SlideShare une entreprise Scribd logo

Déclaration d'applicabilité (DdA) - ISO27002:2013

Bachir Benyammi
Bachir Benyammi

Version française traduite du document intitulé "ISO27k Statement of Applicability (SOA)" de la trousse à outils ISO27k ("ISO27k Toolkit"), compatible avec ISO 27002:2013 . Version 3 January 2009 Copyright © 2009 ISO27k Implementers’ Forum www.ISO27001security.com

Business
1  sur  5
Télécharger pour lire hors ligne
ISO27k Statement of Applicability Déclaration d'applicabilité À jour au: JJ/MM/AAAA Légende (pour les mesures sélectionnées et raisons de sélection des mesures) LR: exigences légales, CO: obligations contractuelles, BR/BP: exigences opérationnelles/meilleures pratiques adoptées, RRA: résultats d’appréciation des risques, TSE: jusqu'à un certain point LR CO BR/BP RRA Clause Sec Control Objective/Control 5.1 Orientations de la direction en matière de sécurité de l'information 5.1.1 Politiques de sécurité de l'information 5.1.2 Revue des politiques de sécurité de l’information 6.1 Organisation interne 6.1.1 Fonctions et responsabilités liées à la sécurité de l'information 6.1.2 Relations avec les autorités 6.1.3 Relations avec des groupes de travail spécialisés 6.1.4 La sécurité de l'information dans la gestion de projet 6.1.5 Séparation des tâches 6.2 Appareils mobiles et télétravail 6.2.1 Politique en matière d'appareils mobiles 6.2.2 Télétravail 7.1 Avant l'embauche 7.1.1 Sélection des candidats 7.1.2 Termes et conditions d’embauche 7.2 Pendant la durée du contrat 7.2.1 Responsabilités de la direction 7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information 7.2.3 Processus disciplinaire 7.3 Rupture, terme ou modification du contrat de travail 7.3.1 Achèvement ou modification des responsabilités associées au contrat de travail Remarques (aperçu de la mise en œuvre) 5 Politiques de sécurité ISO/IEC 27001:2013 Annexe A mesure de sécurité mesures actuelles Remarques (avec justification des exclusions) mesures sélectionnées et raisons de sélection 6 Organisation de la sécurité de l'information 7 Sécurité des ressources humaines
8.1 Responsabilités relatives aux actifs 8.1.1 Inventaire des actifs 8.1.2 Propriété des actifs 8.1.3 Utilisation correcte des actifs 8.1.4 Restitution des actifs 8.2 Classification de l'information 8.2.1 Classification des informations 8.2.2 Marquage des informations 8.2.3 Manipulation des actifs 8.3 Manipulation des supports 8.3.1 Gestion des supports amovibles 8.3.2 Mise au rebut des supports 8.3.3 Transfert physique des supports 9.1 Exigences métier en matière de contrôle d'accès 9.1.1 Politique de contrôle d’accès 9.1.2 Politique relative à l'utilisation de services en réseau 9.2 Gestion de l’accès utilisateur 9.2.1 Enregistrement et désinscription des utilisateurs 9.2.2 Provisionnement des accès utilisateurs 9.2.3 Gestion des privilèges 9.2.4 Gestion des informations secrètes d'authentification des utilisateurs 9.2.5 Revue des droits d’accès utilisateurs 9.2.6 Suppression ou adaptation des droits d'accès 9.3 Responsabilités des utilisateurs 9.3.1 Utilisation d'informations secrètes d'authentification 9.4 Contrôle de l'accès au système et à l’information 9.4.1 Restriction d’accès à l’information 9.4.2 Sécuriser les procédures de connexion 9.4.3 Système de gestion des mots de passe 9.4.4 Utilisation de programmes utilitaires à privilèges 9.4.5 Contrôle d’accès au code source du programme 10.1 Mesures cryptographiques 10.1.1 Politique d’utilisation des mesures cryptographiques 10.1.2 Gestion des clés 11.1 Zones sécurisées 11.1.1 Périmètre de sécurité physique 11.1.2 Contrôles physiques des accès 11.1.3 Sécurisation des bureaux, des salles et des équipements 11 Sécurité 8 Gestion des actifs 9 Contrôle d'accès 10 Cryptographie
11.1.4 Protection contre les menaces extérieures et environnementales 11.1.5 Travail dans les zones sécurisées 11.1.6 Zones de livraison et de chargement 11.2 Matériels 11.2.1 Emplacement et protection du matériel 11.2.2 Services généraux 11.2.3 Sécurité du câblage 11.2.4 Maintenance du matériel 11.2.5 Sortie des actifs 11.2.6 Sécurité du matériel et des actifs hors des locaux 11.2.7 Mise au rebut ou recyclage sécurisé(e) du matériel 11.2.8 Matériel utilisateur laissé sans surveillance 11.2.9 Politique du bureau propre et de l’écran vide 12.1 Procédures et responsabilités liées à l’exploitation 12.1.1 Procédures d’exploitation documentées 12.1.2 Gestion des changements 12.1.3 Dimensionnement 12.1.4 Séparation des environnements de développement, de test et d'exploitation 12.2 Protection contre les logiciels malveillants 12.2.1 Mesures contre les logiciels malveillants 12.3 Sauvegarde 12.3.1 Sauvegarde des informations 12.4 Journalisation et surveillance 12.4.1 Journalisation des événements 12.4.2 