance, mesures, analyse et évaluation
L’entreprise doit mesurer :
 les performances de sécurité
 l’efficacité du SMSI (atteinte des objectifs
L’entreprise établit :
 ce qu’il faut surveiller, mesurer
 les méthodes de mesures, surveillance et analyse (Qui, Quoi, où, qaund,
comment et pourquoi)
Il faut aussi conserver les preuves associées à ces
indicateurs. Vous allez définir des indicateurs ou moyens
d’évaluation :
 des objectifs de sécurité
 des mesures de sécurité
2. Audit interne
L’entreprise doit toutefois mener des audits internes de façon
planifié afin de vérifier la conformité du SMSI et des
exigences. Lorsque l’on parle d’exigences cela concerne :
 Les exigences de la norme
 La règlementation
 Les exigences contractuelles et de l’entreprise
3. Revue de direction
Périodiquement (annuellement ou deux fois par an) la direction doit
procéder à la revue du SMSI. Cette revue a pour objectifs :
 De vérifier l’efficacité du SMSI
 De prendre des décisions d’amélioration
 Et de décider de changements pour le SMSI
Cette revue est un examen du fonctionnement du SMSI. Par exemple
, les actions, enjeux, non-conformités, indicateurs, objectifs,
risques, opportunités d’amélioration. Celle-ci permet de prendre des
décisions et réorienter l’entreprise.

Exigences du chapitre 10 – Amélioration

 1. Non-conformité et actions correctives
La non-conformité est le non-respect d’une exigence de la norme,
contractuelle, règlementaire ou liée à l’entreprise. Ces non-
conformités doivent être enregistrées et suivies jusqu’à leur
résolution.
Ces non-conformités doivent être analysées pour estimer
l’opportunité de mettre en place des actions pour éliminer les
sources.
2. Amélioration continue
L’entreprise doit aussi améliorer en continue son SMSI.
Cette exigence globale porte sur l’ensemble du SMSI :
 Utiliser l’analyse des risques comme moyen d’apprentissage de votre
système et comme voie d’amélioration
 Les mesures de sécurité sont revue pour renforcer en continue la
sécurité