Protection de l’information journalisée 12.4.3 Journaux administrateur et opérateur 12.4.4 Synchronisation des horloges 12.5 Maîtrise des logiciels en exploitation 12.5.1 Installation de logiciels sur des systèmes en exploitation 12.6 Gestion des vulnérabilités techniques 12.6.1 Gestion des vulnérabilités techniques 12.6.2 Restrictions liées à l'installation de logiciels 12.7 Considérations sur l’audit des systèmes d’information 12.7.1 Mesures relatives à l’audit des systèmes d’information 13.1 Gestion de la sécurité des réseaux 13.1.1 Contrôle des réseaux 13.1.2 Sécurité des services de réseau 13.1.3 Cloisonnement des réseaux 13.2 Transfert de l'information 13.2.1 Politiques et procédures de transfert de l'information 12 Sécurité liée à l'exploitation 13 Sécurité des communications 11 Sécurité physique et environnementale
13.2.2 Accords en matière de transfert d'information 13.2.3 Messagerie électronique 13.2.4 Engagements de confidentialité ou de non-divulgation 14.1 Exigences de sécurité applicables aux systèmes d’information 14.1.1 Analyse et spécification des exigences de sécurité 14.1.2 Sécurisation des services d'application sur les réseaux publics 14.1.3 Protection des transactions liées aux services d'application 14.2 Sécurité des processus de développement et d’assistance technique 14.2.1 Politique de développement sécurisé 14.2.2 Procédures de contrôle des changements 14.2.3 Revue technique des applications après changement apporté à la plateforme d’exploitation 14.2.4 Restrictions relatives aux changements apportés aux progiciels 14.2.5 Procédures de développement des systèmes 14.2.6 Environnement de développement sécurisé 14.2.7 Développement externalisé 14.2.8 Phase de test de la sécurité du système 14.2.9 Test de conformité du système 14.3 Données de test 14.3.1 Protection des données de test 15.1 Sécurité dans les relations avec les fournisseurs 15.1.1 Politique de sécurité de l'information dans les relations avec les fournisseurs 15.1.2 Sécurité dans les accords conclus avec les fournisseurs 15.1.3 chaîne d'approvisionnement informatique 15.2 Gestion de la prestation du service 15.2.1 Surveillance et revue des services des fournisseurs 15.2.2 Gestion des changements apportés dans les services des fournisseurs 16.1 Gestion des incidents liés à la sécurité de l’information et améliorations 16.1.1 Responsabilités et procédures 16.1.2 Signalement des événements liés à la sécurité de l’information 16.1.3 Signalement des failles liées à la sécurité de l’information 16.1.4 Appréciation des événements liés à la sécurité de l'information et prise de décision 13 Sécurité des communications 14 Acquisition, développement et maintenance des systèmes d’information 15 Relations avec les fournisseurs 16 Gestion des incidents liés à la sécurité de l’information
16.1.5 Réponse aux incidents liés à la sécurité de l’information 16.1.6 Tirer des enseignements des incidents liés à la sécurité de l’information 16.1.7 Recueil de preuves 17.1 Continuité de la sécurité de l'information 17.1.1 Organisation de la continuité de la sécurité de l'information 17.1.2 Mise en oeuvre de la continuité de la sécurité de l'information 17.1.3 Vérifier, revoir et évaluer la continuité de la sécurité de l'information 17.2 Redondances 17.2.1 Disponibilité des moyens de traitement de l’information 18.1 Conformité aux obligations légales et réglementaires 18.1.1 Identification de la législation et des exigences contractuelles applicables 18.1.2 Droits de propriété intellectuelle (DPI) 18.1.3 Protection de l’information documentée 18.1.4 Protection de la vie privée et protection des données à caractère personnel 18.1.5 Réglementation relative aux mesures cryptographiques 18.2 Revue de la sécurité de l’information 18.2.1 Revue indépendante de la sécurité de l’information 18.2.2 Conformité avec les politiques et les normes de sécurité 18.2.3 Examen de la conformité technique Copyright This work is copyright © 2015, ISO27k Forum, some rights reserved. It is licensed under the Creative Commons Attribution-Noncommercial-Share Alike 3.0 License. You are welcome to reproduce, circulate, use and create derivative works from this provided that (a) it is not sold or incorporated into a commercial product, (b) it is properly attributed to the ISO27k Forum at www.ISO27001security.com, and (c) if they are published or shared, derivative works are shared under the same terms as this. The copyright in parts of this document belong to ISO/IEC. They own the standards! We are reliant on the fair use provisions of copyright law and the goodwill of ISO/IEC to reproduce a small part of their content here. 18 Conformité incidents liés à la sécurité de l’information 17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité

Recommandé

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
ISO 27001
ISO 27001ISO 27001
ISO 27001MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 

Recommandé

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
ISO 27001
ISO 27001ISO 27001
ISO 27001MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Ebios
EbiosEbios
Ebioskilojolid
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE dazaiazouze
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Ssi
SsiSsi
SsiHanae Guenouni
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdfGhernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdfdiopsamba2
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 

Contenu connexe

Tendances

Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 

Tendances (20)

Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Ebios
EbiosEbios
Ebios
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
EBIOS
EBIOSEBIOS
EBIOS
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Ssi
SsiSsi
Ssi
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 

Similaire à Déclaration d'applicabilité (DdA) - ISO27002:2013

Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdfGhernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdfdiopsamba2
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...ISACA Chapitre de Québec
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationPECB
 
Soirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTicSoirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTicJean-Marc ANDRE
 
526646650-Functional-Safety-Day-1-Training.pptx
526646650-Functional-Safety-Day-1-Training.pptx526646650-Functional-Safety-Day-1-Training.pptx
526646650-Functional-Safety-Day-1-Training.pptxWassim Mansour
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptxAdemKorani
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Hanen Bensaad
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonSolution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonCLDEM
 
Ti region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonTi region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonvsiveton
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
Données à caractère personnel et juris-systèmes - Alain BENSOUSSAN Avocats - ...
Données à caractère personnel et juris-systèmes - Alain BENSOUSSAN Avocats - ...Données à caractère personnel et juris-systèmes - Alain BENSOUSSAN Avocats - ...
Données à caractère personnel et juris-systèmes - Alain BENSOUSSAN Avocats - ...IDATE DigiWorld
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by designVersusmind
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...African Cyber Security Summit
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume Valcin
 

Similaire à Déclaration d'applicabilité (DdA) - ISO27002:2013 (20)

Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdfGhernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...
 
Presentation du contrat SaaS
Presentation du contrat SaaSPresentation du contrat SaaS
Presentation du contrat SaaS
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
 
Le RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’informationLe RGPD, véritable opportunité vers la gouvernance de l’information
Le RGPD, véritable opportunité vers la gouvernance de l’information
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Soirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTicSoirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTic
 
526646650-Functional-Safety-Day-1-Training.pptx
526646650-Functional-Safety-Day-1-Training.pptx526646650-Functional-Safety-Day-1-Training.pptx
526646650-Functional-Safety-Day-1-Training.pptx
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
Solution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres sivetonSolution sécurité les pours et les contres siveton
Solution sécurité les pours et les contres siveton
 
Ti region cloud_computing_vsiveton
Ti region cloud_computing_vsivetonTi region cloud_computing_vsiveton
Ti region cloud_computing_vsiveton
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 
Données à caractère personnel et juris-systèmes - Alain BENSOUSSAN Avocats - ...
Données à caractère personnel et juris-systèmes - Alain BENSOUSSAN Avocats - ...Données à caractère personnel et juris-systèmes - Alain BENSOUSSAN Avocats - ...
Données à caractère personnel et juris-systèmes - Alain BENSOUSSAN Avocats - ...
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by design
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper 2
 