ISO 27001 - Exigences et commentaires

N° Paragraphe Exigence Cycle PDCA, liens, commentaires
4 Contexte Planifier (Plan)
L'entreprise et son
4.1
contexte
1 4.1 Déterminer les enjeux Comprendre tout ce qui peut influer sur la
externes et internes finalité (la mission) de l'entreprise (culture
d'entreprise, innovation, orientation stratégique,
compétition, marché, obligations, temps de
travail, conditions de travail) et sa capacité à
obtenir les résultats attendus du SMSI. Cf.
paragraphe 6.1 et paragraphe 7.5.1
4.2 Parties intéressées
2 4.2 a Déterminer les parties Concernés par le SMSI, comme clients, lois,
intéressées contrats et autres. Cf. paragraphe 7.5.1
3 4.2 b Déterminer les exigences Besoins et attentes relatives aux exigences et
des parties intéressées obligations sécurité de l'information
4 4.2 c Déterminer les exigences Les exigences traitées par le SMSI
concernées par le SMSI
4.3 Domaine d'application
5 4.3 Déterminer le domaine Limites (administratives) et applicabilité
d'application du SMSI
6 4.3 a Prendre en considération "Identifier les dangers c'est diminuer les
les enjeux externes et risques". Cf. paragraphe 4.1
internes
7 4.3 b Prendre en compte les Lors de modifications des processus, des
exigences des parties exigences, des infrastructures. Cf.
intéressées paragraphe 4.2
8 4.3 c Prendre en compte les "Le risque zéro n'existe pas". L'interactivité
interfaces professionnelles des activités internes et celles d'autres
organisations
9 4.3 Rendre disponible le Conserver un enregistrement, cf.
domaine d'application paragraphe 7.5.1
 comme information
documentée
Système de
management de la
4.4
sécurité de
l'information
10 4.4 Établir, appliquer, tenir à Y compris les processus nécessaires. "Si vous
jour et améliorer en ne pouvez pas décrire ce que vous faites en
continu le SMSI tant que processus, vous ne savez pas ce
que vous faites". Edwards
Deming. Conformément aux exigences de l'ISO
27001. Manuel de sécurité de l'information, cf.
paragraphe 7.5.1
Planifier, Dérouler, Comparer, Agir (Plan,
5 Leadership
Do, Check, Act)
Leadership et
5.1
engagement
11 5.1 a S'assurer que la politique "Un escalier se balaie en commençant par
et les objectifs de sécurité le haut. Proverbe roumain." S'assurer de la
de l'information sont compatibilité avec l'orientation stratégique. La
établis direction fait preuve de leadership. Affirmer
l'engagement de la direction en faveur du SMSI
12 5.1 b S'assurer que les Faire preuve de leadership
exigences du SMSI sont
intégrés aux processus
métier
13 5.1 c S'assurer que les Ressources pour établir, appliquer, tenir à jour
ressources nécessaires au et améliorer le SMSI. Cf. paragraphe 4.4
SMSI sont disponibles
14 5.1 d Communiquer sur Et se conformer aux exigences de la norme ISO
l'importance d'un SMSI 27001
efficace
15 5.1 e S'assurer que le SMSI Engagement, réactivité et soutien actif de la
atteint les résultats direction
attendus
16 5.1 f Orienter et soutenir le Afin qu'il contribue à la performance du SMSI
personnel
17 5.1 g Promouvoir l'amélioration "Les employés d'abord, les clients ensuite.
continue Vineet Nayar." Faire preuve de leadership. Cf.
article 10
18 5.1 h Aider les personnes Quand cela est nécessaire à leur domaine de
concernées à faire preuve responsabilité
de leadership
5.2 Politique
19 5.2 a Établir la politique de En tenant compte de la mission de
sécurité de l'information l'organisation. Tenir la politique à jour. Cf.
paragraphe 7.5.1
20 5.2 b Fournir un cadre pour Cf. paragraphe 6.2
l'établissement des
objectifs de sécurité de
l'information
21 5.2 c S'engager à respecter les Concernant la sécurité de l'information
exigences applicables
22 5.2 d S'engager à améliorer en Cf. article 10
continu le SMSI
23 5.2 e Rendre disponible la Cf. paragraphe 7.5.1
politique de sécurité de
 l'information comme
information documentée
24 5.2 f Communiquer la politique A tous les niveaux de l'organisation
de sécurité de
l'information
25 5.2 g Tenir la politique de Le cas échéant
sécurité de l'information
disponible aux parties
intéressées
Rôles, responsabilités
5.3
et autorités
26 5.3 S'assurer que les Et communiquées à tous les niveaux de
responsabilité et autoritésl'entreprise. "La responsabilité ne peut pas
du SMSI sont attribuées être partagée. Robert Heinlein". Cf.
paragraphe 7.5.1
27 5.3 a S'assurer que le SMSI Et qui en a la responsabilité et l'autorité à tous
respecte les exigences de les niveaux de l'organisation. Ne pas oublier
la norme ISO 27001 qu'en fin de compte la direction est entièrement
responsable (cf. paragraphe 5.1)
28 5.3 b Présenter des rapports sur En attribuant la responsabilité et l'autorité
la performance du SMSI à nominativement, cf. paragraphe 7.5.1
la direction, de manière
régulière
6 Planification Planifier, Dérouler (Plan, Do)
6.1 Actions face aux risques
6.1.1 Généralités
29 6.1.1 a Déterminer les risques et La gestion des risques est basée sur la norme
opportunités ISO 31000 et la formation F 51. Afin de
s'assurer que le SMSI peut atteindre les
résultats prévus. Cf. le paragraphe 4.1 pour les
enjeux et le paragraphe 4.2 pour les
exigences. Un état des lieux est toujours utile
avant la planification. "Toute décision
comporte un risque. Peter Barge"
30 6.1.1 b Déterminer les risques et Afin d'anticiper ou de réduire les effets
opportunités indésirables
31 6.1.1 c Déterminer les risques et Afin de s'inscrire dans la démarche
opportunités d'amélioration continue, cf. article 10
32 6.1.1 d Planifier les actions pour Cf. paragraphe 6.1.3
traiter ces risques et
opportunités
33 6.1.1 e 1 Planifier la manière Pour tous les processus du SMSI
d'intégrer et de mettre en
place les actions
nécessaires
34 6.1.1 e 2 Planifier la manière Cf. paragraphe 6.1.2
d'évaluer l'efficacité des
actions entreprises
Appréciation des
6.1.2
risques
35 6.1.2 a 1 Appliquer le processus En établissant et tenant à jour les critères
d'appréciation des risques d'acceptation
de sécurité de
l'information
36 6.1.2 a 2 Appliquer le processus En établissant et tenant à jour les critères de
d'appréciation des risques réalisation des appréciations
de sécurité de
 l'information
37 6.1.2 b Appliquer le processus En s'assurant que la répétition des appréciations
d'appréciation des risques des risques conduit à des résultats cohérents,
de sécurité de valides et comparables
l'information
38 6.1.2 c 1 Appliquer le processus En identifiant les risques liés à la perte de
d'appréciation des risques confidentialité, d'intégrité et de disponibilité des
de sécurité de informations
l'information
39 6.1.2 c 2 Appliquer le processus En identifiant les pilotes des risques
d'appréciation des risques
de sécurité de
l'information
40 6.1.2 d 1 Appliquer le processus En analysant les risques et les conséquences
d'appréciation des risques potentielles des risques en 6.1.2 c 1 si ceux-ci
de sécurité de se concrétisent
l'information
41 6.1.2 d 2 Appliquer le processus En analysant les risques et évaluant la
d'appréciation des risques vraisemblance d'apparition des risques identifiés
de sécurité de en 6.1.2 c 1
l'information
42 6.1.2 d 3 Appliquer le processus En analysant les risques et déterminant les
d'appréciation des risques niveaux des risques
de sécurité de
l'information
43 6.1.2 e 1 Appliquer le processus En évaluant les risques et comparant les
d'appréciation des risques résultats d'analyse des risques avec les critères
de sécurité de en 6.1.2 a
l'information
44 6.1.2 e 2 Appliquer le processus En évaluant les risques et priorisant les risques
d'appréciation des risques analysés
de sécurité de
l'information
45 6.1.2 Conserver des Cf. paragraphe 7.5.1
informations documentées
sur le processus
d'appréciation des risques
de sécurité de
l'information
6.1.3 Traitement des risques
46 6.1.3 a Appliquer le processus de Afin de choisir les options de traitement des
traitement des risques de risques en tenant compte des résultats en 6.1.2
sécurité de l'information
47 6.1.3 b Appliquer le processus de Afin de déterminer les mesures nécessaires à
traitement des risques de entreprendre pour l'option choisie
sécurité de l'information
48 6.1.3 c Appliquer le processus de Afin de comparer les mesures déterminées
traitement des risques de en 6.1.3 b et celles de l'Annexe A de l'ISO
sécurité de l'information 27001 et de confirmer qu'aucune mesure
nécessaire n'est oubliée
49 6.1.3 d Appliquer le processus de Afin de produire une déclaration d'applicabilité
traitement des risques de incluant les mesures nécessaires (cf. 6.1.3
sécurité de l'information b et c), la justification de leur insertion, leur
mises en place (ou non), la justification de
l'exclusion de mesures de l'Annexe A de l'ISO
27001
50 6.1.3 e Appliquer le processus de Afin d'élaborer un plan de traitement des
traitement des risques de risques, cf. § 6.2
 sécurité de l'information
51 6.1.3 f Appliquer le processus de Afin d'obtenir des pilotes des risques la
traitement des risques de validation du plan de traitement des risques et
sécurité de l'information l'acceptation des risques résiduels
52 6.1.3 Conserver des Cf. paragraphe 7.5.1
informations documentées
sur le processus de
traitement des risques de
sécurité de l'information
6.2 Objectifs
53 6.2 Établir les objectifs de Pour toutes les fonctions et niveaux dans
sécurité de l'information l'organisation
54 6.2 a Déterminer des objectifs Cohérents avec la politique de sécurité de
de sécurité de l'information de l'organisation, cf. § 5.2
l'information
55 6.2 b Déterminer des objectifs Mesurables, si possible
de sécurité de
l'information
56 6.2 c Déterminer des objectifs En tenant compte des exigences applicables à la
de sécurité de sécurité de l'information, des résultats de
l'information l'appréciation et du traitement des risques
57 6.2 d Déterminer des objectifs Et les surveiller, cf. § 9.1
de sécurité de
l'information
58 6.2 e Déterminer des objectifs Et les communiquer, cf. § 7.4
de sécurité de
l'information
59 6.2 f Déterminer des objectifs Et les mettre à jour régulièrement
de sécurité de
l'information
60 6.2 g Déterminer des objectifs Et les conserver comme documents, cf. § 7.5
de sécurité de
l'information
61 6.2 Conserver des Liés à la sécurité de l'information, y compris le
informations documentées plan d'atteinte des objectifs, cf.
sur les objectifs paragraphe 7.5.1
62 6.2 h Déterminer lors de la Ce qui sera fait
planification des objectifs
de sécurité de
l'information
63 6.2 i Déterminer lors de la Les ressources nécessaires
planification des objectifs
de sécurité de
l'information
64 6.2 j Déterminer lors de la Le responsable
planification des objectifs
de sécurité de
l'information
65 6.2 k Déterminer lors de la Les échéances
planification des objectifs
de sécurité de
l'information
66 6.2 l Déterminer lors de la Comment les résultats seront évalués
planification des objectifs
de sécurité de
l'information
6.3 Planification des
 changements
67 6.3 Planifier les changements Avant de les appliquer
du SMSI
7 Support Dérouler (Do)
7.1 Ressources
68 7.1 Identifier et fournir les Afin d'établir, appliquer, tenir à jour et améliorer
ressources nécessaires le SMSI
7.2 Compétence
69 7.2 a Déterminer les Les personnes concernées peuvent influer sur
compétences nécessaires les performances de la sécurité de l'information
des personnes concernées
70 7.2 b S'assurer que ces Sur la base d'une formation initiale et
personnes sont professionnelle et de l'expérience
compétentes
71 7.2 c Mener des actions pour Et évaluer l'efficacité de ces actions. Les actions
acquérir et tenir à jour les incluent la formation, mais aussi l'encadrement,
compétences nécessaires la réaffectation et le recrutement de personnes
compétentes
72 7.2 d Conserver des Cf. paragraphe 7.5.1 comme le plan de
informations documentées développement des compétences
sur les compétences
7.3 Sensibilisation
73 7.3 a Sensibiliser le personnel à Cf. paragraphes 5.2, 6.2 et 7.5.1
la politique et objectifs de
sécurité de l'information
74 7.3 b Sensibiliser le personnel à Et des effets bénéfiques de la performance
l'importance de leur améliorée du SMSI
contribution à l'efficacité
du SMSI
75 7.3 c Sensibiliser le personnel Ne pas oublier les conséquences potentielles sur
aux répercussions et aux toutes les activités professionnelles
conséquences du non-
respect des exigences du
SMSI
7.4 Communication
76 7.4 a Déterminer les besoins de Y compris sur quels sujets, cf. paragraphe 7.5.1
communication interne et
externe
77 7.4 b Déterminer les besoins de Y compris quand communiquer
communication interne et
externe
78 7.4 c Déterminer les besoins de Y compris avec qui communiquer
communication interne et
externe
79 7.4 d Déterminer les besoins de Y compris comment communiquer
communication interne et
externe
Informations
7.5
documentées
7.5.1 Généralités
80 7.5.1 a Inclure dans le SMSI les Informations documentées à tenir à jour,
informations documentées
exigées par l'ISO 27001 disponibles (procédures) :