Plus de Bachir Benyammi

NIST Cybersecurity Framework (CSF) 2.0 Workshop
NIST Cybersecurity Framework (CSF) 2.0 WorkshopNIST Cybersecurity Framework (CSF) 2.0 Workshop
NIST Cybersecurity Framework (CSF) 2.0 WorkshopBachir Benyammi
 
Cadre pour l'amélioration de la cybersécurité des infrastructures critiques, ...
Cadre pour l'amélioration de la cybersécurité des infrastructures critiques, ...Cadre pour l'amélioration de la cybersécurité des infrastructures critiques, ...
Cadre pour l'amélioration de la cybersécurité des infrastructures critiques, ...Bachir Benyammi
 
كل ما تحب معرفته عن محرك البحث قوقل (Google)
كل ما تحب معرفته عن محرك البحث قوقل (Google)كل ما تحب معرفته عن محرك البحث قوقل (Google)
كل ما تحب معرفته عن محرك البحث قوقل (Google)Bachir Benyammi
 
Réalisation d'un site web dynamique mobile pour Air Algérie
Réalisation d'un site web dynamique mobile pour Air AlgérieRéalisation d'un site web dynamique mobile pour Air Algérie
Réalisation d'un site web dynamique mobile pour Air AlgérieBachir Benyammi
 
Evolution des exportations de marchandises en Algérie de de 1992 à 2004
Evolution des exportations de marchandises en Algérie de de 1992 à 2004Evolution des exportations de marchandises en Algérie de de 1992 à 2004
Evolution des exportations de marchandises en Algérie de de 1992 à 2004Bachir Benyammi
 
Simulation d’un système à temps partagé
Simulation d’un système à temps partagéSimulation d’un système à temps partagé
Simulation d’un système à temps partagéBachir Benyammi
 
الموقع الإلكتروني لمصحة الواحات للتشخيص و العلاج
الموقع الإلكتروني لمصحة الواحات للتشخيص و العلاجالموقع الإلكتروني لمصحة الواحات للتشخيص و العلاج
الموقع الإلكتروني لمصحة الواحات للتشخيص و العلاجBachir Benyammi
 
Réalisation d’un site web pour la Clinique des Oasis Ghardaïa
Réalisation d’un site web pour la Clinique des Oasis GhardaïaRéalisation d’un site web pour la Clinique des Oasis Ghardaïa
Réalisation d’un site web pour la Clinique des Oasis GhardaïaBachir Benyammi
 
Le périphérique souris
Le périphérique sourisLe périphérique souris
Le périphérique sourisBachir Benyammi
 
L'équipe de développement
L'équipe de développementL'équipe de développement
L'équipe de développementBachir Benyammi
 
L'équipe de développement
L'équipe de développementL'équipe de développement
L'équipe de développementBachir Benyammi
 
Le périphérique souris (programmation)
Le périphérique souris (programmation)Le périphérique souris (programmation)
Le périphérique souris (programmation)Bachir Benyammi
 
Programmation réseau en JAVA
Programmation réseau en JAVAProgrammation réseau en JAVA
Programmation réseau en JAVABachir Benyammi
 
Programmation réseau en JAVA
Programmation réseau en JAVAProgrammation réseau en JAVA
Programmation réseau en JAVABachir Benyammi
 
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...Bachir Benyammi
 
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...Bachir Benyammi
 
Réalisation d'un compilateur de mini langage - Khawarizmi
Réalisation d'un compilateur de mini langage - KhawarizmiRéalisation d'un compilateur de mini langage - Khawarizmi
Réalisation d'un compilateur de mini langage - KhawarizmiBachir Benyammi
 
Réalisation d’un interpréteur en langue Arabe - Khawarizmi
Réalisation d’un interpréteur en langue Arabe - KhawarizmiRéalisation d’un interpréteur en langue Arabe - Khawarizmi
Réalisation d’un interpréteur en langue Arabe - KhawarizmiBachir Benyammi
 

Plus de Bachir Benyammi (18)

NIST Cybersecurity Framework (CSF) 2.0 Workshop
NIST Cybersecurity Framework (CSF) 2.0 WorkshopNIST Cybersecurity Framework (CSF) 2.0 Workshop
NIST Cybersecurity Framework (CSF) 2.0 Workshop
 
Cadre pour l'amélioration de la cybersécurité des infrastructures critiques, ...
Cadre pour l'amélioration de la cybersécurité des infrastructures critiques, ...Cadre pour l'amélioration de la cybersécurité des infrastructures critiques, ...
Cadre pour l'amélioration de la cybersécurité des infrastructures critiques, ...
 