traitement de l'information (A.5.10)

classification de l'information (A.5.12)
marquage (A.5.13)
transfert d'information (A.5.14)
gestion des identités (A.5.16)
authentification (A.5.17, A.8.5)
droits d'accès (A.5.18, A.8.33)
relations avec les fournisseurs (A.5.19)
chaîne TIC (A.5.21)
incidents (A.5.26)
collecte de preuves (A.5.28)
continuité d'activité (A.5.30, A.5.29)
propriété intellectuelle (A.5.32)
enregistrements (A.5.33)
protection de la vie privée (A.5.34)
procédures (A.5.37)
sélection des candidats (A.6.1)
sensibilisation et formation (A.6.3)
déclaration des événements (A.6.8)
supports de stockage (A.7.10)
terminaux utilisateur (A.8.1)
restriction d'accès (A.8.3)
accès au code source (A.8.4)
programmes malveillants (A.8.7)
gestion des vulnérabilités (A.8.8)
sauvegarde (A.8.13)
redondance des moyens (A.8.14)
activités de surveillance (A.8.16)
programmes utilitaires privilégiés (A.8.18)
installation de logiciels (A.8.19)
sécurité des réseaux (A.8.20, A.8.21, A.8.22)
utilisation de la cryptographie (A.8.24)
codage (A.8.28)
changements (A.8.32)