كل ما تحب معرفته عن محرك البحث قوقل (Google)
كل ما تحب معرفته عن محرك البحث قوقل (Google)كل ما تحب معرفته عن محرك البحث قوقل (Google)
كل ما تحب معرفته عن محرك البحث قوقل (Google)
 
Réalisation d'un site web dynamique mobile pour Air Algérie
Réalisation d'un site web dynamique mobile pour Air AlgérieRéalisation d'un site web dynamique mobile pour Air Algérie
Réalisation d'un site web dynamique mobile pour Air Algérie
 
Evolution des exportations de marchandises en Algérie de de 1992 à 2004
Evolution des exportations de marchandises en Algérie de de 1992 à 2004Evolution des exportations de marchandises en Algérie de de 1992 à 2004
Evolution des exportations de marchandises en Algérie de de 1992 à 2004
 
Simulation d’un système à temps partagé
Simulation d’un système à temps partagéSimulation d’un système à temps partagé
Simulation d’un système à temps partagé
 
الموقع الإلكتروني لمصحة الواحات للتشخيص و العلاج
الموقع الإلكتروني لمصحة الواحات للتشخيص و العلاجالموقع الإلكتروني لمصحة الواحات للتشخيص و العلاج
الموقع الإلكتروني لمصحة الواحات للتشخيص و العلاج
 
Réalisation d’un site web pour la Clinique des Oasis Ghardaïa
Réalisation d’un site web pour la Clinique des Oasis GhardaïaRéalisation d’un site web pour la Clinique des Oasis Ghardaïa
Réalisation d’un site web pour la Clinique des Oasis Ghardaïa
 
Le périphérique souris
Le périphérique sourisLe périphérique souris
Le périphérique souris
 
L'équipe de développement
L'équipe de développementL'équipe de développement
L'équipe de développement
 
L'équipe de développement
L'équipe de développementL'équipe de développement
L'équipe de développement
 
Le périphérique souris (programmation)
Le périphérique souris (programmation)Le périphérique souris (programmation)
Le périphérique souris (programmation)
 
Programmation réseau en JAVA
Programmation réseau en JAVAProgrammation réseau en JAVA
Programmation réseau en JAVA
 
Programmation réseau en JAVA
Programmation réseau en JAVAProgrammation réseau en JAVA
Programmation réseau en JAVA
 
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
 
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
 
Réalisation d'un compilateur de mini langage - Khawarizmi
Réalisation d'un compilateur de mini langage - KhawarizmiRéalisation d'un compilateur de mini langage - Khawarizmi
Réalisation d'un compilateur de mini langage - Khawarizmi
 
Réalisation d’un interpréteur en langue Arabe - Khawarizmi
Réalisation d’un interpréteur en langue Arabe - KhawarizmiRéalisation d’un interpréteur en langue Arabe - Khawarizmi
Réalisation d’un interpréteur en langue Arabe - Khawarizmi
 

Déclaration d'applicabilité (DdA) - ISO27002:2013

  • 1. ISO27k Statement of Applicability Déclaration d'applicabilité À jour au: JJ/MM/AAAA Légende (pour les mesures sélectionnées et raisons de sélection des mesures) LR: exigences légales, CO: obligations contractuelles, BR/BP: exigences opérationnelles/meilleures pratiques adoptées, RRA: résultats d’appréciation des risques, TSE: jusqu'à un certain point LR CO BR/BP RRA Clause Sec Control Objective/Control 5.1 Orientations de la direction en matière de sécurité de l'information 5.1.1 Politiques de sécurité de l'information 5.1.2 Revue des politiques de sécurité de l’information 6.1 Organisation interne 6.1.1 Fonctions et responsabilités liées à la sécurité de l'information 6.1.2 Relations avec les autorités 6.1.3 Relations avec des groupes de travail spécialisés 6.1.4 La sécurité de l'information dans la gestion de projet 6.1.5 Séparation des tâches 6.2 Appareils mobiles et télétravail 6.2.1 Politique en matière d'appareils mobiles 6.2.2 Télétravail 7.1 Avant l'embauche 7.1.1 Sélection des candidats 7.1.2 Termes et conditions d’embauche 7.2 Pendant la durée du contrat 7.2.1 Responsabilités de la direction 7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information 7.2.3 Processus disciplinaire 7.3 Rupture, terme ou modification du contrat de travail 7.3.1 Achèvement ou modification des responsabilités associées au contrat de travail Remarques (aperçu de la mise en œuvre) 5 Politiques de sécurité ISO/IEC 27001:2013 Annexe A mesure de sécurité mesures actuelles Remarques (avec justification des exclusions) mesures sélectionnées et raisons de sélection 6 Organisation de la sécurité de l'information 7 Sécurité des ressources humaines
  • 2. 8.1 Responsabilités relatives aux actifs 8.1.1 Inventaire des actifs 8.1.2 Propriété des actifs 8.1.3 Utilisation correcte des actifs 8.1.4 Restitution des actifs 8.2 Classification de l'information 8.2.1 Classification des informations 8.2.2 Marquage des informations 8.2.3 Manipulation des actifs 8.3 Manipulation des supports 8.3.1 Gestion des supports amovibles 8.3.2 Mise au rebut des supports 8.3.3 Transfert physique des supports 9.1 Exigences métier en matière de contrôle d'accès 9.1.1 Politique de contrôle d’accès 9.1.2 Politique relative à l'utilisation de services en réseau 9.2 Gestion de l’accès utilisateur 9.2.1 Enregistrement et désinscription des utilisateurs 9.2.2 Provisionnement des accès utilisateurs 9.2.3 Gestion des privilèges 9.2.4 Gestion des informations secrètes d'authentification des utilisateurs 9.2.5 Revue des droits d’accès utilisateurs 9.2.6 Suppression ou adaptation des droits d'accès 9.3 Responsabilités des utilisateurs 9.3.1 Utilisation d'informations secrètes d'authentification 9.4 Contrôle de l'accès au système et à l’information 9.4.1 Restriction d’accès à l’information 9.4.2 Sécuriser les procédures de connexion 9.4.3 Système de gestion des mots de passe 9.4.4 Utilisation de programmes utilitaires à privilèges 9.4.5 Contrôle d’accès au code source du programme 10.1 Mesures cryptographiques 10.1.1 Politique d’utilisation des mesures cryptographiques 10.1.2 Gestion des clés 11.1 Zones sécurisées 11.1.1 Périmètre de sécurité physique 11.1.2 Contrôles physiques des accès 11.1.3 Sécurisation des bureaux, des salles et des équipements 11 Sécurité 8 Gestion des actifs 9 Contrôle d'accès 10 Cryptographie
  • 3. 11.1.4 Protection contre les menaces extérieures et environnementales 11.1.5 Travail dans les zones sécurisées 11.1.6 Zones de livraison et de chargement 11.2 Matériels 11.2.1 Emplacement et protection du matériel 11.2.2 Services généraux 11.2.3 Sécurité du câblage 11.2.4 Maintenance du matériel 11.2.5 Sortie des actifs 11.2.6 Sécurité du matériel et des actifs hors des locaux 11.2.7 Mise au rebut ou recyclage sécurisé(e) du matériel 11.2.8 Matériel utilisateur laissé sans surveillance 11.2.9 Politique du bureau propre et de l’écran vide 12.1 Procédures et responsabilités liées à l’exploitation 12.1.1 Procédures d’exploitation documentées 12.1.2 Gestion des changements 12.1.3 Dimensionnement 12.1.4 Séparation des environnements de développement, de test et d'exploitation 12.2 Protection contre les logiciels malveillants 12.2.1 Mesures contre les logiciels malveillants 12.3 Sauvegarde 12.3.1 Sauvegarde des informations 12.4 Journalisation et surveillance 12.4.1 Journalisation des événements 12.4.2 Protection de l’information journalisée 12.4.3 Journaux administrateur et opérateur 12.4.4 Synchronisation des horloges 12.5 Maîtrise des logiciels en exploitation 12.5.1 Installation de logiciels sur des systèmes en exploitation 12.6 Gestion des vulnérabilités techniques 12.6.1 Gestion des vulnérabilités techniques 12.6.2 Restrictions liées à l'installation de logiciels 12.7 Considérations sur l’audit des systèmes d’information 12.7.1 Mesures relatives à l’audit des systèmes d’information 13.1 Gestion de la sécurité des réseaux 13.1.1 Contrôle des réseaux 13.1.2 Sécurité des services de réseau 13.1.3 Cloisonnement des réseaux 13.2 Transfert de l'information 13.2.1 Politiques et procédures de transfert de l'information 12 Sécurité liée à l'exploitation 13 Sécurité des communications 11 Sécurité physique et environnementale