Politiques :

sécurité de l'information (§§ 5.1, 5.2, 6.2, 7.3)

utilisation correcte de l'information (A.5.10)
classification de l'information (A.5.12)
transfert de l'information (A.5.14)
contrôle d'accès (A.5.15, A.5.18, A.8.2)
droits d'accès (A.5.18)
propriété intellectuelle (A.5.32)
protection des enregistrements (A.5.33)
conformité aux règles et normes ( A.5.36)
sensibilisation et formation (A.6.3)
télétravail (A.6.7)
bureau propre et écran vide (A.7.7)
supports de stockage (A.7.10)
vulnérabilités techniques (A.8.8)
sauvegarde de l'information (A.8.13)
jounalisation (A.8.15)

Informations documentées à conserver

(enregistrements) :

domaine d'application (§ 4.3)

politique de sécurité de l'information (§ 5.2)
appréciation des risques (§§ 6.1.2, 8.2)
traitement des risques (§§ 6.1.3, 8.3)
déclaration d'applicabilité (§ 6.1.3)
plan de traitement des risques (§ 6.1.3)
plan d'atteinte des objectifs (§ 6.2)
plan de gestion des changements (§ 6.3)
objectifs (§ 6.2)
compétences (§ 7.2)
liste des informations documentées (§ 7.5.3)
documents d'origine externe (§ 7.5.3)
suivi des processus (§ 8.1)
résultats de l'apprécation des risques (§ 8.2)
résultats de traitement des risques (§ 8.3)
résultats de l'inspection (§ 9.1)
programme d'audit (§ 9.2)
rapports d'audits (§ 9.2)
décisions de la revue de direction (§ 9.3)
non-conformités (§ 10.2)
des actions correctives (§ 10.2)
inventaire des actifs (A.5.9)
règles d'utilisation des actifs (A.5.10, A.5.11)
données de transfert (A.5.14)
mot de passe (A.5.17, A.8.5)
plan de gestion des incidents (A.5.24)
registre des incidents (A.5.24)
plan de continuité d'activité (A.5.29, A.5.30)
liste des exigences (A5.31)
registre des licences (A.5.32)
protection des enregistrements (A.5.33)
engagement de confidentialité (A.6.6)
sécurité travail à distance (A.6.7)
sortie des actifs (A.7.9, A.7.10)
sécurité des appareils mobiles (A.8.1)
accès privilégiés (A.8.2, A.8.18)
plan de gestion de la capacité (A.8.6)
protéction contre les logiciels malveillants
(A.8.7)
registre des vulnérabilités (A.8.8)
 registre de la configuration (A.8.9)
suppression de l'information (A.8.10)
plan de sauvegarde (A.8.13)
journaux des événements (A.8.15)
surveillance (A.8.16)
synchronisation (A.8.17)
autorisations privilégiées (A.8.18)
protection des réseaux (A.8.20)
règles de filtrage (A.8.23)
clés cryptographiques (A.8.24)
applications (A.8.26)
principes d'ingénierie (A.8.27)
codage sécurisé (A.8.28)
plan de test (A.8.29)
environnements (A.8.31)
demande de changement (A.8.32, A.33)

81 7.5.1 b Inclure les informations Ces informations documentées sont spécifiques

documentées jugées par rapport à la taille de l'organisation, au
nécessaires à l'efficacité domaine d'activité, à la complexité des
du SMSI processus et leurs interactions à la compétence
du personnel
7.5.2 Création et mise à jour
82 7.5.2 a Identifier et décrire les Lors de leur création et mise à jour. Comme
informations documentées titre, auteur, date, codification
de façon appropriée
83 7.5.2 b S'assurer que le format et Exemples de formats : langue, version du
le support des logiciel et des graphiques. Exemples de supports
informations documentées : papier, électronique
sont appropriés
84 7.5.2 c Passer en revue et valider Afin de déterminer leur pertinence et adéquation
les informations
documentées de façon
appropriée
Maîtrise des
7.5.3 informations
documentées
85 7.5.3 a Maîtriser les informations Quand nécessaire et à l'endroit voulu. Selon les
documentées pour qu'elles exigences du SMSI et de la norme ISO 27001
soient disponibles et
conviennent à l'utilisation
86 7.5.3 b Maîtriser les informations Comme perte de confidentialité, utilisation
documentées pour qu'elles inappropriée ou perte d'intégrité
soient convenablement
protégées
87 7.5.3 c Appliquer des activités de Afin de maîtriser les informations documentées
distribution, d'accès, de
récupération et
d'utilisation
88 7.5.3 d Appliquer des activités de Y compris la préservation de lisibilité
stockage et de protection
89 7.5.3 e Appliquer des activités de Comme la maîtrise des versions
maîtrise des modifications
90 7.5.3 f Appliquer des activités de En déterminant pour chaque information
 conservation et documentée la durée de conservation et la
d'élimination manière d'élimination
91 7.5.3 Identifier et maîtriser les Liste des informations documentées jugées
informations documentées nécessaires à la planification et au
d'origine externe fonctionnement du SMSI, y compris celles
d'origine externe. Cf. paragraphe 7.5.1
8 Réalisation Dérouler (Do)
8.1 Planification et maîtrise
92 8.1 Planifier, appliquer, En établissant des critères pour ces processus et
maîtriser et tenir à jour en réalisant des actions déterminées dans le
des processus nécessaires paragraphe 6.1
afin de respecter les
exigences du SMSI
93 8.1 Planifier, appliquer, En appliquant la mesure de sécurité
maîtriser et tenir à jour conformément aux critères
des processus nécessaires
afin de respecter les
exigences du SMSI
94 8.1 Conserver des Afin de s'assurer que les processus sont réalisés
informations documentées comme prévu. Cf. paragraphe 7.5.1
sur les processus
nécessaires
95 8.1 Maîtriser les changements En menant des actions pour limiter tout impact
prévus et analyser ceux négatif. Cf. paragraphe 7.5.1
qui sont imprévus
96 8.1 S'assurer que les Y compris les produits et services externalisés
processus externalisés
sont maîtrisés et
pertinents
Appréciation des
8.2
risques
97 8.2 Apprécier les risques de En tenant compte des critères établis en 6.1.2
sécurité de l'information a et le § 6.3
régulièrement
98 8.2 Conserver des Résultats de l'appréciation, cf. paragraphe 7.5.1
informations documentées
sur les résultats de
l'appréciation des risques
8.3 Traitement des risques
99 8.3 Appliquer le plan des Conformément au paragraphe 6.2
traitement des risques
100 8.3 Conserver des Plan de traitement des risques, cf.
informations documentées paragraphe 7.5.1
sur les résultats de
traitement des risques
9 Performance Comparer (Check)
9.1 Inspection
101 9.1 a Déterminer ce qu'il est Y compris les processus et les mesures de
nécessaire d'inspecter sécurité de l'information
(surveiller et mesurer)
102 9.1 b Déterminer les méthodes Y compris l'analyse et l'évaluation afin d'assurer
d'inspection la validité des résultats. Tout résultat valable est
comparable et reproductible
103 9.1 c Déterminer le moment Y compris les points où la surveillance et la
d'inspection mesure sont réalisées
104 9.1 d Déterminer qui effectue La personne responsable de l'inspection
l'inspection
105 9.1 e Déterminer le moment Y compris le moment d'évaluation de ces
d'analyse des résultats de résultats
l'inspection
106 9.1 f Déterminer qui analyse les Y compris la personne responsable de
résultats l'évaluation des résultats
107 9.1 Conserver des Cf. paragraphe 7.5.1
informations documentées
sur les résultats de
l'inspection
108 9.1 Evaluer la performance de Y compris l'efficacité du SMSI
sécurité de l'information
9.2 Audit interne
9.2.1 Généralités
109 9.2.1 a 1 Conduire des audits Y compris à la politique et les objectifs, cf.
internes à des intervalles paragraphes 5.2 et 6.2
planifiés afin de vérifier si
le SMSI respecte les
exigences de l'organisation
110 9.2.1 a 2 Conduire des audits Exigences dans les articles 4 à 10 de la norme
internes à des intervalles
planifiés afin de vérifier si
le SMSI respecte
les exigences de la norme
ISO 27001
111 9.2.1 b Conduire des audits Cf. la revue de direction, paragraphe 9.3
internes à des intervalles
planifiés afin de vérifier si
le SMSI est appliqué
efficacement
9.2.2 Programme d'audit
112 9.2.2 Planifier, établir, appliquer Incluant la fréquence, les méthodes, les
et tenir à jour le responsabilités, les exigences de planification et
programme d'audit de rapport. Suivre les recommandation de l'ISO
19011
113 9.2.2 Tenir compte dans le Et des résultats des audits précédents
programme d'audit de
l'importance des processus
114 9.2.2 a Définir les critères d'audit Et le périmètre de chaque audit. Suivre les
recommandation de l'ISO 19011
115 9.2.2 b Sélectionner les auditeurs Afin de conduire des audits objectifs et
impartiaux. Suivre les recommandation de l'ISO
19011
116 9.2.2 c Rendre compte des A la direction concernée
résultats des audits
117 9.2.2 Conserver les informations Et les résultats d'audit, cf. paragraphe 7.5.1
documentées sur
l'application du
programme d'audit
9.3 Revue de direction
9.3.1 Généralités
118 9.3.1 Passer en revue le SMSI à Afin de s'assurer que le SMSI est toujours
des intervalles planifiés approprié, adéquat et efficace. "Aucun
système n'est parfait"
9.3.2 Eléments d'entrée
119 9.3.2 a Prendre en considération Utiliser le dernier rapport de la revue de
l'avancement des actions direction
décidées au cours de la
 revue de direction
précédente
120 9.3.2 b Prendre en considération Cf. paragraphe 4.1
les changements des
enjeux du SMSI
121 9.3.2 c Prendre en considération Cf. paragraphe 4.2
les changements des
exigences des parties
intéressées
122 9.3.2 d 1 Prendre en considération Y compris les non-conformités et les actions
les tendances des retours correctives, cf. paragraphe 10.2
d'information
123 9.3.2 d 2 Prendre en considération Autrement dit les résultats de la surveillance et
les tendances des résultats du mesurage, cf. paragraphe 9.1
des inspections
124 9.3.2 d 3 Prendre en considération Cf. paragraphe 9.2
les tendances des résultats
des audits
125 9.3.2 d 4 Prendre en considération Cf. paragraphe 6.2
les tendances de l'atteinte
des objectifs
126 9.3.2 e Prendre en considération Cf. paragraphe 4.2
les retours d'information
des parties intéressées
127 9.3.2 f Prendre en considération Y compris l'avancement du plan de traitement
les résultats de des risques, cf. paragraphe 6.1.3
l'appréciation des risques
128 9.3.2 g Prendre en considération Et les éventuels changement du SMSI Cf.
les opportunités paragraphe 10.2
d'amélioration continue
9.3.3 Eléments de sortie
129 9.3.3 Inclure dans les résultats Et les éventuels changement du SMSI Cf.
de la revue de direction les paragraphe 10.2
décisions d'amélioration
continue
130 9.3.3 Conserver les informations Cf. paragraphe 7.5.1
documentées sur les
résultats de la revue de
direction
10 Amélioration Agir (Act)
10.1 Amélioration continue
131 10.1 Améliorer en continue la En améliorant la performance globale du SMSI
pertinence, l'adéquation et
l'efficacité du SMSI
Non-conformité et
10.2
action corrective
132 10.2 a 1 Réagir à la non-conformité Afin de la maîtriser et de la corriger
133 10.2 a 2 Réagir à la non-conformité Afin de faire face aux conséquences de la non-
conformité
134 10.2 b 1 Passer en revue la non- En évaluant si une action est nécessaire pour
conformité éliminer la cause
135 10.2 b 2 Trouver la cause des non- Si possible la cause première
conformités
136 10.2 b 3 Rechercher si des non- Ou pourraient se produire
conformités similaires se
sont produites
137 10.2 c Appliquer toutes les Y compris des actions correctives
 actions nécessaires
138 10.2 d Passer en revue l'efficacité Y compris toute action corrective
de toute action menée
139 10.2 e Modifier le SMSI Si cela est nécessaire
140 10.2 Mener des actions Par rapport aux non-conformités apparues
correctives appropriées
aux conséquences réelles
ou potentielles
141 10.2 f Conserver les informations Cf. paragraphe 7.5.1
documentées sur la nature
des non-conformités
142 10.2 g Conserver les informations Cf. paragraphe 7.5.1
documentées sur les
résultats des actions
correctives
Annexe A (normative) Comparer (Check)
A.5 Mesures
organisationnelles
143 A.5.1 Politiques de sécurité de Définir les politiques de sécurité de
l'information l'information, qui sont approuvées par la
direction, publiées, communiquées, révisées et
changées, cf § 5.2
144 A.5.2 Fonctions et Définir et attribuer les fonctions et
responsabilités liées à la responsabilités liées à la sécurité de
sécurité de l'information l'information, cf. § 5.3
145 A.5.3 Séparation des tâches Séparer les tâches et domaines de
responsabilité incompatibles
146 A.5.4 Responsabilités de la Appliquer les mesures de sécurité de
direction l'information selon les politiques et procédures
de l'entreprise, demande de la direction, cf.
§ 5.1
147 A.5.5 Contacts avec les autorités Etablir et maintenir le contact avec les autorités
appropriées
148 A.5.6 Contacts avec des groupes Etablir et maintenir des contacts avec des
d'intérêt spécifiques groupes d'intérêt liés à la sécurité de
l'information
149 A.5.7 Renseignement sur les Collecter et analyser les menaces liées à la
menaces sécurité de l'information
150 A.5.8 Sécurité de l'information Intégrer la sécurité de l'information à la gestion
dans la gestion de projet des projets
151 A.5.9 Inventaire des Elaborer et tenir à jour un inventaire des
informations et autres informations et actifs liés à la sécurité de
actifs associés l'information
152 A.5.10 Utilisation correcte des Identifier, documenter et appliquer des règles
informations et autres d'utilisation correcte et des procédures de
actifs associés traitement des informations et actifs
153 A.5.11 Restitution des actifs Restituer tous les actifs au moment de quitter
l'entreprise ou de changer de poste
154 A.5.12 Classification des Classifier les informations selon des exigences
informations de confidentialité, d'intégrité et de disponibilité
155 A.5.13 Marquage des informations Elaborer et appliquer des procédures pour le
marquage des informations
156 A.5.14 Transfert des informations Mettre en place des règles, des procédures ou
des accords sur le transfert des informations en
interne et avec les parties prenantes
157 A.5.15 Contrôle d'accès Définir et appliquer les règles d'accès physique
et logique aux informations selon les exigences
 métier et la sécurité de l'information
158 A.5.16 Gestion des identités Gérer le cycle de vie complet des identités
159 A.5.17 Informations Contrôler l'attribution et la gestion des
d'authentification informations d'authentification selon un
processus spécifique incluant des
recommandations d'utilisation appropriée
160 A.5.18 Droits d'accès Pourvoir, réviser, modifier et supprimer les
droits d'accès aux informations et actifs
conformément à la politique spécifique
161 A.5.19 Sécurité de l'information Définir et appliquer des processus et procédures
dans les relations avec les afin de gérer les risques de sécurité de
fournisseurs l'information liés à l'utilisation de produits et
services des fournisseurs
162 A.5.20 La sécurité de Mettre en place et convenir avec chaque
l'information dans les fournisseur les exigences de sécurité de
accords conclus avec les l'information appropiées
fournisseurs
163 A.5.21 Gestion de la sécurité de Définir et appliquer des processus et procédures
l'information dans la afin de gérer les risques de sécurité de
chaîne l'information liés à la chaîne
d'approvisionnement TIC d'approvisionnement des produits et services
TIC
164 A.5.22 Surveillance, révision et Surveiller, réviser, évaluer et gérer
gestion des changements régulièrement les changements des pratiques de
des services forunisseurs sécurité de l'information des fournisseurs
165 A.5.23 Sécurité de l'information Etablir les processus d'acquisition, d'utilisation,
dans l'utilisation de de gestion et de cessation des services en nuage
services en nuage selon les exigences de sécurité de l'information
de l'entreprise
166 A.5.24 Planification et préparation Planifier et préparer la gestion des incidents liés
de la gestion des à la sécurité de l'information avec des
incidentsliés à la sécurité processus, fonctions et responsabilités
de l'information concernés
167 A.5.25 Evaluation des Evaluer les événements liés à la sécurité de
événements liés à la l'information et décider si ces derniers doivent
sécurité de l'information et être catégorisés comme des incidents
prise de décision
168 A.5.26 Réponse aux incidents liés Répondre aux incidents liés à la sécurité de
à la sécurité de l'information conformément aux procédures
l'information documentées
169 A.5.27 Enseignements des Utiliser les connaissances acquises à partir des
incidents liés à la sécurité incidents liés à la sécurité de l'information afin
de l'information de renforcer et améliorer les mesures de
sécurité de l'information
170 A.5.28 Collecte de preuves Etablir et appliquer des procédures pour
l'identification, la collecte, l'acquisition et la
préservation de preuves liées aux événements
de sécurité de l'information
171 A.5.29 Sécurité de l'information Planifier comment maintenir la sécurité de
pendant une perturbation l'information à un niveau approprié pendant une
perturbation
172 A.5.30 Préparation des TIC pour Planifier, appliquer, maintenir et tester la
la continuité d'activité préparation des TIC selon les objectifs et
exigences de continuité d'activité
173 A.5.31 Exigences légales, Identifier, documenter, respecter et tenir à jour
statutaires, réglementaires les exigences légales, statutaires,
et contractuelles réglementaires et contractuelles pertinentes de
sécurité de l'information
174 A.5.32 Droits de propriété Mettre en place des procédures appropriées afin
intellectuelle de protéger les droits de propriété intellectuelle
175 A.5.33 Protection des Protéger de la perte, de la destruction, de la
enregistrements falsification, des accès non autorisés et des
diffusions non autorisées les enregistrements
opérationnels
176 A.5.34 Protection de la vie privée Identifier et respecter les exigences de
et des DCP protection de la vie privée et des données à
caractère personnel (DCP) selon les lois,
réglementations et exigences contractuelles
applicables
177 A.5.35 Revue indépendante de la Passer en revue à intervalles planifiés la gestion
sécurité de l'information de la sécurité de l'information, y compris les
personnes, processus et technologies
178 A.5.36 Conformité aux politiques, Vérifier régulièrement la conformité aux
règles et normes de politiques de sécurité de l'information, aux
sécurité de l'information normes et règles de l'entreprise
179 A.5.37 Procédures d'exploitation Documenter et mettre à disposition du
documentées personnel concerné les procédures
d'exploitationdes moyens de traitement de
l'information
A.6 Mesures liées aux
persones
180 A.6.1 Sélection des candidats Réaliser les vérifications des références des
candidats à l'embauche avant leur intégration
dans l'entreprise selon les exigences métier, la
classification des informations et les risques
identifiés, cf. § 7.2
181 A.6.2 Termes et conditions du Indiquer dans les contrats de travail les
contrat de travail responsabilités du personnel et de l'entreprise
en matière de sécurité de l'information
182 A.6.3 Sensibilisation, Sensibiliser, enseigner et former le personnel et
enseignement et formation les parties prenantes en sécurité de
en sécurité de l'information, y compris les mises à jour des
l'information politiques et des procédures
183 A.6.4 Processus disciplinaire Formaliser et communiquer le processus
disciplinaire pour ceux qui n'ont pas respecté la
politique de sécurité de l'information
184 A.6.5 Responsabilités après la Définir, appliquer et communiquer les
fin ou le changement d'un responsabilités et obligations relatives à la
emploi sécurité de l'information qui restent valables
après la fin ou le changement d'un emploi
185 A.6.6 Accords de confidentialité Identifier, documenter, réviser et signer les
ou de non-divulgation accords de confidentialité (de non-divulgation)
afin de protéger les informations sensibles
186 A.6.7 Télétravail Mettre en place des mesures de sécurité
pertinentes pour le télétravail afin de protéger
les informations en dehors des locaux de
l'entreprise
187 A.6.8 Déclaration des Fournir un mécanisme pour déclarer rapidement
événements liés à la les événements avérés ou suspectés liés à la
sécurité de l'information sécurité de l'information
A.7 Mesures physiques
188 A.7.1 Périmètres de sécurité Définir et utiliser des périmètres de sécurité afin
physique de protéger les zones avec des informations et
actifs sensibles
189 A.7.2 Les entrées physiques Protéger les zones d'accès par des mesures de
 sécurité des accès et des points d'accès
appropriés
190 A.7.3 Sécurisation des bureaux, Concevoir et appliquer des mesures de sécurité
des salles et des physique pour les bureaux, les salles et les
installations installations
191 A.7.4 Surveillance de la sécurité Surveiller en continu les locaux afin d'empêcher
physique l'accès physique non autorisé
192 A.7.5 Protection contre les Concevoir et appliquer une protection contre les
menaces physiques et menaces physiques et environnementales
environnementales (comme les catastrophes naturelles),
intentionnelles ou non intentionnelles
193 A.7.6 Travail dans les zones Concevoir et appliquer des mesures de sécurité
sécurisées pour le travail dans les zones sécurisées
194 A.7.7 Bureau propre et écran Définir et appliquer des règles du bureau propre
vide et d'écran vide pour les moyens de traitement
de l'information
195 A.7.8 Emplacement et protection Choisir et protéger un emplacement sécurisé
du matériel pour le matériel
196 A.7.9 Sécurité des actifs hors Protéger les actifs hors du site
des bureaux
197 A.7.10 Supports de stockage Gérer les supports de stockage tout au long de
leur cycle de vie (acquisition, utilisation,
transport et mise au rebut) selon la classification
et les exigences de l'entreprise
198 A.7.11 Services support Protéger les moyens de traitement de
l'information contre les coupures de courant et
autres défaillances des services support
199 A.7.12 Sécurité du câblage Protéger les câbles électriques contre les
interceptions, interférences ou dommages
200 A.7.13 Maintenance du matériel Entretenir le matériel correctement afin
d'assurer la disponibilité, l'intégrité et la
confidentialité de l'information
201 A.7.14 Elimination ou recyclage Vérifier les matériels de stockage afin de
sécurisé du matériel s'assurer de la suppression sécurisée des
données sensibles ou logiciel sous licence
A.8 Mesures
technologiques
202 A.8.1 Terminaux utilisateurs Protéger les informations stockées, traitées ou
accessibles via un terminal utilsateur
203 A.8.2 Droits d'accès privilégiés Limiter et gérer l'attribution et l'utilisation des
droits d'accès privilégiés
204 A.8.3 Restriction d'accès aux Restreindre l'accès aux informations et autres
informations actifs selon la politique du contrôle d'accès
205 A.8.4 Accès au code source Gérer de manière appropriée l'accès au code
source, aux outils de développement et aux
bibliothèques de logiciels
206 A.8.5 Authentification sécurisée Appliquer des technologies et procédures
d'authentification sécurisées selon les
restrictions de la politique de contrôle d'accès,
cf. A.8.3
207 A.8.6 Dimensionnement Surveiller et ajuster l'utilisation des ressources
selon les besoins de dimensionnement, cf. Plan
de gestion de la capacité, § 7.5.1
208 A.8.7 Protection contre les Appliquer la protection contre les programmes
programmes malveillants malveillants, sensibiliser le personnel, cf. § 7.3
(malware)
209 A.8.8 Gestion des vulnérabilités Obtenir des informations sur les vulnérabilités
 techniques techniques des systèmes d'information, évaluer
l'exposition de l'entreprise à ces vulnérabilités et
prendre les mesures appropriées
210 A.8.9 Gestion de la configuration Définir, documenter, appliquer, surveiller et
réviser la configuration relative à la sécurité, au
matériel, aux logiciels et aux réseaux
211 A.8.10 Suppression d'information Supprimer les informations, qui ne sont plus
nécessaires, sur les systèmes d'information, les
terminaux et autres supports de stockage
212 A.8.11 Masquage des données Masquer les données selon la politique de
contrôle d'accès, cf. § A.8.3 en repectant les
exigences métier et la législation applicable
213 A.8.12 Prévention de la fuite de Appliquer des mesures de prévention de la fuite
données de données des informations sensibles aux
systèmes, réseaux et autres terminaux
214 A.8.13 Sauvegarde des Conserver et tester régulièrement des copies de
informations sauvegarde de l'information, des logiciels et des
systèmes selon la politique de sauvegarde
215 A.8.14 Redondance des moyens Appliquer des moyens de traitement de
de traitement de l'information afin de répondre aux exigences de
l'information disponibilité
216 A.8.15 Journalisation Générer, conserver, protéger et analyser des
journaux des activités, exceptions, pannes et
autres événements pertinents
217 A.8.16 Activités de surveillance Surveiller les réseaux, systèmes et
applications et prendre des mesures
appropriées, cf. § 9.1
218 A.8.17 Synchronisation des Synchroniser les horloges des systèmes de
horloges traitement de l'information avec des sources de
temps approuvées
219 A.8.18 Utilisation de programmes Limiter et contrôler étroitement l'utilisation des
utilitaires à privilèges programmes utilitaires ayant la capacité de
contourner les mesures de sécurité des
systèmes et des applications
220 A.8.19 Installation de logiciels sur Appliquer des procédures et des mesures afin de
des systèmes gérer de manière sécurisée l'installation de
opérationnels logiciels opérationnels
221 A.8.20 Sécurité des réseaux Sécuriser, gérer et contrôler les réseaux et leurs
terminaux afin de protéger les informations des
systèmes et des applications
222 A.8.21 Sécurité des services Identifier, appliquer et surveiller les mécanismes
réseau de sécurité, les niveaux de service et les
exigences des services réseaux
223 A.8.22 Cloisonnement des Cloisonner les groupes de services
réseaux d'information, d'utilisateurs et de systèmes
d'information
224 A.8.23 Filtrage web Maîtriser l'accès aux sites web externes afin de
réduire l'exposition aux contenus malveillants
225 A.8.24 Utilisation de la Définir et appliquer des règles de cryptographie,
cryptographie y compris les clés cryptographiques
226 A.8.25 Cycle de développement Définir et appliquer des règles pour le
sécurisé développement sécurisé des logiciels et
systèmes
227 A.8.26 Exigences de sécurité des Identifier, spécifier et approuver les exigences
applications de sécurité de l'information lors du
développement ou de l'aquisition d'applications
228 A.8.27 Principes d'ingénierie et Etablir, documenter, tenir à jour et appliquer
 d'architecture des des principes d'ingénierie des systèmes
systèmes sécurisés sécurisés au cours du développement des
systèmes d'information
229 A.8.28 Codage sécurisé Appliquer des principes de codage sécurisé au
développement des logiciels
230 A.8.29 Test de sécurité dans le Définir et appliquer des processus de tests de
développement et sécurité au cours du cycle de vie du
l'acceptation développement
231 A.8.30 Développement Diriger, contrôler et vérifier les activités
externalisé relatives aux développement des systèmes
externalisés
232 A.8.31 Séparation des Séparer et sécuriser les environnements de
environnements de développement, de test et opérationnels
développement, de test et
opérationnels
233 A.8.32 Gestion des changements Soumettre les changements des moyens de
traitement de l'information et des systèmes
d'information à des procédures de gestion des
changements, cf. § 6.3
234 A.8.33 Informations de test Sélectionner, protéger et gérer les informations
de test de manière appropriée
235 A.8.34 Protection des systèmes Planifier et convenir entre le testeur et le niveau
d'informationpendant les approprié de la direction les tests d'audit et
tests d'audit autres activités d'assurance impliquant
l'évaluation des systèmes opérationnels