  • 4. 13.2.2 Accords en matière de transfert d'information 13.2.3 Messagerie électronique 13.2.4 Engagements de confidentialité ou de non-divulgation 14.1 Exigences de sécurité applicables aux systèmes d’information 14.1.1 Analyse et spécification des exigences de sécurité 14.1.2 Sécurisation des services d'application sur les réseaux publics 14.1.3 Protection des transactions liées aux services d'application 14.2 Sécurité des processus de développement et d’assistance technique 14.2.1 Politique de développement sécurisé 14.2.2 Procédures de contrôle des changements 14.2.3 Revue technique des applications après changement apporté à la plateforme d’exploitation 14.2.4 Restrictions relatives aux changements apportés aux progiciels 14.2.5 Procédures de développement des systèmes 14.2.6 Environnement de développement sécurisé 14.2.7 Développement externalisé 14.2.8 Phase de test de la sécurité du système 14.2.9 Test de conformité du système 14.3 Données de test 14.3.1 Protection des données de test 15.1 Sécurité dans les relations avec les fournisseurs 15.1.1 Politique de sécurité de l'information dans les relations avec les fournisseurs 15.1.2 Sécurité dans les accords conclus avec les fournisseurs 15.1.3 chaîne d'approvisionnement informatique 15.2 Gestion de la prestation du service 15.2.1 Surveillance et revue des services des fournisseurs 15.2.2 Gestion des changements apportés dans les services des fournisseurs 16.1 Gestion des incidents liés à la sécurité de l’information et améliorations 16.1.1 Responsabilités et procédures 16.1.2 Signalement des événements liés à la sécurité de l’information 16.1.3 Signalement des failles liées à la sécurité de l’information 16.1.4 Appréciation des événements liés à la sécurité de l'information et prise de décision 13 Sécurité des communications 14 Acquisition, développement et maintenance des systèmes d’information 15 Relations avec les fournisseurs 16 Gestion des incidents liés à la sécurité de l’information
  • 5. 16.1.5 Réponse aux incidents liés à la sécurité de l’information 16.1.6 Tirer des enseignements des incidents liés à la sécurité de l’information 16.1.7 Recueil de preuves 17.1 Continuité de la sécurité de l'information 17.1.1 Organisation de la continuité de la sécurité de l'information 17.1.2 Mise en oeuvre de la continuité de la sécurité de l'information 17.1.3 Vérifier, revoir et évaluer la continuité de la sécurité de l'information 17.2 Redondances 17.2.1 Disponibilité des moyens de traitement de l’information 18.1 Conformité aux obligations légales et réglementaires 18.1.1 Identification de la législation et des exigences contractuelles applicables 18.1.2 Droits de propriété intellectuelle (DPI) 18.1.3 Protection de l’information documentée 18.1.4 Protection de la vie privée et protection des données à caractère personnel 18.1.5 Réglementation relative aux mesures cryptographiques 18.2 Revue de la sécurité de l’information 18.2.1 Revue indépendante de la sécurité de l’information 18.2.2 Conformité avec les politiques et les normes de sécurité 18.2.3 Examen de la conformité technique Copyright This work is copyright © 2015, ISO27k Forum, some rights reserved. It is licensed under the Creative Commons Attribution-Noncommercial-Share Alike 3.0 License. You are welcome to reproduce, circulate, use and create derivative works from this provided that (a) it is not sold or incorporated into a commercial product, (b) it is properly attributed to the ISO27k Forum at www.ISO27001security.com, and (c) if they are published or shared, derivative works are shared under the same terms as this. The copyright in parts of this document belong to ISO/IEC. They own the standards! We are reliant on the fair use provisions of copyright law and the goodwill of ISO/IEC to reproduce a small part of their content here. 18 Conformité incidents liés à la sécurité de l’information 17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité